2017.05.02 封锐 杨和 熊一斌
一、事件源起
2016年12月2日,美国联邦通信委员会(Federal Communications Commission,以下简称“通信委员会”)颁布了《宽带和其它电信服务中用户隐私保护规则》(Protecting the Privacy of Customers of Broadband and Other Telecommunications Services,简称“《电信用户隐私保护规则》”),将1934年《美国电信法案》中的用户个人信息保护要求应用到了宽带因特网接入服务(broadband Internet access service,以下简称“宽带接入服务”)中,以促进用户信息和隐私的保护。
2017年3月7日,美国参议院收到提案,要求废除《电信用户隐私保护规则》。2017年3月23日,美国参议院以50赞成票比48反对票通过“参议院第34号联合决议”,同意废除《电信用户隐私保护规则》;3月28日,共和党占据优势的美国众议院以215票赞成205票反对的结果通过该决议;4月3日,美国总统特朗普签署了废除《电信用户隐私保护规则》的国会决议。
二、宽带接入服务的监管权之争
根据《美国联邦贸易委员会法案》(Federal Trade Commission Act)的规定,美国联邦贸易委员会(Federal Trade Commission,以下简称“贸易委员会”)对公共电信运营商的运营及服务活动不享有监管权力。2015年4月之前,宽带接入服务一直由贸易委员会作为“信息服务”(Information Service)而非“电信服务”负责监管。鉴于消费者保护(包括保护消费者数据与隐私的安全)也是贸易委员会的职责之一,因此,对与宽带接入服务相关的用户隐私保护,自然也根据贸易委员会自身的消费者信息保护机制进行监管。对此,《联邦贸易委员会法案》作出了一些原则性的要求,禁止任何影响商业公正或具有欺骗性行为,包括在使用和保护消费者个人信息方面作出的欺骗性陈述和不公平行为。贸易委员会“隐私和个人信息保护局”负责消费者个人隐私、信息安全相关规则的执法工作。一些与信息或隐私保护相关的立法,如《公平信用报告法》和《儿童线上隐私保护法》,也指定贸易委员会作为执法机构。据此,隐私和个人信息保护局针对不同类型的企业实施了大量执法行动,这些执法行动也促使企业创建并不断完善消费者数据保护政策。
2015年4月13日,通信委员会颁布了《网络中立规范》(Net Neutrality Regulations),将宽带接入服务划归公共电信运营服务类别。鉴于历经修订的1934年《美国电信法案》指定通信委员会监管公共电信运营服务商,《网络中立规范》的颁布,等于将宽带接入服务的监管权限由贸易委员会转移至通信委员会,相关的用户隐私保护监管权限也同时转移。正是在这一背景下,通信委员会于2016年底颁布了《电信用户隐私保护规则》。一般认为,《电信用户隐私保护规则》项下对电信服务的隐私保护要求,较之贸易委员会对信息服务监管对象的数据隐私保护要求更加严格。
三、《电信用户隐私保护规则》的主要原则
《电信用户隐私保护规则》通过规范透明度、选择性和数据安全这三个方面来构建隐私保护框架,并加强了对敏感用户信息的保护,其中主要规定了以下内容:
1. 适用主体为宽带和电信服务运营商;
2. 要求电信运营商清晰准确地将隐私保护政策告知用户;
3. 使用或分享用户敏感信息时,应采用选择性加入(opt-in)机制,即获得用户的明确同意;使用或分享用户非敏感信息时,应采用选择性退出(opt-out)机制,即除非用户明确表示拒绝,电信运营商可使用或分享该信息;
4. 采纳合理措施以保护用户个人信息;
5. 当发生可能产生损害的数据泄漏时,应当通知用户、通信委员会和调查执法人员;
6. 不得以用户让渡隐私权作为向用户提供服务的条件;
7. 电信运营商只有在提供显著的通知且获得用户明确同意的情况下,才能通过金钱激励来换取使用用户保密信息的权利。
四、废除《电信用户隐私保护规则》的影响
通信委员会现任主席Ajit Pai就《电信用户隐私保护规则》被废除发表声明称,特朗普政府和国会部分废除奥巴马时代的网络服务监管计划是适当的,因为这些隐私保护规则本身具有瑕疵,并且通信委员会应停止插手隐私保护领域,并与贸易委员会合作,恢复贸易委员会在电信服务提供者隐私保护政策制定和监管方面的权力。但是,根据媒体报道,对于《电信用户隐私保护规则》废除之后可能产生的影响,美国社会存在巨大的争议。
《电信用户隐私保护规则》的支持者认为,废除《电信用户隐私保护规则》意味着Comcast、Verizon、AT&T等电信公司及其他宽带公司将掌握并控制用户信息,并可以在无需用户同意的情形下收集和销售用户敏感信息,这是放任侵犯用户个人隐私的行为,违背了美国公众希望加强个人隐私保护的意愿。《电信用户隐私保护规则》废除后,宽带和电信服务提供商在使用用户数据方面几乎没有限制,相当于完全放弃了对宽带用户的隐私保护。另一方面,在替代《电信用户隐私保护规则》的新的法律监管框架出台之前就将其废除,也会导致宽带及电信公司在用户隐私保护的执行上无所适从。
废除《电信用户隐私保护规则》的支持者认为,即使废除《电信用户隐私保护规则》,仍有诸多联邦法律和政策继续有效,电信企业也已据此制定了消费者数据保护的内部规则,有动力为用户提供充分的保护。相反,《电信用户隐私保护规则》适用对象仅包括宽带公司和其它电信公司,却不适用于受贸易委员会监管的Google、Facebook、Netflix等互联网公司或应用软件运营商,这会给后者在使用用户信息获取商业利润方面带来极大的竞争优势。自《电信用户隐私保护规则》颁布以来,宽带运营商和电信公司便极力反对,这是其中最主要的原因。它们认为,消除《电信用户隐私保护规则》引发的不确定性和混乱,可以大大增强用户的隐私安全。
更关键的是,《电信用户隐私保护规则》的反对者希望通过废除该规则,逐步恢复贸易委员会在消费者隐私保护领域内的统一监管权,进而利用其丰富的执法经验在所有网络服务提供商之间适用统一的监管标准。而这一目标,似乎只有通过修改《网络中立规范》才能实现。在此之前,对于宽带接入服务提供商的用户隐私保护监管规则、标准以及执法主体,似乎要进入一段相对混乱的时期。但无论如何,《电信用户隐私保护规则》所确立的一些基本原则,值得中国的立法者和相关服务提供商制定用户信息保护政策时加以借鉴。