数据保护官沙龙（DPO Salon）公益出品 第一辑 龙 美国联邦隐私立法重要文件编译 护 官 沙 （截至 2018 年 10 月 7 日） 译者（姓氏音序排名）： 崔卫红、陈子谦、何国峰、皮凯、谭德芳、 据 保 薛颖、王少倩 审校：洪延青、王新锐、孟洁、罗为 数 2018 年 10 月 署名-非商业性使用-禁止演绎 2.5 中国大陆 译者前言 在联邦层面通过一部统一性（all-encompassing federal legislation） 的个人信息保护立法，在美国一直停留在公众舆论而已。但随着“剑 桥分析事件”、外国势力在互联网平台上发动的信息战（information warfare）等，让美国社会各界都认识到个人信息保护不仅关于个人的 合法权益，更关乎国家安全。 沙 龙 西方主流媒体，如《纽约时报》提出“Facebook 不是真正问题所 在，宽松的隐私规则才是”（“Facebook Is Not the Problem. Lax Privacy Rules Are”）；《经济学人》建议“美国应当效仿欧盟的数据隐私法律” （“America should borrow from Europe’s data-privacy law”）； 《华尔街 日报》报道：除 Facebook 之外，Apple、Amazon 和 Google 都接受在 未来美国将会有更严格的隐私监管（“Apple, Amazon and Google Also Are Bracing for Privacy Regulations”）。 据 保 护 官 会不会又是“雷声大，雨点小”？毕竟在美国历史上，不乏有呼吁 统一性立法的声音。但这次与以往显著不同的一点是，美国知名的行 业协会在近期纷纷提出了个人信息保护立法的框架。这样的举动史无 前例，侧面说明美国朝野观念上的质变，以及国会两党形成了应当加 强个人信息监管的共识，否则精于“计算”和“运作”的他们，又何必多 此一举？正如 IBM 政府和监管事务副总裁 Chris Padilla 所说，“对于 隐私问题，局势已经发生根本变化”（“There has been a complete shift on privacy”），“目前的广泛认识是，不希望隐私规则的公司再也不可 能仅仅说不了”。（“There is now broad recognition that companies that were resistant to privacy rules can no longer just say no.”） 数 Internet Association 、 Software Alliance （ BSA ）、 Information Technology Industry Council（ITI）均为鼎鼎有名的行业利益代表。近 期，他们之间似乎取得充分“默契”，都赶在国会和政府当局抛出立法 草案之前提出自己的立场文件，试图为即将来临的立法流程提前确立 基调（set the stage）。 翻译和研究他们的立场文件，有着什么样的意义？首先，他们的 立场文件最能代表美国行业和企业的利益。 《纽约时报》在 8 月底的 一篇报道（“Tech Industry Pursues a Federal Privacy Law, on Its Own Terms”）中透露，近期 Facebook、Google、IBM、Microsoft 及其他公 司正对特朗普当局和其他有关方面就联邦隐私法律展开“猛烈的游说 攻势”。他们一是希望联邦立法能够推翻加州立法（CCPA），二是希 望立法能够确立对个人信息处理相对宽松的规则。这些公司的具体观 点、游说的具体内容，我们不得而知，但是通过这些行业组织发布的 立场文件，我们能掌握个八九不离十，有助于我们观察美国未来的立 法走向。 龙 其次，他们的立场文件能让我们看到，所谓的有利于发展和创新 的个人信息保护框架到底长啥样。按照“个人信息保护法要在发展与 安全之间取得平衡”的说法，行业协会的立场文件毋庸置疑倾向于前 者。目前在我国国内，存在很强的声音批评欧盟《通用数据保护条例》 （GDPR）为代表的保护思路，认为这样的立法会扼杀企业、行业的 发展。但在批评之余，这股声音几乎没能提出自己的方案。所以，如 果未来我国的《个人信息保护法》打算与 GDPR 拉开距离，那么翻 译和研究行业协会的立场文件，能够提供非常有价值的参考。 据 保 护 官 沙 除了私营部门“闻风先动”之外，美国国家电信和信息管理局 （NTIA）代表美国商务部于 2018 年 9 月 21 日就“推进本届政府消费 者隐私保护”（Developing the Administration’s Approach to Consumer Privacy）正式公开征集意见（Request For Comment）。在此项 RFC 中， NTIA 提出了未来美国联邦层面就隐私保护采取的举措，其本身所应 致力于取得的隐私保护结果（Privacy Outcomes），以及联邦层面如采 取举措的话，所应达成的战略目标（High-Level Goals for Federal Action）。同期，美国商务部下属的国家标准与技术研究院（NIST） 正式启动了“隐私框架”（Privacy Framework）的研制工作。NIST 希望 延续其过去制定“网络安全框架”的成功经验，为私营部门开发出一套 自愿性的管理隐私风险的框架。 数 除上述这些文件外，我们还翻译了 Google 提出的个人信息保护 立法框架，以及由《纽约时报》首次披露的民主党领袖提出“互联网 权利法案”（the Internet Bill of Rights）。总的来说，这些文件集中反 映了美国目前国内对隐私保护立法和政策的趋势和未来会采取的路 径。 显然，美国人不喜欢 GDPR 那样“管得太细、太严”的立法风格， 更希望联邦层面的立法是原则性的（principle-based），把具体如何开 展个人信息保护的策略、控制措施等，留给企业自由裁量。这样的思 路，在美国网络安全方面立法，也非常明显。因此，未来至少有两种 立法策略可供中国参考。 此外，这些文件从不同层面涉及了个人信息处理的启动要件是不 是个人同意、个人信息收集要不要限制、目的限制原则还要不要等等 一系列非常重要且有趣的内容。令人非常出乎意料的是，私营部门提 出的框架都赞同个人具有数据可携带权。 为了进一步把这些材料消化、理解，数据保护官（DPO）社群决 定召开第五期线下 DPO 沙龙，就这些文本展开深入讨论，期待大家 的参与。 最后，在此衷心感谢参与此次翻译工作的译者（姓氏音序排名）： 崔卫红、陈子谦、何国峰、皮凯、谭德芳、薛颖、王少倩，以及进行 审校的王新锐、孟洁、罗为。他们在脚踏实地从事个人数据保护工作 的同时，还放眼全球思考最新的动态、进展、趋势。“DPO 沙龙”正是 为像他们这样的一线工作者提供了互动交流的平台。 数 据 保 护 官 沙 龙 在我看来，他们是中国数据保护水平的“晴雨表”，他们在实践中 碰到的问题、提出的解决方案、所做的思考，无疑应当为各界所重视。 目前，“DPO 沙龙”已经齐聚了超过 100 位有志于从事数据保护工作 的同仁，也已经举办了数期线上、线下的深度讨论。欢迎更多的人加 入这个社群。 洪延青 目录 隐私框架 / by 商业软件联盟（BSA）................................................................................. 1 隐私原则：现代国家监管框架 / by 互联网协会（Internet Association） .... 4 龙 隐私保护框架 / by 美国信息技术产业理事会(ITI Council) .................................. 8 负责任的数据保护法规框架 / by 谷歌（Google） ...................................................... 9 沙 推进本届政府消费者隐私保护 / by 美国商务部国家电信和信息管理局 （NTIA） ............................................................................................................................................... 13 护 官 隐私框架：一个企业风险管理工具 / by 美国商务部国家标准与技术研究 院（NIST） ........................................................................................................................................... 22 互联网权利法案清单 / by 美国民主党领袖（Dems） ........................................... 24 数 据 保 附件：上述文件的英文原文 商业软件联盟（BSA） 隐私框架 BSA 推行一个以用户为导向的隐私途径，并且支持确保个人数 据的使用与消费者预期相一致的隐私框架。 护 官 沙 龙 商业软件联盟（BSA）是全球软件产业领先的倡导者，处于开发 包括云计算、数据分析以及人工智能在内的尖端革新的前沿。软件赋 能的技术越来越多地依赖于数据来发挥功能，尤其在某些情况下是依 赖于个人数据。因此，个人数据保护对于 BSA 的成员来说是一项重 要的优先考虑的事情，并且我们承认它是建立起消费者信赖的一个关 键部分。为此，BSA 推行一个以用户为导向的隐私路径，向消费者提 供一种个人数据控制的机制。BSA 还支持如下的隐私框架，即确保个 人数据的使用能够与消费者的预期相一致，同时也使公司能够追逐合 法的商业利益。 据 保 特别是，BSA 支持实施立法的这些最佳实践：提高个人数据收集 和使用的透明度，通过监管该等收集和使用行为来保障和尊重知情选 择，为消费者提供其个人数据的控制权，提供强有力的安全性，以及 推动基于合法商业目的的数据使用。如下所示，BSA 概述了隐私框架 的十种关键要素以助于实现这些目标。 1、透明度 数 组织应当就其处理个人数据的实操提供清晰的、可获取的说明， 包括其收集个人数据的种类、其分享数据的第三方类型，以及关于该 组织保持的用于