美国信息隐私法的发展历程

第一节　美国信息隐私法的发展历程

美国的信息隐私法是一堆不协调、不一致且经常不理性的联邦和州法律规则。⁽¹⁾

——凯特(Fred H．Cate)

随着科技、经济、社会的变革与发展，崇尚自由和民主的美国成为隐私权的发源地。面对计算机和通信等信息技术造成的隐私风险，美国较早地讨论了有关问题，并从联邦宪法、隐私侵权普通法、联邦立法以及各州立法几个层面确立了独具特色的信息隐私法律体系。以传统的隐私理念为基础，着重保护个人的私密世界，联邦宪法和隐私侵权普通法未能对信息隐私提供适当全面的保护。从联邦立法来看，美国采取了公共领域与私人行业分立的立法模式，仅以联邦立法规制联邦公共机关的资料处理行为。对广泛利用个人资料的私人行业，美国仅对特定行业或领域中的个人信息提供有限的保护。离开涵盖公私领域的统一联邦立法，美国的公共领域和私人行业间、不同的私人行业间以及联邦与各州间的信息隐私法难免存在差异和冲突。

一、隐私理念的萌芽与隐私权的确立

在美国，自殖民时代至20世纪中叶，科技进步和社会发展一次次冲击和挑战个人的私人空间和事务，隐私权也得以较早的确立和不断强化。针对政府和私人侵犯他人隐私权益的行为，美国通过宪法、普通法和各州立法确立了个人隐私权，并逐步丰富其内涵和外延。然而，美国宪法和普通法所确立的隐私权以保护个人的私人世界为主旨，保障私人秘密免受不当披露，保护个人生活免受政府和他人过分干预。这种以保护个人权益为着眼点且以私人秘密为重点的法律体制难以应对信息社会中个人隐私所面临的挑战。

对从拥挤的欧洲市镇迁移至大洋彼岸的早期移民而言，稀疏的人口分布与广阔的土地为他们提供了更宽松的私人空间。如弗拉荷提所言，在殖民时期的美国，个人独处状态已天然存在。生活在以农业为主的城镇中，居民在日常交往中通过当面的交流相互分享个人信息。当然，较小的人口数量使得个人仍难以摆脱他人在身体上的监视。⁽²⁾“住所乃个人的避难城堡”这一理念早在1499年就得以确立。⁽³⁾尤其是，在1604年的Semayne's Case案中，法院明确指出:“每个人的住所对其而言就如同一个城堡和防护墙。”⁽⁴⁾

免受政府的不当侵扰成为内战时期人们最为关注的隐私问题。政府官员非法搜查居民及其住处严重影响了个人的正常生活。如亨利(Patrick Henry)所言，“除非受到权利法案或类似的限制，政府可以随便进入你的住所和房间，搜查你的吃穿住行”。⁽⁵⁾为此，美国通过宪法第三、第四和第五修正案确立了公民免受政府不当干预的基本权利。根据第三修正案，未经主人同意或法律准许，在和平或战争时期，任何士兵均不得擅闯民宅。第四修正案限制政府搜查和扣押个人的人身、住所和财产。政府必须通过司法程序获取搜查令，搜查应具有适当的理由，且应明确搜查的地点和扣押的财物。根据第五修正案，政府不得强迫个人提供将使其负罪的信息。⁽⁶⁾它们也成为保障公民基本隐私权的法律基石。

19世纪后半叶，工业革命的兴起带来了科技和社会结构的变革，尤其是邮政和电报的出现和发展对个人隐私构成了新的威胁和挑战。随着人口数量的激增，联邦和地方政府为加强管理开始越来越广泛地记录公民的基本信息。⁽⁷⁾为此，政府多次开展全国性的人口普查。人口普查要求回答的问题数量也逐次递增。联邦政府于1790年开展的第一次全国人口普查仅要求回答四个基本问题，而1860年的普查所记录的信息达142项，且问题包含的个人信息也越来越细致。⁽⁸⁾此外，自1790年到1870年，普查的信息均被张贴于公共场所供大众检查错误。1890年的人口普查调查有关个人疾病、残疾和经济状况的信息激起了民众的关注和抗议，并导致美国于20世纪初通过立法保护普查资料的秘密性，限制非法公开普查信息。⁽⁹⁾

另外，政府和个人非法拆读他人的私人信件一直都是备受关注的侵犯个人隐私的行为。早在1798年，杰弗逊曾写道:“邮局的非诚信与当前的状况都不允许我完整、自由地写作。我不知道什么让我如此害怕，阻止我写出自己的想法，而我的国家也面临着同样的问题。”⁽¹⁰⁾身为邮政总管的富兰克林要求员工发誓不私拆个人邮件，美国国会也曾多次立法保护个人在邮件上的隐私权。⁽¹¹⁾随着电报于1844年的发明和普及，窃取电报信息的行为也随之泛滥。经深入调查电报牵涉的隐私保护问题，国会于1880年提出了议案，各州也纷纷通过立法禁止非法披露电报信息。⁽¹²⁾

1886年，通过Boyd v．United States案，美国法院对联邦宪法第四和第五修正案作出扩大解释，保护个人文件和个人信息。该案中，政府强制一商人在民事欺诈案件中提供有关文件。以第四修正案和第五修正案为依据，法院指出:“破门而入，搜查个人的橱柜并非侵犯隐私的核心内容，侵犯个人的安全、自由和私人财产才是根本……强迫个人作证或出示其私人文件以证明犯罪行为，都违反宪法第四和第五修正案的规定。”⁽¹³⁾对后来限制政府不当使用个人信息，该案的影响不言自明。

19世纪末，报纸和照相技术严重干扰了个人的私生活，并侵害个人的独处权利。1890年，沃伦和布兰蒂斯发表了《论隐私权》一文。庞德认为该文无疑为美国的法律增添了新的篇章，卡尔文(Harry Kalven)也将其视为美国历史上最具影响力的法律评论文章之一。⁽¹⁴⁾沃伦和布兰蒂斯指出，技术设备使得个人的私人言行迅速地公诸于世，快速照相技术和报纸行业严重侵扰了神圣的私人和家庭生活。⁽¹⁵⁾然而，当时的侵权和物权法都未保障个人的独处权。为此，二者主张确立隐私权，由个人决定在什么程度上向他人传达自己的想法、感受和情感。普通法应根据社会和科技的发展对侵犯个人隐私的行为提供法律救济。⁽¹⁶⁾

自沃伦和布兰蒂斯提出隐私权的概念，美国法院通过判例逐步确立了普通法上的隐私侵权。⁽¹⁷⁾通过比较研究300多个隐私侵权案件，普劳瑟将隐私侵权分为四类，⁽¹⁸⁾且该分类也为美国的《侵权法重述》所采纳。⁽¹⁹⁾普劳瑟指出，隐私包括四种侵犯原告权益的行为，它们除了共用一个称呼，并关涉侵犯原告独处权外，别无其他共性。他把普通法上的隐私侵权归纳为四类:①侵扰原告的隔离或独处境况，或干扰他的私人事务;②公开披露与原告有关并令其尴尬的私人事实;③使原告被公众错误理解的宣传;④挪用原告的姓名或肖像牟取私利。⁽²⁰⁾如今，多数州法院都承认了上述隐私侵权。

1977年，美国法院又通过Whalen v．Roe案确立了个人的信息隐私权。⁽²¹⁾法院指出，宪法保护的隐私领域应扩展至两种权益:独立作出特定类型的重大决定与避免私人事项遭披露，⁽²²⁾后者即宪法性的个人对信息隐私权。此后，虽未得以适时的发展，该权利已为多数联邦法院承认。⁽²³⁾

二、个人信息隐私问题的产生与早期联邦立法

自美国军方于1946年发明计算机，计算机被越来越广泛地运用到政府管理与企业的商业活动中，并引发了个人信息收集、处理和散播的革命。20世纪60年代以来，利用计算机处理个人信息引起了人们对隐私权的再度担忧与普遍关注。⁽²⁴⁾然而，早期备受关注的是，计算机对个人信息记录方式的革新及其对个人隐私造成的侵害风险，以及对公共领域中的个人信息自动化记录系统创建和运作的规制。

1966年，美国国会通过了《信息自由法》(Freedom of Information Act)，⁽²⁵⁾保障公民查阅政府资料的权利，确保政府信息的公开和透明性。根据该法，任何人均有权要求行政机构提供与其相关的信息，无需说明察看有关记录的理由。此外，若披露员工、医疗档案及类似的资料明显构成隐私侵权，或为了执法目的而汇编个人记录在可预见的情况下非法侵犯个人隐私，该法禁止公开相关信息。以该法为依据，美国各州也制定了信息自由法。

1973年，美国健康、教育与社会福利部发表了《记录、计算机与公民权利》。报告回顾了政府和企业记录个人信息的发展历程，指出计算机技术革新了个人信息记录，对公民权利尤其是隐私权构成了威胁，并建议通过正当资料处理行为规则限制政府和企业的个人资料处理行为。⁽²⁶⁾报告指出，个人必须越来越多地向同他们无当面接触的大型机构提供个人信息，供其不认识、未见过、不进行回应的机构处理和使用。有时，个人根本不知道某机构持有与自己相关的记录。通常，他不能察看资料，核实其准确性，控制其散播或对他人使用该资料提出异议。报告建议通过如下五项正当资料处理行为守则规制政府与企业的个人信息处理活动，且它们对美国⁽²⁷⁾与其他国家的资料隐私立法产生了重大而深远的影响:⁽²⁸⁾①任何个人资料登记系统都不得秘密存在;②个人必须能够了解记录了哪些与其相关的信息以及如何使用这些信息;③个人必须能够反对未经其同意而为了收集资料外的其他目的使用或公开与其相关的个人信息;④个人必须能够更正或修改与其相关的识别性的信息记录;⑤任何机构创建、维持、使用或散播识别性的个人资料，必须确保资料同使用目的之间具有适当关联，并采取必要措施避免不当使用资料。

次年，为调整联邦机关的资料收集、使用和散播行为，美国国会通过了1974年《隐私法》，并采取了公私分立的立法模式。⁽²⁹⁾该法明确规定，虽然对政府的有效运作不可或缺，计算机等信息技术日趋广泛和深入的运用，通过收集、保存、使用或转移个人信息严重侵害了个人隐私。信息系统的不当使用危及个人的就业、保险、信用、正当程序及其他正当权益。同时，隐私权是受美国宪法保护的一项个人的基本权利。隐私法在很大程度上采纳了1973年报告中的正当信息行为守则。⁽³⁰⁾该法赋予了个人广泛的信息权利，它允许个人决定可收集、持有、使用或散播那些与其相关的信息，允许个人阻止联邦机关为了收集外的目的使用或公开其个人信息，允许个人查阅联邦机关记录中与其相关的信息，并更正或修改记录。除了个人有权对违法行为提起民事诉讼，并主张相应的赔偿外，该法还为联邦机关设定了一系列责任:①联邦机关收集、保存、使用或散播个人信息应为履行其法定职责所必需;②如果信息可能导致对个人在联邦项目中的权利、利益和特权作出不利决定，应尽可能地向当事人直接收集信息;③向个人提供与资料收集、保存、使用或散播有关的信息，如批准收集信息的机构，是否必须提供信息，信息将用于什么目的，不提供或未完整的提供信息将对其造成什么影响等;④在利用信息对个人作出决定时，应在合理的范围内确保信息的准确、相关、及时和完整性;⑤在向他人披露信息时，应作出适当的努力确保资料的准确、完整、及时与相关性;⑥采取适当的管理和技术措施保障个人信息记录的安全。

三、特定私人行业中的个人信息隐私联邦立法

随着信息经济在美国的兴起和发展，个人信息对企业的商业价值急剧增大。为培植本国的信息产业，促进金融、电信等行业的发展，美国对私人行业中的个人信息保护采取了以行业自治为主，以联邦立法为辅的政策，仅对金融、通信和医疗等行业以及教育、家庭娱乐和车辆管理等特定领域中的个人信息隐私保护制定了联邦法。

(一)金融行业

早期，在小城镇里，人们很容易相互了解各自的经济状况和信用。贷款者也可以通过他人获得某人经济状况和信用信息。然而，随着人口数量的膨胀及其流动性的激增，上述方式日益突显其不足。⁽³¹⁾贷款者开始依靠记录和文件评测个人的还款能力和信用。信用报告行业在美国开始兴起，它们通过各种渠道收集和处理个人信用信息，如个人经济历史、银行账户信息、到期未付的贷款、破产诉讼、判决、抵押贷款等，并根据这些信息评测个人的信用度。如今，在美国，三大个人信用报告机构(Equifax、Experian和Trans Union)持有几乎每位成年公民的个人信用信息。

由于越来越多的人对信用报告存在错误信息及信用报告机构不予回应的问题进行投诉，美国国会于1970年通过了《正当信用报告法》(Fair Credit Reporting Act)，它也是美国和世界上首部个人信用信息保护法。⁽³²⁾根据该法，个人有权查阅信用报告机构持有的个人信用信息，对信息的准确性提出异议，限制信息披露，并对违法行为造成的损害主张赔偿。

20世纪90年代中后期，随着金融管制的放松与金融创新活动的加剧，商业银行和投资银行的业务逐步融合，金融业兴起了并购风潮。在该背景下，为促进金融服务的现代化，同时保护个人隐私，美国于1999年制定了《金融服务现代化法》(Financial Services Modernization Act)(亦称《格雷姆—里奇—比利雷法案》(Gramm-Leach-Bliley Act))。⁽³³⁾该法明确准许银行、保险、投资公司等存在相互关联的金融机构在其分支和附属机构之间共享非公开性的个人信息，限制向无关联的第三人披露信息。分支机构有责任告知消费者它们在分享其个人信息，但个人无权阻止该信息共享。若金融机构对外披露客户的个人信息，个人对此具有排除权。在实际运作中，金融机构往往向客户发送隐私政策，供其选择是否允许向第三方披露信息。

(二)通信行业

1984年的《电缆通信政策法》(Cable Communications Policy Act)⁽³⁴⁾要求电缆通信公司向用户通告个人信息的收集和使用情况，且不得披露用户的查阅习惯。它也规定了该限制的例外情形，如为了“正当的商业活动”(Legitimate Business Acitivity)，通信公司可披露相关的个人信息。1986年，美国国会经修正1968年的《窃听法》(Wiretap Act)，⁽³⁵⁾尤其是其第3章，通过了《电子通信隐私法》(Electronic Communications Privacy Act)，⁽³⁶⁾将政府不得非法截取的通信方式由传统的电话等扩展至现代化的通信设备，如移动电话和电子邮件等，限制政府监听或监控私人的通信信息，保护个人的通信隐私。

为限制电话直接营销商非法使用个人电话信息推广业务，美国于1991年制定了《电话消费者保护法》(Telephone Consumer Protection Act)，⁽³⁷⁾规定个人有权要求电话直接营销商不再向其开展商业推广活动。如果营销商违反上述规定，个人可主张赔偿。类似地，很多州也通过立法禁止利用电话等通信设备向个人非法发送商业信息，个人可要求将其姓名和电话等联系方式从电话直销商的名单上删除。

1998年，美国联邦贸易委员会(Federal Trade Commission)在其向国会提交的报告中明确指出，行业自治对儿童网上隐私保护并不奏效，多数网站大量收集和使用儿童的个人信息，且未遵守正当信息行为守则。⁽³⁸⁾为保护儿童的网上隐私，美国于1998年制定了《儿童网上隐私保护法》(Children's Online Privacy Protection Act)⁽³⁹⁾，限制通过互联网收集儿童的个人信息。它也是美国第一部有关网上隐私保护的联邦立法。该法仅适用于针对儿童开设的网站或网页，或运营商实际上了解其正在收集儿童的个人信息。从保护的对象而言，儿童的年龄不得超过13周岁。上述网站或运营商必须张贴隐私政策，说明其收集哪些信息，将信息用于什么目的及其信息披露政策，而且在向儿童收集个人信息时需要获得家长的同意。

(三)医疗行业

为保护个人的健康信息，美国于1996年制定了《健康保险便利及责任法》(Health Insurance Portability and Accountability Act)⁽⁴⁰⁾，要求美国卫生与公众服务部(Department of Health and Human Services)制定个人医疗信息隐私保护规章。该部于2000年制定了有关规章，并于2003年生效，⁽⁴¹⁾适用于健康计划和特定医疗服务提供者披露个人健康信息的行为。根据HIPAA，上述机构在开展治疗、付款或健康护理业务外的活动中使用或披露个人信息应首先获得个人的同意，并采取适当的措施保障病人医疗信息的安全。未经个人的书面同意或授权，若剔除了识别性信息，可披露病人的信息。此外，对违法行为，HIPAA规定了刑事和民事救济措施。

(四)其他领域

1974年，美国制定了《家庭教育权利与隐私法》(Family Education Rights and Privacy Act)，又称“巴克利修正案”(Buckley Amendment)，限制公开学生记录，⁽⁴²⁾但它不适用于学校法律执行官员持有的学生记录、健康和心理记录。1988年，美国国会通过了《影像隐私保护法》(Video Privacy Protection Act)，限制从事录像带或类似影视资料租赁、出售或运输业务者披露租赁、购买或订阅影像商品或服务者的个人信息。⁽⁴³⁾根据该法，未经消费者同意，录像带等影视服务商不得披露客户租赁、购买或订阅的影视资料的名称等信息，但若向其他商家披露信息属于服务商正常的业务活动，则允许该披露行为。

为限制美国各州向商家出售个人车辆信息记录，美国于1994年制定了《驾员隐私保护法》(Driver's Privacy Protection Act)，⁽⁴⁴⁾要求各州在向商家披露个人车辆登记信息前获取个人的同意，对违法披露特别是出售个人车辆信息的各州主管部门进行处罚。个人有权对非法获取或披露个人信息者提起民事诉讼，要求法院作出实际与惩罚性的损害赔偿。

总之，经过长期发展，至今，美国的信息隐私法包括“一堆不协调、不一致且经常不理性”的联邦和州法律规则。⁽⁴⁵⁾普通法和宪法虽然较早地确立了隐私权，但它们均不能全面、有效地保护个人的信息隐私。联邦和州的不少法律限制政府机关处理个人信息，部分联邦法保护特定私人行业和领域中的个人信息隐私，如银行、金融、娱乐、电信和教育等。除联邦立法外，美国各州也制定了行业性信息隐私法。与联邦法类似，它们也仅针对某行业中的特定问题，具有明显的局限性和临时性。⁽⁴⁶⁾鉴于信息隐私分散立法存在缺陷和不足，尤其是欧盟限制向美国转移个人资料，不少人主张制定统一全面的信息隐私法，⁽⁴⁷⁾但利益集团的阻挠使得联邦立法举步维艰。