中心研究 | 美国私营部门隐私保护成文法框架概述

目 录

（滑动浏览）

不同于我国或欧盟，美国联邦层面尚未通过针对私营部门个人信息保护的综合性立法。美国私营部门隐私保护成文法错综复杂，但从框架上可以分为一般性的消费者保护，以及具体领域（具体场景）的保护。在一般性的消费者保护上，可以由联邦贸易委员会通过执行《联邦贸易委员会法》第5条对一般性的消费者保护问题进行监管。在具体领域或具体场景的保护上，美国联邦和各州针对医疗健康、金融、电信、在线服务、教育、数字化营销、劳工关系、儿童个人信息保护、数据安全事件、行政执法、诉讼和政府调查中的数据调取等问题进行了特别规定。

在分领域保护的框架下，由于存在联邦与州两级立法架构，美国法还存在联邦法律是否相较于州法律优先适用（preemption）的问题，部分联邦法律完全优先于州法律适用，部分联邦法律让步于更为严格的州法律，还有部分联邦法律仅在州法律缺位时适用。除此之外，考虑到互联网服务不再具有强烈的地域性色彩，已有的各州法律在管辖范围上可能存在重叠和冲突，联邦法与州法之间的关系显得更为复杂。

对于个人信息主体而言，如何对数据处理活动建立起“合理的隐私期待”；对于美国本土公司或是在美国经营业务的跨国公司而言，如何保证在隐私保护法上的合规水平；对于执法机构而言，如何处理管辖权冲突和监管独立性矛盾，都是棘手的问题。为此，过去几年中，美国联邦层面和州层面都在积极探索综合性信息隐私保护法的制定。本文针对美国私营部门隐私保护成文法框架进行初步梳理，以供理论界和实务届参考。

在美国，联邦层面一般性的消费者保护职责由美国联邦贸易委员会（the Federal Trade Commission，FTC）承担。FTC成立于1914年，设立之初作为反托拉斯法的执行机构，最初的职责在于保护市场竞争秩序，规制有碍竞争的行为。1938年美国国会通过《惠勒—利法》（the Wheeler–Lea Act of 1938）对《联邦贸易委员会法》（Federal Trade Commission Act）进行修订，将第5条“不公平的竞争手段”修改为“不公平的竞争手段以及不公平或欺骗性的商业行为或做法”，由此确立了FTC的一般消费者保护职能。

在实践中，联邦贸易委员会可以通过同意令（consent decrees）和附带的同意命令（consent orders）的形式开展隐私执法行动。在同意令中，被告无需承认其存在过错，但需要承诺改变其行为，以避免就此问题被提起诉讼。一旦个人或公司接受同意令，任何违反该同意令的行为都可能导致联邦地区法院强制执行该同意令。联邦贸易委员会中的消费者保护局与美国司法部合作，监督和起诉违反同意令的行为。

除了《联邦贸易委员会法》之外，FTC还依据《儿童在线隐私保护法》（Children’s Online Privacy Protection Act，COPPA）《格雷姆-里奇-比利雷法》，（Gramm-Leach-Bliley Act，GLBA）、《电话营销和消费者欺诈滥用行为预防法》（Telemarketing and Consumer Fraud Abuse Prevention Act，TCFAPA）和《公平信用报告法》（Fair Credit Reporting Act，FCRA）相关条款承担监管职责（自2010年《多德-弗兰克华尔街改革和消费者保护法》出台后，部分金融领域的消费者保护职责转移给新设的消费者金融保护局，详见后文）。

医疗健康领域对于隐私保护的特殊关切可以追溯至数千年前的《希波克拉底誓言》（Hippocratic Oath）。在美国，由宪法、普通法、侵权法、联邦和州成文法以及行业准则共同构筑医疗健康领域的隐私保护框架。大体分为三个视角：第一，医疗健康信息的保密性；第二，医疗健康信息的宪法性保护；第三，对基因信息的特殊保护。

自《希波克拉底誓言》开始，医学职业道德要求医生对患者向医生披露的健康信息进行保密。美国医学协会道德和司法事务委员会发布的《对<医学伦理守则——患者信息保密>的意见》中提到，未经患者明确同意（express consent），医生不得泄露保密信息，法律另有规定的除外。^[1]

除却职业伦理准则之外，为保护医患间的信任关系，美国法设立了特殊的证据规则——证据特权（Evidentiary Privileges），赋予个人拒绝就某些事项作证或披露事实的自由，以及个人阻止其他人就某些事项作证或披露事实的权利。^[2]美国普通法并未认可医患证据特权，但大多数州在州层面已经进行规定。^[3]除此之外，各州对涉及公共健康和安全的某些疾病或伤害的报告事宜作出了例外规定。

对信息保密性的侵犯不同于隐私侵权，不需要对权利人造成“高度冒犯”或“可能的严重精神伤害”，保密性关注的不是信息的内容而是信息的来源。Neil Richards和Daniel Solove认为，在许多隐私侵权案件中，原告往往忽视了主张被告的行为违反保密规定，这是美国侵权法中一个“相对模糊且经常被忽视的角落”。^[4]

当保密义务存在时，违反此类保密义务披露患者健康信息的行为可能直接导致侵权责任。在McCormick诉England案中，^[5]法院认为，患者因不当披露其医疗健康信息而取得诉权的依据主要有：第一，成文法；第二，证据特权规则；第三，普通法中的信托原则；第四，希波克拉底誓言和医学伦理守则。规定保密义务的司法辖区在诉因上的理论基础主要包括侵犯隐私、违反默示合同约定、医疗事故或信托义务。

与保密义务相对，各州均对某些特殊疾病（例如艾滋病、癌症或者某些传染性、危害公共健康的疾病）或者伤害（例如表明虐待儿童的伤害）规定了披露要求，医生在法定情况下需要向特定对象（例如配偶、特定政府官员）履行报告义务。

在联邦层面，1996年《健康保险携带和责任法》（The Health Insurance Portability and Accountability Act of 1996，HIPAA）及其随后的修正案、配套法规划定了联邦及各州医疗健康领域受管辖实体及其特定行为隐私保护的最低限度，州层面仅在具有更为严格的法律时可以优先于HIPAA适用。HIPAA出台的最初原因并非是为了保护医疗健康信息隐私和安全，而是为了保障劳动者在工作变动时保有、获取健康保险，以及通过标准化医疗交易来提高医疗系统的效率。^[6]随后，为解决标准化交易代码应用过程中出现的隐私和医疗数据安全问题，美国卫生与公共服务部（he U.S. Department of Health and Human Services，HHS）颁布了HIPAA配套的《隐私规则》（Privacy Rule）和《安全规则》（Security Rule），被认为是典型的贯彻了公平信息实践（the Fair Information Privacy Practices，FIPs）要求的HIPAA《隐私规则》很好地体现了美国不单纯强调对个人信息的“控制”而是强调“在保护的基础上利用”的思想。2009年，为了促进信息技术在医疗健康领域的使用，鼓励受管辖实体采用电子健康记录并开发国家卫生信息网络以促进在更广泛地理区域的医疗信息共享，美国通过了《卫生信息技术促进经济和临床健康法》（the Health Information Technology for Economic and Clinical Health Act，the HITECH Act）。

受HIPAA保护的客体是“受保护的健康信息”（Protected health information，PHI），定义为：以任何形式或媒介传播或维持的，由受管辖实体或其业务伙伴所持有的，由受管辖实体或雇主创建或接收的，可以确定个人身份或提供了合理的身份证明依据的，与该个人过去、现在或未来的身体、精神状况有关的、为提供医疗服务或支付医疗费用有关的任何可识别到个人的信息。“电子形式的受保护健康信息”（Electronic protected health information，ePHI）是PHI的电子化子集。

受HIPAA管辖的实体（Covered Entities）分为三类：一是医疗保健服务提供商（Healthcare providers）。指的是以电子方式传输与某些交易相关的健康信息的医疗保健提供者，且该等交易是符合HIPAA相关规则所建立的标准交易，包括私人执业的医生和医院。二是健康卫生计划提供商（Health plans）。提供或支付医疗费用的个人和团体健康计划属于受管辖实体，包括健康保险商。三是医疗信息交换所（Healthcare clearinghouses）。指将其从另一实体收到的非标准信息处理成标准格式（或反之）的实体。除此之外，经《卫生信息技术促进经济和临床健康法案》（the Health Information Technology for Economic and Clinical Health Act，the HITECH Act）修订后，受管辖实体的商业伙伴（Business Associates）亦需要直接受HIPAA管辖。

目前，HHS已经发布HIPAA项下的《交易和代码集标准》（Transactions and Code Set Standards）、《标识符标准》（Identifier Standards）、《隐私规则》（Privacy Rule）、《安全规则》（Security Rule）、《执法规则》（Enforcement Rule）、《安全事件通知规则》（Breach Notification Rule）和《最终规则》（the Final Rule）。^[7]联邦层面，HIPAA的行政监管机构为美国卫生与公共服务部（the U.S. Department of Health and Human Services，HHS）公民权利办公室（Office for Civil Rights，OCR），违反HIPAA的刑事行为由司法部强制执行，州层面由州司法部长执行HIPAA。

HIPAA还旨在提高医疗系统效率，因此《隐私规则》关于PHI使用和披露的规则也与这个目标相适应。HIPAA授权PHI可以用作基本的医疗目的：治疗、支付和医疗保健运营活动，以及其他法定例外情况。除此之外，将PHI用作其他目的需要个人的选择加入（opt-in）授权，并且受管辖实体不得将取得个人授权作为接受治疗或者参与健康计划的条件。PHI的使用与披露也需要受到“最小必要原则”等数据保护原则的约束。值得注意的是，HIPAA《隐私规则》规定了类似于“可携带权”的权利，个人有权从受管辖实体或者其商业伙伴处获取和复制自身的PHI，这为个人就医的便利起到了极大的促进作用。除此之外，《隐私规则》及《安全规则》还规定了安全保障义务和问责制，但没有规定私人诉讼权。

由于HIPAA管辖范围十分有限，2016年，HHS联合FTC发布了《未受HIPAA监管的实体收集的健康数据的隐私和安全监督》检查报告，认为技术改变了医疗健康数据的应用场景，可穿戴监测设备等物联网设备、可以共享医疗健康数据的社交网络等应用不能被HIPAA涵盖在内，分析了此类产品和服务中个人健康信息的隐私和安全保护范围，研究HIPAA管辖范围内外的实体存在的关键性问题，并对解决这些问题提出建议。^[8]2021年，美国参议院议员提出了《保护个人健康数据法案》，^[9]2022年2月9日，美国参议院议员提出了《健康数据使用和隐私委员会法案》，^[10]均在本院小组委员会审议中。

有观点认为，任何涉及身体器官、血液、毛发的医疗行为都可以看作是对基因信息的披露，美国对以何种路径保护基因信息的争论仍在继续。^[11]美国国会鼓励个人进行基因检测，以在疾病症状出现之前进行预防，却对基因检测结果的使用可能导致的歧视现象存在担忧，因此现有的联邦法律着眼于规范对基因检测行为以及对基因检测结果的使用行为。例如，2008年《基因信息非歧视法》（Genetic Information Nondiscrimination Act of 2008，GINA）修改了《员工退休收入保障法》（the Employee Retirement Income Security Act，ERISA）、《社会保障法》（the Social Security Act）、《公共卫生服务法》（the Public Health Service Act）和《公民权利法》（the Civil Rights Act）等法律的相关条款，针对医疗保险、健康计划和劳工关系等领域中能否使用以及如何非歧视性地使用基因检测结果进行了规定，在保险保费调整、健康计划提供以及雇佣决定等行为中限制基因检测行为，或者对无明显症状情况下的基因检测结果作出歧视性决定的行为予以限制。此外，GINA还修改了HIPAA的相关条款，将基因信息纳入受HIPAA保护的健康信息的范围之内。

与联邦层面一样，各州从不同的方面对医疗健康信息进行保护，主要分为：第一，普通法上的隐私侵权；第二，规定医患间保密义务的法律；第三，规定强制性报告义务的法律；第四，规范为医学研究目的使用个人信息的法律；第五，直接对医疗健康数据保密性和披露行为进行规定的法律；第六，规定患者对医疗记录访问权限的法律；第七，综合性健康医疗隐私保护法。^[12]

美国对于金融和征信领域的隐私保护问题关注较早，最具代表性的《公平信用报告法》（the Fair Credit Reporting Act，FCRA）于1970年颁布，对消费者信用报告中相关的隐私问题进行了规定。2003年，《公平和准确的信用交易法》（the Fair and Accurate Credit Transactions Act，FACTA）修订了FCRA，并就身份盗窃等问题进行了特别规定。1999年《金融服务现代化法》（the Financial Services Modernization Act of 1999，也称为《格雷姆-里奇-比利雷法》，Gramm-Leach-Bliley Act，GLBA）对20世纪90年代末美国银行业、证券业和保险业合并所带来的侵害消费者隐私的风险作出回应。作为应对2008年金融危机的举措之一，《多德-弗兰克华尔街改革和消费者保护法》（the Dodd-Frank Wall Street Reform and Consumer Protection Act）于2010年颁布，成立了消费者金融保护局（the Consumer Financial Protection Bureau，CFPB），作为监督消费者与金融产品或服务提供商关系的监管机构。

FCRA的起源可以追溯到美国消费信贷的兴起。二战后，商家之间开始更深入地共享客户数据，以方便对贷款进行评估。到了20世纪60年代，消费信贷在经济交易中发挥着越来越重要的作用，但消费者无法访问、更无法纠正信用报告中的不准确信息，这类不准确信息对消费者造成了伤害。作为回应，国会通过了FCRA，这是第一部规范私营部门使用个人信息的联邦法律。时至今日，信用报告在美国有着举足轻重的地位，除了贷款，劳工关系、某些职业执业资格的考核以及房屋租赁，都是信用报告发挥作用的重要场合。

FCRA适用于任何向第三方提供消费者报告并收取费用的消费者报告机构（Consumer Reporting Agency，CRA）以及消费者报告的使用者（Users）。消费者报告中通常包含消费者的信用价值、信用状况、信用能力、性格、一般声誉、个人特征或生活方式等信息以及根据该类信息衍生而出的信用评分等信息。美国最大的三个CRA是Experian、Equifax和TransUnion。FCRA规定了8类消费者权利：对不利信息和不利决定的知情权；查询权；更正权；删除权；异议权；信用报告许可使用权；选择退出权；私人诉讼权。消费者报告的使用者必须具备FCRA规定的11类“经允许的目的”（permissible purpose），并向CRA证明（certifies）自己系出于该等目的使用消费者报告。在作出任何对消费者有不利影响的行为时，使用者都必须通知消费者。

2003年，《公平和准确的信用交易法》FACTA对FCRA进行了修订。在某些领域，即使州法律规定更加严格，FACTA也将优先适用。FACTA规定了消费者请求CRA对信用评分解释的权利，以及请求前述三家全国性CRA出具年度信用报告的权利。除此之外，FACTA还要求监管机构颁布消费者报告相关信息的《处置规则》（the Disposal Rule）和加强对身份盗窃的检测及预防的《红旗规则》（the Red Flags Rule）。

值得注意的是，FCRA对一类使用消费者报告信息的特殊行为进行了规制，即“预筛选”（Prescreened）。预筛选指的是信贷公司和保险公司等使用人在满足FCRA特殊要求的情况下可以获取某些类型的消费者信息用于主动向消费者提供信贷或者保险等服务。有学者认为，自动化决策、数据画像、个性化广告等是预筛选行为的新的表现形式，应当纳入FCRA的管辖范围。^[13]FTC于2016年发布的《大数据：包容或排斥》报告中指出，新的数据使用方式可能落入到FCRA的管辖范围之内，一些涉及非传统意义上的消费者信息的数据代理商可能被视为信用报告机构。^[14]

20世纪30年代大萧条时期之后，美国国会担心银行业和支付系统可能因股市波动而受到影响，颁布了《1933年银行法》（the Banking Act of 1933，又称《格拉斯-斯蒂格尔法》，the Glass-Steagall Act），限制不同类型的金融机构相互关联，将商业银行和投资银行的业务区分开来。^[15]GLBA废除了《格拉斯-斯蒂格尔法》的大部分内容，使得商业银行、投资银行和保险公司变得更加一体化，创设了金融控股公司（the financial holding company，FHC）这一新型金融机构，鼓励金融服务业进行更大程度的整合，^[16]并允许关联或非关联金融机构之间共享个人信息，同时对可能带来的隐私风险进行防范，^[17]确保“客户记录和信息的安全性和保密性”，并“防止未经授权地访问”。

GLBA仍然贯彻了在保障安全的情况下促进金融信息共享的理念。在管辖客体上，GLBA仅适用于包含“个人可识别金融信息”（personally identifiable financial information）的“非公开个人信息”（nonpublic personal information，NPI）。出于金融服务一体化的目的，GLBA允许在关联公司之间进行此类NPI的共享，消费者在GLBA项下无选择退出此类共享行为的权利（FTC认为，如果涉及到消费者报告信息，可能需要适用FCRA为消费者提供选择退出权），^[18]但要求金融机构必须就信息共享情况向消费者提供通知。相较而言，对于向非关联公司共享NPI的行为，GLBA的规定更加严格，禁止金融机构就电话营销和直接邮件营销目的向非关联公司披露消费者账号，要求金融机构采取一定的安排确保被分享的消费者信息不会被用于预期用途之外的其他目的，在提供必要服务、为自身产品或服务的营销目的以及法律要求三种情况下的共享行为消费者没有选择退出权，在其他情况下金融机构都必须积极主动地提醒消费者可以行使的选择退出向非关联第三方公司共享其个人信息的权利。

除了着眼于规范金融机构间关于NPI的共享行为，GLBA及其配套规则还对金融机构设置了安全保障义务。《GLBA安全规则》要求金融机构制定并实施包含“管理性安全”（Administrative security）、“技术性安全”（Technical security）以及“物理性安全”（Physical security）在内的综合性信息安全计划，以保障NPI的机密性、完整性和可用性。

为应对2008年美国爆发的次贷危机，2010年时任美国总统的奥巴马签署了《多德-弗兰克华尔街改革和消费者保护法》（以下简称“《多德-弗兰克法》”），认为美国管理金融部门的规则陈旧且执行不力，肆无忌惮的贷款机构将消费者锁定在具有隐藏成本的复杂贷款中，美国国际集团这样的公司利用借款进行了大规模、高风险的赌注，如果这样的大型机构面临破产，会让大量纳税人陷入困境。因此，《多德-弗兰克法》主要关注两方面问题，一是针对“大而不能倒”（too big to fail）的超级金融机构的监管；二是针对金融市场消费者的保护。《多德-弗兰克法》在美联储下新设了消费者金融保护局（the Consumer Financial Protection Bureau，CFPB），以监督消费者与金融产品和服务提供商之间的关系，履行金融领域消费者保护的职责。CFPB承继了此前由美联储（Federal Reserve board）、货币监理署（Office of the Comptroller of the Currency）、储蓄机构监理署（the Office of Thrift Supervision）、联邦存款保险公司（the Federal Deposit Insurance Corporation）、联邦贸易委员会、国家信贷联盟署（National Credit Union Administration）、住房与城市发展部（U.S. Department of Housing and Urban Development）等国家监管机构行使的消费者保护职能，成为美国历史上首次设立的一个独立且统一的金融消费者保护机关。

CFPB具备广泛的权力，例如对现有法规的审查权、法规制定权，对具体事件的调查权和执法权等。类似于《联邦贸易会员会法》第5条的规定，CFPB对金融领域“不公平和欺诈性”（unfair and deceptive acts or practices）的行为具有监管权，除此之外，还对金融领域的“滥用行为”（abusive acts and practices）具有监管权，此类滥用行为指的是：严重干扰消费者理解消费金融产品或服务的条款或条件的能力；利用消费者对产品或服务的重大风险、成本或条件缺乏了解的情况获取不当优势；利用消费者在选择或使用消费金融产品或服务时对自身利益保护能力的缺乏获取不当优势；利用消费者对受管辖主体的合理信赖获取不当优势。^[19]

与GLBA规定的金融机构间信息共享的较大自由度不同，部分州采取了更为严格的规定。例如佛蒙特州要求金融机构在与非关联公司共享个人数据之前取得个人的同意。新墨西哥州也有类似规定。向来注重隐私保护的加利福尼亚州认为GLBA未能满足加州居民的隐私保护需求，因此《加州金融信息隐私法》进一步扩大了GLBA下的隐私保护要求，要求金融机构在与非关联公司共享个人数据之前取得个人的书面同意，且金融机构不得与非属同一行业的关联公司之间共享个人信息。

在教育领域，联邦法主要针对“教育记录”（education records）这一类别的信息进行隐私保护，相关的法律主要是《家庭教育权利和隐私法》（the Family Educational Rights and Privacy Act，FERPA）及相关修正案。儿童个人信息保护则有著名的1998年《儿童在线隐私保护法》及其相关的配套法规和行业自律准则。

FERPA包括了FIPs的主要方面，包括通知、知情同意、访问权和更正权、安全保障原则和问责制。^[20]FERPA适用的客体是“教育记录”，将例如校园警察记录、申请人记录和校友记录等一些特定信息排除在范围之外。对教育记录进行的合法披露须得满足以下条件之一：（1）披露信息不属于个人可识别信息；（2）披露信息属于“目录信息”且未经学生限制披露；（3）披露信息的行为已经取得权利人的书面知情同意；（4）披露行为的对象是权利人；（5）法律规定的其他例外情形，共有十项，涉及为维护合法教育利益需要、为入学或转学需要、为经济资助需要、为研究目的需要、为认证需要、为防止性犯罪需要、为核实信息等需要、为执法或司法需要、为保护学生或其他人的健康或安全所需要。

除了教育信息，FERPA还规定了对“目录信息”（Directory information）使用规则，将其视为通常不会被认为是侵犯隐私或者披露后可能造成伤害的信息，并且并未指定目录信息的具体清单，而是交由各受管辖机构指定自己的目录信息清单。但受管辖机构在实际使用该清单之前，必须为学生提供选择退出或者阻止发布的机会。

20世纪90年代，美国社会和政府均已意识到网络上对儿童信息的滥用已经带来极大的风险，一些非官方的研究数据揭示了这其中可能存在的问题，政府机构的调查认为行业自律的水平远远未达到保护儿童的要求。这一时期，国会试图通过对网络内容加以规制来保护儿童，例如《通信规范法》《儿童色情制品预防法》和《儿童在线保护法》，但此类立法尝试多以与宪法第一修正案所保护的言论自由价值的博弈中落败。^[21]随后，国会对儿童保护的重点从网络内容管理转向网络服务提供商的信息处理行为，1998年《儿童在线隐私保护法》（the Children's Online Privacy Protection Act of 1998，COPPA）颁布并于2000年生效，优先于所有州法律适用。

COPPA要求网站服务商制定透明、详细的隐私政策公开其针对儿童个人信息的处理活动，在收集13岁以下儿童的个人信息之前获得父母可验证的同意，向家长披露网站收集的有关其子女的任何信息，并尊重其撤回同意以及删除信息的权利。除此之外，FTC发布了适用COPPA的具体规则，如果运营商遵循FTC批准的指南取得了相关认证，视为满足COPPA的要求。^[22]

美国通信领域的隐私保护法着眼于对通信内容和通信服务客户的个人信息进行保护，主要从两个方面入手：第一，规范通信内容的拦截、使用和披露；第二，规范客户数据的收集、使用和披露。但领域更为细分，包括了有线、无线通信，电子邮件，电话营销，视频服务等。

1984年《有线通信政策法》（the Cable Communications Policy Act of 1984）适用于有线服务提供商（Cable Service Providers，CSP），规定了CSP必须向客户提供的关于个人信息处理活动的通知，收集、使用、传播、保留和销毁PI的要求，并针对违法行为规定了私人诉讼权，设置了法定损害赔偿金，并允许惩罚性损害赔偿责任的适用。

1988年《视频隐私保护法》（the Video Privacy Protection Act of 1988，VPPA）适用于录像带服务提供商（Video Tape Service Providers，VTSP），原则上禁止VTSP披露客户的PI，除非获得消费者的书面同意或者例外情形适用。

考虑到自VPPA颁布以来，视频传输技术和业态发生了巨大的变化，2012年美国国会通过了VPPA的修正案，允许一次性有效期最长为两年的消费者同意。

在1996年《电信法》（the Telecommunications Act of 1996）出台之前，电信运营商可以在未经消费者同意的情况下向第三方营销人员出售客户数据。为此，《电信法》对客户专有网络信息（customer proprietary network information，CPNI）的访问、使用和披露施加了限制，运营商只能在客户批准（approval）和法律要求的情况下使用和披露CPNI，但例外情况，例如出于营销目的在客户已经订阅的服务类别中使用、披露或提供营销产品不需要客户批准，CPNI还可以被用于计费、收款等必需的服务，以及欺诈预防、紧急服务等特殊事项。2007年联邦通信委员会发布的命令要求在客户明确同意（expressly consent）或选择加入（opt in）的情况下，运营商才能出于营销目的与合资伙伴（joint venture partners）或独立承包商（independent contractors）共享CPNI。^[23]

美国国会认为，电子邮件已成为重要的通信方式，而未经请求的商业电子邮件数量的快速增长影响了电子邮件的便利性和效率，欺诈性内容可能导致收件人的损失，色情内容不宜为部分收件人所阅读，给利害关系人造成了巨大的成本。同时，州法律法规为管理未经请求的商业电子邮件颁布的立法众多，企业合规难度很高，因此颁布了2003年《反垃圾邮件法》（Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003，CAN-SPAM Act），严格优先于相关州法律适用。CAN-SPAM的目的不在于禁止所有未经请求的商业电子邮件，而是为市场主体提供一种向潜在客户合法发送商业电子邮件的机制，并尊重个人选择退出不必要通信的权利。

CAN-SPAM的主要内容包括：禁止使用虚假或者误导性的邮件标头信息；禁止使用欺诈性的邮件标题；要求商业电子邮件包含一个功能正常、清晰且显眼的电子邮件地回复地址，允许收件人联系发件人；要求所有商业电子邮件都包含明确且显眼的选择退出通知，以及执行选择退出的免费机制；禁止向要求以后不再接收电子邮件的个人发送商业电子邮件；要求所有商业邮件包括明确且明显的标识，表明该邮件是商业邮件，以及发件人的有效实际邮件地址；禁止一些“严重违法行为”，例如地址获取和字典攻击等；要求所有含有性取向材料的商业邮件都要附上警告标签。除此之外，为促进交易效率的提升，CAN-SPAM对于“交易性或关系性信息”（transactional or relationship messages）排除在管辖范围之外。

美国联邦层面没有关于劳工关系领域隐私保护的综合性法律，仅针对特定问题作出特别立法，例如禁止歧视、规范某些工作场所的做法（如药物滥用测试、就业筛查、测谎仪和信用报告的使用等）。与之相对的是，许多法律要求雇主对员工收集信息进行背景调查、劳动保护等，以保障与工作内容相适应的安全性。

美国法律将雇主和员工之间的关系从根本上视为合同法问题，这意味着雇主有广泛的自主权来决定是否雇佣员工，这种自主权赋予了雇主在定义雇佣关系的其他方面的广泛自由，例如雇主关于员工背景调查的内容。与此同时，合同也可以成为雇主义务的来源。如果雇主在合同中承诺尊重员工隐私的某些行为，那么违反这些承诺可能构成违约行为。在美国，涉及员工隐私的最重要合同是集体谈判协议（Collective Bargaining Agreements），工会经常就保护员工隐私的条款与雇主进行谈判。

美国已经由许多禁止就业歧视的联邦法律，例如：1964年《民权法》（the Civil Rights Act of 1964）第七章禁止基于种族、肤色、宗教、性别和民族血统的就业歧视；1963年《同工同酬法》（the Equal Pay Act of 1963）禁止基于性别的工资歧视；《年龄歧视法》（the Age Discrimination Act）禁止歧视40岁以上的劳动者；《怀孕歧视法》（the Pregnancy Discrimination Act）禁止因怀孕、分娩和相关医学情况而进行歧视；1990年《美国残疾人法》（the Americans with Disabilities Act of 1990）禁止歧视满足用工条件的残疾人；2008年《基因信息非歧视法》（the Genetic Information Nondiscrimination Act of 2008）禁止基于个人基因信息的歧视；《破产法》（the Bankruptcy Act）第11条禁止对破产人员进行就业歧视等。

部分与员工相关的法律涉及对隐私信息的收集和处理。例如，1996年《健康保险携带和责任法》（HIPAA）《隐私规则》和《安全规则》，对健康保险公司的“受保护健康信息”进行管理，包括自筹资金的健康计划。《综合综合预算调节法》（the Consolidated Omnibus Budget Reconciliation Act，COBRA）要求合格的医疗计划在终止后为某些福利提供持续覆盖。《员工退休收入保障法》（the Employee Retirement Income Security Act，ERISA）确保员工福利计划的制定公平且管理得当。《家庭和医疗休假法》（the Family and Medical Leave Act，FMLA）赋予某些员工在自己或家庭成员出生或患病时享有无薪休假的权利。

《公平信用报告法》（FCRA）规定了从消费者报告机构（CRA）获得的“消费者报告”在员工参考资料检查和背景调查中的使用；《公平劳动标准法》（the Fair Labor Standards Act，FLSA）规定了最低工资，并设定了公平工资标准；《职业安全与健康法》（the Occupational Safety and Health Act，OSHA）规定了工作场所安全事宜；《国家劳动关系法》（the National Labor Relations Act，NLRA）规定了集体谈判的标准；《移民改革和控制法案》（the Immigration Reform and Control Act，IRCA）要求对员工的就业资格进行验证；1934年的《证券交易法》（the Securities Exchange Act of 1934）要求披露上市公司高管的薪酬和其他信息，以及经纪人和转让代理人等市场参与者的注册要求。

FCRA规定的“经许可的目的”包括“为雇佣关系目的”，包含雇佣前筛选以及雇佣关系过程当中对消费者报告的使用，但FCRA也对劳工关系中雇主使用消费者报告的行为作出了特殊限制，例如要求雇主在获得报告之前取得消费者的书面授权，向CRA证明已经取得该等授权，并且在对消费者采取有不利影响的行为前向其提供报告副本及消费者权利摘要，在对消费者采取有不利影响的行为后发送通知等。

1988年《员工测谎保护法》（the Employee Polygraph Protection Act of 1988，EPPA）及配套法规是美国工作场所隐私保护的一个突出例子，雇主不得对在职员工或申请人筛选使用“测谎仪”（lie detectors）测试忠诚度，亦不得对拒绝此类测试的员工采取不利行为。但EPPA对某些职业类型设置了例外，例如政府、安全部门、国防部门等。除此之外，EPPA还对工作场所心理测试以判断员工心理健康的行为进行了限制。

美国联邦层面尚未存在直接管理非法药物、毒品、酒精和烟草等物质检测的隐私法，仅对航空、铁路以及卡车运输等某些特殊行业的物质使用检测出台了相应法规，涉及的情形包括就职前检测、合理怀疑情况下检测、日常检测、事件后检测以及随机检测。但大多数州都通过了相关的州法律。

在美国，私营部门员工对工作场所的隐私被认为是具有更有限的“合理的隐私期待”。由于工作场所的实体设施属于雇主，因此私营部门的雇主通常有广泛的法律权利在工作中进行监控和搜查。计算机和其他IT设备同样属于雇主的财产，因此雇主对如何使用这些设备拥有广泛的权利。随着技术的发展，摄像头、流量监控等手段更多地用在工作场所的监控中。美国法认为，应当至少在监控之前论证监控的必要性，将必要监控的各项细节向员工公开，例如何时何地开展监控、数据使用的目的、数据可能披露的对象以及违规行为所可能导致的后果，以帮助员工建立起“合理的隐私期待”。相关的法律有《窃听法》（the Wiretap Act）、《电子通信隐私法》（the Electronic Communications Privacy Act）、《存储通信法》（the Stored Communications Act）等。工会也可以通过集体谈判协议对雇主的监控行为作出约束。

美国联邦层面尚未出台统一的数据安全事件通知法，但根据国际隐私专业协会（The International Association of Privacy Professionals，IAPP）统计，美国所有州都出台了有关个数据安全事件的通知制度。^[24]2002年《加州数据安全事件通知法》（以下简称“SB1386”）是美国第一部数据安全事件通知法，规定“在加利福尼亚州开展业务的任何个人或企业，以及所有或经授权使用包含个人信息的计算机化数据的个人或企业，应在发现或通知违反数据安全的行为后，向被他人未经授权获取或可以合理推定被他人未经授权获取未加密个人信息的加利福尼亚州居民披露任何违反系统安全的行为。披露应尽可能在最有利的时间进行，不得无故拖延，并符合执法的合法需要”。^[25]2004年，一个身份盗窃团伙获得了ChoicePoint持有的145000份消费者个人信息的访问权限，包括姓名、地址和社会安全号码，其中700人因为各种形式的身份盗窃行为而遭受损害。ChoicePoint公司于2004年10月发现了相关的欺诈行为，但为了避免妨碍执法调查，在2005年2月才依据SB1386向受影响的加州消费者发送了数据安全事件通知，在许多州司法部长发表声明和公众抗议之后，ChoicePoint才决定通知所有受数据安全事件影响的个人。^[26]这一事件使得SB1386受到了全国的关注，在这之后，许多州都颁布了类似SB1386的数据安全事件通知法，立法目的大致相同，却在以下要素上略有差别：

各州就何种情况下将发送通知作为一项强制性义务的规定并不相同。一部分州法律要求信息被未经授权地访问或获取的情形是否发生是合理可信的（a reasonable belief），也即仅需要第三方可以访问该信息时，通知就变成一项强制义务，而无需证明第三方实际获得了对该等信息的控制权。部分州法律要求披露仅在发现滥用的合理可能性（a reasonable likelihood of misuse）或者对受影响方造成实际伤害的风险（material risk of harm）时是一项强制性义务，缩窄了触发通知的要件范围。2012年，加州隐私保护办公室发布了《关于涉及个人信息的安全事件通知的建议做法》，^[27]列出了触发通知的需要考虑的三个因素：（1）有证据表明信息由未经授权的人员实际拥有和控制，例如丢失或被盗的计算机或其他设备；（2）有证据表明信息已被下载或复制；（3）有证据表明信息被未经授权的人使用，如开立的欺诈账户或报告的身份盗窃事件。

多数州法律规定数据安全事件不存在造成损害的合理可能性（no reasonable likelihood）时相关实体可以免予履行通知义务；部分州规定相关实体需要向有关部门上报后按照决定进行处理；还有部分州规定数据安全事件不存在数据被滥用的合理可能性（no reasonable likelihood）时相关实体可以免予履行通知义务。

所有州都要求向受影响的个人进行通知披露，绝大部分州还要求向数据的所有者或被许可使用人进行通知披露。除此之外，部分州法律在1000人或更多人受到安全事件影响的情况下要求相关实体向信用报告机构（credit reporting agencies）进行通知披露。部分州法律还要求相关实体向州司法部长、其他州监管机构和数据代理人披露信息。

只有少数州法律规定了私人诉讼权，受影响当事人可以以私力救济的方式起诉违反州数据安全事件通知法的行为。在未规定私人诉讼权的州，只有有权机构（通常是州司法部长）才能就该行为提起诉讼。目前，50个州相关法案中有35个没有就私人诉讼权作出规定。

表1 美国各州数据安全事件通知法要点