美國隱私泄露引發(fā)法律風(fēng)險

魏道培

黑客先后兩次攻入希爾頓公司的內(nèi)部網(wǎng)絡(luò)系統(tǒng)，導(dǎo)致大量客戶信息泄露。這是美國2015年年底披露的一樁大案。最初，這家世界著名酒店公司只想弄清旗下連鎖酒店的財(cái)產(chǎn)資料是否泄露。緊接著，美國信息安全技術(shù)獨(dú)立調(diào)查人布里安·克里布斯（Brian Krebs）發(fā)布消息稱，希爾頓公司的餐館、酒吧、禮品店的所有終端都已發(fā)現(xiàn)收集個人財(cái)務(wù)信息的惡意軟件，大量客戶個人信息可能被劫。

此后，希爾頓再次確認(rèn)，公司內(nèi)部系統(tǒng)遭入侵，尤其是HLT0.53%數(shù)據(jù)系統(tǒng)。這類惡意軟件是專門設(shè)計(jì)用于收集個人支付卡信息，包括持卡人姓名、支付卡卡號、密碼和有效期。此時，希爾頓公司才意識到他們低估了問題的嚴(yán)重性，于是立即開展深入調(diào)查并著手強(qiáng)化網(wǎng)絡(luò)安全。事實(shí)上，他們已無法準(zhǔn)確說出，被盜信息中包含了多少持卡人姓名、支付卡賬號、安全代碼和有效期。

個人信息泄露日趨嚴(yán)重

希爾頓是世界最著名的酒店服務(wù)公司之一。它在全球97個國家和地區(qū)擁有4500家連鎖酒店。此案已發(fā)，若不盡快通知個人客戶，希爾頓公司就可能承擔(dān)刑責(zé)，或被告上法庭，賠償客戶因此遭遇的財(cái)物損失。他們不得不通知一定期限內(nèi)曾住宿、用餐和購物的所有客戶，要求其查詢并核實(shí)自己的銀行賬單，修改密碼，還向一定期限內(nèi)購買服務(wù)的客戶免費(fèi)提供一年的信用監(jiān)控與查詢服務(wù)。其實(shí)，黑客盯上的酒店已不止希爾頓，美國萬豪酒店公司曾同意并購擁有120億美元資產(chǎn)的連鎖酒店，但發(fā)現(xiàn)即將并購的外公司有54家的個人客戶信息遭泄露，若并購，那么其他萬豪連鎖酒店也有可能遭入侵。

在美國歷史上，公司曾把客戶的姓名、年齡、購買情況、家庭住址、社會安全代碼和其他個人信息視作有價資產(chǎn)加以收集利用，在某些情況下出售而不經(jīng)用戶同意。政府在過去也并無監(jiān)管措施。但自從有了互聯(lián)網(wǎng)，個人信息可輕易收集、使用、搜索和分享，因此濫用個人信息越來越普遍，引發(fā)的信息安全問題也越來越突出，這導(dǎo)致涉事機(jī)構(gòu)和個人泄露有價值的信息問題日趨嚴(yán)重。為遏制這一勢頭，美國國會與各州議會相繼推出法律規(guī)范措施并規(guī)定，無論是紙質(zhì)還是電子文檔，只要涉及個人敏感數(shù)據(jù)，涉事單位或個人都要給予分等級的管控，否則他們將承擔(dān)法律責(zé)任。

然而，盡管聯(lián)邦法院制定的法規(guī)嚴(yán)格限制了收集、使用和分享個人信息，但信息技術(shù)日新月異，法律的更新往往落后于技術(shù)的發(fā)展。在此之前，美國聯(lián)邦貿(mào)易委員會（FTC）也相繼推出行業(yè)自律規(guī)則，包括客戶隱私信息的使用規(guī)范，也制定了隱私數(shù)據(jù)保護(hù)規(guī)定，即未經(jīng)授權(quán)不得隨意使用。

早在2009年初，《美國數(shù)據(jù)泄露成本研究》發(fā)布報告稱，2008年美國公司信息泄露，導(dǎo)致客戶人均損失202美元，而2007年僅為197美元，更比2005年提高了40%。公司因此造成損失更高，平均達(dá)665萬美元。倘若提早應(yīng)對，即可防患于未然。在過去三年中，美國執(zhí)法部門對機(jī)構(gòu)和個人的數(shù)據(jù)安全關(guān)注度進(jìn)一步提高，原因是過去制定的相關(guān)法規(guī)越來越不適應(yīng)需要，法不治眾普遍存在，屢次出現(xiàn)大規(guī)模的泄露隱私數(shù)據(jù)的案情，用立法來遏制這一勢頭已成必然。

個人信息泄露給機(jī)構(gòu)帶來災(zāi)難

聯(lián)邦貿(mào)易委員會已明文規(guī)定，任何機(jī)構(gòu)只要泄露客戶的個人信息，尤其是敏感信息，那么它必須承擔(dān)相應(yīng)的法律責(zé)任。公司泄露個人信息不僅要承擔(dān)法律責(zé)任，而且還意味著丟失潛在的客戶、收益和股份價值，同時也使公司深陷絕境，形象受損。當(dāng)然，這要取決于公司的類型和泄露數(shù)據(jù)的性質(zhì)。最普遍的泄露案件是網(wǎng)絡(luò)遭入侵、非安全的無線通信、桌面終端被盜等等，也有郵件、惡意軟件、人為操作和攝像失誤等方式。一份調(diào)查發(fā)現(xiàn)，美國約有74%的隱私數(shù)據(jù)泄露屬于外部劫取，32%屬于商務(wù)搭檔搞鬼，另有20%屬內(nèi)賊竊取。

資金或有價票據(jù)的信息泄露時，公司要付出高昂的代價。據(jù)彭那蒙研究，美國公司一臺筆記本電腦丟失，平均造成價值20萬美元的數(shù)據(jù)損失，若加上調(diào)查費(fèi)、客戶咨詢、危機(jī)管控、中心呼叫、信用監(jiān)控、律師費(fèi)、罰款、訴訟費(fèi)、傳票費(fèi)、法庭專家認(rèn)定費(fèi)等等，損失不可估量。

個人信息的泄露在美國也要分性質(zhì)和嚴(yán)重程度。若敏感信息泄露，如金融機(jī)構(gòu)和健康護(hù)理提供商泄露了客戶個人信息，那么他們不僅要承擔(dān)法律責(zé)任，而且還會作為丑聞曝光，最大限度地披露出來。此外，若公司雇員泄露了未經(jīng)授權(quán)的個人信息，那么這類案件將被刊登在當(dāng)?shù)仡^版頭條新聞上，還會引發(fā)連鎖反應(yīng)。美國大陸航空公司就是最典型的一例。一筆記本電腦丟失在異地，內(nèi)有200名乘客的姓名、地址、社會安全代碼和指紋。隨之，美國最大的信用卡支付系統(tǒng)公司之一HPS（Heartland Payment Systems）公司宣布，大陸航空的失竊案造成了美國有史以來最大的個人信息泄露案。竊賊依據(jù)盜取的個人社會安全代碼進(jìn)入這家支付系統(tǒng)公司內(nèi)網(wǎng)，進(jìn)行了大量的非法交易，導(dǎo)致該公司月均1億美元被人從銀行刷走，超過17萬商人的賬戶受影響。隨后，這家支付公司被起訴，罪名是，他們未能及時通知相關(guān)用戶而造成巨額損失。另一案例是2009年4月，俄克拉荷馬州政府公共事業(yè)部遭遇一次意外事故。竊賊從政府雇員車中盜走一臺筆記本電腦，內(nèi)裝100萬居民的姓名、地址、家庭電話號碼和社會安全代碼，并且這份文件未加密。2010年，美國最大的折價商業(yè)公司TJX的網(wǎng)絡(luò)系統(tǒng)有4570萬張未加密的客戶信用卡和借記卡遭黑客盜取。調(diào)查表明，該公司的所有電腦數(shù)據(jù)和現(xiàn)金記錄機(jī)上的所有個人信息都遭到詐騙團(tuán)伙用技術(shù)手段劫走。此案導(dǎo)致該公司直接損失在2.56億-5億美元之間，間接損失高達(dá)10億美元，涉及全美眾多的客戶、發(fā)卡銀行、州銀行協(xié)會和股東。此后，美國FBI在全球范圍內(nèi)抓獲11名相關(guān)嫌疑人。2008年，美國俄亥俄州一家醫(yī)療保險公司丟失11張光盤，內(nèi)含3.6萬雇員和退休人員的個人信息。最終這些光盤被找到，然后在寄往哥倫布市的途中再次丟失。消息一傳出即在美國引發(fā)軒然大波。

公司淡漠客戶個人信息，泄露了本可以避免泄露的客戶敏感信息，他們不僅要造成巨額損失，而且還要面臨法律的制裁并擔(dān)刑責(zé)，還存在倒閉的風(fēng)險。2005年，美國凱撒醫(yī)療公司（Kaiser Permanente）的一位雇員由于對老板不滿，竟把公司一份文件鏈接到她自己的博客上，包括醫(yī)療客戶個人姓名、IP地址、計(jì)算機(jī)代碼，總共導(dǎo)致140名客戶信息泄露。由此，她使公司違反了美國HIPAA法，即《健康保險攜帶和責(zé)任法》，該公司被罰20萬美元。又如，2008年美國華盛頓都市地區(qū)高速運(yùn)輸管理局未經(jīng)授權(quán)把所有雇員的社會安全代碼發(fā)布在網(wǎng)站上。按理說，這是公司內(nèi)部事務(wù)，但由于未經(jīng)授權(quán)，因此被認(rèn)定為“非法發(fā)布”，一時成為眾矢之的。

美國公民的個人信息丟失引發(fā)的社會犯罪日趨嚴(yán)重，最終迫使美國聯(lián)邦政府與州政府兩個層次采取立法措施。聯(lián)邦政府立法部門先后推出系列法律，要求各機(jī)構(gòu)采取措施保護(hù)個人信息，尤其是敏感信息，如財(cái)務(wù)、健康信息，兒童信息也在保護(hù)之列。各州立法部門還向個人消費(fèi)者提供保護(hù)個人信息的方法。截至目前，美國已有44個州立法保護(hù)個人信息。最近哥倫比亞特區(qū)、美屬維京群島也列入其中，其總的要求是：商業(yè)企業(yè)務(wù)必制定嚴(yán)密的安全規(guī)章制度，采取自律措施，限制雇員的行為。

美國保護(hù)個人信息最著名的聯(lián)邦與州法律措施

*聯(lián)邦政府立法措施

·1996年聯(lián)邦政府頒布并實(shí)施HIPAA法，即《健康保險攜帶和責(zé)任法》。該法明確規(guī)定，健康信息（PHI）權(quán)屬于受保護(hù)的個人隱私，任何個人或機(jī)構(gòu)未經(jīng)授權(quán)，無論有意無意或任何形式，不管是紙質(zhì)還是電子文檔，均在保護(hù)之列。

·2009年，美國頒布實(shí)施《經(jīng)濟(jì)復(fù)蘇及再投資法》，該法再次強(qiáng)制規(guī)定，在披露個人健康信息前必須經(jīng)由本人同意。

·1999年，克林頓總統(tǒng)簽署了當(dāng)時最具影響力的《金融服務(wù)現(xiàn)代化法》，它要求美國的所有金融機(jī)構(gòu)，一旦發(fā)生個人信息泄露，必須立即通知每一位相關(guān)客戶，否則將承擔(dān)因此引發(fā)的法律責(zé)任。

·2005年，美國立法部門在2003年頒布實(shí)施的《公平與準(zhǔn)確信用交易法》（FACTA）基礎(chǔ)上，再推出與之配套的《處置規(guī)則》（Disposal Rule），旨在進(jìn)一步細(xì)化管控措施，杜絕非授權(quán)使用和其他不當(dāng)使用個人信息，禁止機(jī)構(gòu)保留、收集或另作他用。

·1998年，美國頒布實(shí)施《兒童在線隱私權(quán)保護(hù)法》（COPPA）。該法旨在賦予父母管控孩子上網(wǎng)使用信息的權(quán)利，同時預(yù)防不法分子從孩子處收集家庭敏感信息。

·《聯(lián)邦貿(mào)易委員會法》（FTC ACT）是在20世紀(jì)初就已制定，此后隨著時代的變遷歷經(jīng)多次修訂。該法禁止不公平競爭或欺騙手段或以非公正的行為影響市場。最新修訂的該法明文規(guī)定，若機(jī)構(gòu)未經(jīng)授權(quán)采集，使用和分享個人信息，將被視作“非公平”、“欺詐”的貿(mào)易行為，消費(fèi)者可直接控告該機(jī)構(gòu)。該法被視作美國最有實(shí)用性最普遍的個人信息安全管控法。

*州政府立法措施

美國加利福尼亞州2002年率先制定法律措施保護(hù)個人信息安全以來，已有44個州制定了與信息泄露和通知制度相關(guān)的法律。這些法律規(guī)定，一旦機(jī)構(gòu)獲知并確信客戶信息被解密或被傳輸?shù)狡渌麢C(jī)構(gòu)并將直接影響客戶前，公司應(yīng)通知客戶。加州該法實(shí)施以來已修訂多次，要求通知更詳細(xì)。美國賓夕法尼亞州最近通過一項(xiàng)法案，即機(jī)構(gòu)的個人信息被泄露，須在7天內(nèi)無條件通知相關(guān)的州公民個人。緊隨其后，其他州的相關(guān)法律也做出類似修訂。其中馬薩諸塞州和內(nèi)華達(dá)州的相關(guān)法案更為嚴(yán)格，他們要求任何機(jī)構(gòu)把個人信息傳輸給商業(yè)安全系統(tǒng)之外的任何人或機(jī)構(gòu)都必須加密，以確保安全。2010年，馬薩諸塞州修訂相關(guān)法律，推出新的個人信息泄露通知的最低標(biāo)準(zhǔn)，即無論是紙質(zhì)還是電子文檔，只要包含任何個人信息均須以書面的形式通知對方。

*機(jī)構(gòu)的行業(yè)自律措施

美國支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS），具體而言，是針對在全天候工作日中處理持卡人數(shù)據(jù)的金融機(jī)構(gòu)、貿(mào)易商和服務(wù)提供商提出的要求。它為各行業(yè)自律設(shè)置了12個基本的安全要求。迄今為止，它已成為一種強(qiáng)制性行業(yè)標(biāo)準(zhǔn)，即金融機(jī)構(gòu)或其他企業(yè)在處理、儲存、傳輸持卡人數(shù)據(jù)時必須遵守的規(guī)則。美國金融機(jī)構(gòu)在處理過程中若未加密，監(jiān)管機(jī)構(gòu)一旦發(fā)現(xiàn)就會對其采取懲罰措施。

由于因特網(wǎng)使用頻率越來越高，收集、傳輸和儲存電子記錄文檔所引發(fā)的數(shù)據(jù)失竊也日趨頻繁，美國聯(lián)邦政府為機(jī)構(gòu)也制定了相關(guān)參考指南。