歐盟已出台數據保護條例，為什麼超級科技大國美國到現在仍無法可依？

已生效一個多月的歐盟《通用數據保護條例（GDPR）》，被媒體認為是大數據監管新時代的標誌。相比之下，目前美國既沒有專門的數據保護法規，也沒有對應的職能部門或委員會，用美國專家的話說，「我們基本上沒有國家層面的隱私基礎設施可言。」

由於數月前曝出的臉書（Facebook）和劍橋數據分析公司（Cambridge Analytica）醜聞，互聯網用戶數據隱私現在是美國社會的爭論熱點，相關政策無不左右著中期選舉中的選民和候選官員。究竟是什麼導致了這個超級科技大國在數據保護方面無法可依的窘境？

美國曆來「存異不求同」

實際上，在世界範圍內個人數據保護立法短短二十來年的歷史中，美國和歐盟還頗具淵源，不過兩者的合作只「存異」不「求同」。

1995年，歐盟發布了嚴格的《數據保護指令》，規定歐盟以外國家地區若無相關法規提供保護，歐盟公民個人信息「數據不出境」。對於當時方興未艾的數據處理規則，歐盟注重保護公民個人隱私權，而推動互聯網高速發展的美國卻從科技和商業的視角看問題。

於是在2000年，美國和歐盟達成一個「安全港協定」，這就像給嚴苛的《數據保護指令》開了一個後門，允許美國企業轉移和處理歐盟公民的個人數據。2013年斯諾登事件的文件顯示，這個「後門」正是美國情報機構開展某些監控的通道之一。

比照歐盟最新的《通用數據保護條例》明確「數據最小化」原則，媒體指出美國和歐盟最根本的區別在於將大數據戰略作為國策鼓勵發展。

已在很多方面丟失領導權

除了看待大數據的態度不同，美國對數據保護立法還有另一重現實阻力。在近期美國外交關係委員會（CFR）的專題報告會上，曾任白宮管理和預算辦公室隱私信息安全高級顧問和美國聯邦貿易委員會首席隱私官的馬克·格羅曼（Marc Groman）談到，數年前擔任這些政府職務時，最大的挑戰是如何把已經存在的林林總總的州法融進新法案，而幾十個利益相關的商業公司和管理部門還有各自不同的觀念和方法。

格羅曼感嘆美國不像很多其他國家是一張白紙，「我們有健保流通責任法案、金融現代化法案、公平信用報告法、網路兒童隱私保護法規、商業電郵法案、視頻隱私保護法……在聯邦層面，每項法律的標準和定義都不同。」

在交流中，美國的數據政策專家們感嘆最多的是，他們的國家已經失去在這一領域的領導者角色。「是我們自己放棄了這個角色。」格羅曼說，「GDPR正在推動全球對話。當別的國家想要打造自己的矽谷時，他們更多地關注歐洲模式。」

「一些小國真的感到沮喪和不安，問題不僅僅是隱私完全。」外交關係委員會數據政策高級研究員凱倫·科恩布魯（Karen Kornbluh）補充舉例，巴布亞紐幾內亞最近關閉了臉書，因為他們無法控制虛假信息。「臉書在許多國家或地區就是互聯網的代表。美國已在很多方面丟失了領導權。」

「先生，我們該如何規範你」

相比歐盟擁有一個1200多名專家的技術評估機構，美國在頂層機構設置上缺位已久。設立於1972年的國會技術辦公室在1995年被當時掌控兩院的共和黨廢除。此後，包括希拉里·柯林頓在內的民主黨人多次試圖在國會恢復這一機構設置。

幾十年後的今天，「技術」的關注焦點已從太空軍備競賽轉變為新興科技對社會的全方位影響。但就在上個月，重建技術評估辦公室的最新修正案仍被眾議院投票否決。

目前唯一和數據技術監管沾點邊的頂層機構可能要數聯邦貿易委員會。儘管委員會下設隱私監管機構，不過科恩布魯認為，他們從性質上而言是政府機構，「沒有立法權，只能事後評判而已。」他說，「我認為美國已經忘記了如何進行監管。」

在劍橋分析公司醜聞發酵之後，美國的參議員們已經拋出「同意法案」和「社交媒體隱私和消費者權利法案」等試圖尋找監管立法的門道。但由於數據技術領域過於專業，議員們普遍呼籲科技公司的合作，這又帶出了既做裁判員又做運動員的悖論——今年4月臉書掌門人馬克·扎克伯格的聽證會上，參議員的那句「先生，我們該如何規範你」便是註解。

加州的第一步仍有「讓步」

聽證會上這好笑的一幕反映出美國在數據監管立法上的兩難境地，但還是有人走出了第一步。本月初，加利福尼亞州州長簽署通過「消費者隱私法案」。《華盛頓郵報》稱，作為高科技大數據的收集中心，加州開始實行目前美國最強大的隱私保護措施。這一州法對臉書、谷歌和其他科技巨頭如何處理加州居民的個人數據設置了新的嚴格限制。此外，美國超過一半以上上市公司的註冊地特拉華州在早些時候推出新數據泄露通知法，提出一系列觸發通知用戶的數據使用情況。

加州「消費者隱私法」要到2020年才生效。分析人士認為，其間幾乎肯定將面臨臉書、AT＆T等行業巨頭的激進遊說，到法案真正生效時可能會有大量微調。目前的法案部分對應了GDPR的一些規定。科技公司將被要求告訴用戶他們收集的數據類型，以及數據共享給了誰。法案還允許用戶選擇拒絕共享他們的數據。不過，相比於GDPR的巨額罰金標準，這項法規的罰款按例計算，違規者可能承擔每例最高7500美元的民事罰款。法規還對反對者作出了一些重大讓步，例如允許企業在州檢察長或個人用戶提起法律訴訟之前30天「改正」涉嫌違規行為。

有數據專家認為，其他州很可能在數據保護立法上跟隨這些先驅州的腳步。「聯邦政府的不作為看起來是加州採取這一行動的部分原因。」數據安全公司Rapid 7的公共政策主管哈利·蓋格（Harley Geiger）對《華盛頓郵報》表示。

近期內聯邦立法幾無可能

事實上，聯邦政府層面最近也出現了一些積極變化的跡象，緊迫感促使美國國防機構和行政部門採取行動。據美國媒體Axios報道，特朗普總統的特別助理蓋爾·斯萊特（Gail Slater）已在近期與信息技術行業委員會的首席執行官們會面，討論聯邦層面的網路數據隱私法規的雛形。

不過，在白宮國家經濟委員會負責技術、電信和網路政策的斯萊特已經表示美國不會照搬GDPR。她認為歐盟法規里的一些條款，比如用戶「被遺忘權」可能與美國法律不符。事實上，斯萊特自己也曾是「業內人士」。在成為總統技術政策顧問之前，她曾擔任互聯網協會的總法律顧問，該協會代表谷歌和臉書等網路巨頭。

美國互聯網安全聯盟總裁兼首席執行官拉里·柯林頓（Larry Clinton）對《QUARTZ》表示，他希望業界和政府在隱私問題上共同努力，而不是遵循GDPR的「懲罰性」模式，「GDPR的嚴厲處罰可能會毀掉大公司。」而樂觀如格羅曼者則認為，擁有全面性的綜合隱私法對美國企業有利。「隨著圍繞立法監管的各種提案，我們將看到來自行業的阻力日益減少。」

相比歐盟將數據保護視為一項基本人權，美國在這一領域顯然有政商紐帶等諸多特殊「國情」。鑒於此，目前大多數專家認為，至少近期內製定相關聯邦法規的可能性幾乎為零。

這樣的現狀可能並不符合民意。今年4月對1000多名美國成年消費者的調查顯示，劍橋數據分析公司事件是美國民眾對數據隱私問題感受的重大轉折點，近七成受訪者表示希望看到美國頒布類似歐盟GDPR的法規。

有意思的是，相比於監管立法的梗阻，美國人的商業創新總是領先一步且無孔不入。

目前已經出現了一些新的商業工具幫助美國企業管理數據，以符合歐盟法規的監管，例如把自己的功能定位比作稅務軟體的GDPRsimple。此外，某些個體擁有自己的數據並獲得某種商業授權也是一種可能性。GDPRsimple的首席執行官兼創始人林恩·戈德斯泰因（Lynn Goldstein）說：「關於數據的所有權存在不確定性，一些企業正在探索這個問題。」

格羅曼則期望這能為數據隱私全面監管開出一條新路，「商業模式創新提供了不同的方式來管理數據，」格羅曼說：「這對監管有巨大好處，尤為令人興奮。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！