文章来自微信公众号：腾讯研究院（ID：cyberlawrc），作者：Jane K.Winn，编译：黄致韬腾讯研究院助理研究员，编译指导：王融，题图来自：东方IC

编者按：

自欧盟出台《通用数据保护条例》（General Data Protection Regulation，下文简称GDPR）以及美国加州出台《加州消费者隐私保护法案》（California Consumer Privacy Act of 2018，下文简称CCPA）以来，各方十分关注美国和欧盟在隐私立法上的趋势和差异，以及谁更能代表未来信息社会隐私保护领域成功的法律解决方案。

我们编译了美国学者Jane K.Winn的文章《信息隐私法中的治理转向》（The Governance Turn in Information Privacy Law），文章反对GDPR和欧盟官僚式的个人控制权模式来保护个人隐私，而推崇根植于美国实践的基于特定部门风险的信息隐私法设计。

核心观点概览：

1. 在信息隐私法领域，普遍性的观点认为“欧洲好，美国差”，这种简单的叙述隐藏了欧美之间立法模式的深层区别，即欧洲偏向抽象的法律理论，美国偏向具体的法律实践。

2. Facebook/Cambridge Analytica丑闻并没有表明美国针对基于特定部门风险的做法已经无效，也没有表明欧盟官僚式的数据保护法可以在美国以某种方式发挥作用，因为事实证明它们在欧洲也行不通。

3. 欧盟式的数据保护法表面上把个人放在了决定如何收集和使用个人信息的位置上，但决策权却集中在官僚手中。这会直接阻碍产品创新，阻碍有活力的合规文化的形成，也为风险管理设置障碍。

4. 美国针对基于特定部门风险的信息隐私法设计寻求风险与收益平衡，即在个人信息保护和经济收益之间获得平衡。这种立法设计的理论依据是美国实用主义哲学。

5. 美国基于特定部门风险的信息隐私法模式是，一方面鼓励创新，另一方面当美国公众因滥用个人信息而面临真正的损害风险时，国会颁布了基于特定部门风险的信息隐私法，要求企业降低这些风险。

6. 美国国内用欧盟式的数据保护法替代基于特定部门风险的隐私法成本过于高昂，几乎是不可能的。

7. 美国国会应当创建灵活、动态的信息治理框架，在监管机构和美国企业数十年来积累的经验之上，加入个人和民间社会组织的力量，解决当前和未来的信息隐私问题。

如何扭转转变

半个世纪前，当制度变革的技术基础被奠定时，信息隐私权或数据保护法的概念开始在欧洲和美国等发达经济体中生根发芽。到了20世纪80年代，欧美的法律改革战略出现了分歧。欧洲倾向于采用官僚模式管理个人信息使用的单方面控制权制度，尽管这往往会扼杀创新。美国倾向于混合战略，其目的是通过市场机制设定数据保护级别来促进创新，除非对个人造成明显损害的风险证明：提出采取更强预防措施的法律要求是合理的。

随着过去十年数字化转型步伐的加快，欧洲官僚式模式和美国混合市场/风险模式之间的分歧进一步加深。美国在全球信息经济中的领先地位得到巩固，在与欧洲的竞争中具有决定性的优势。尽管欧洲在信息经济竞争力方面落后于美国，但其官僚式的个人控制权信息隐私权法律模式在全球范围内得到了比美国混合市场/风险模式更广泛的支持。

近年来，由于Facebook/Cambridge Analytica丑闻等企业不当行为的例子，美国模式中以市场为导向的部分在美国和世界各地受到严厉批评。然而，围绕美国模式中市场导向部分失败的争议，常常掩盖了美国模式中基于特定部门风险部分的成功。

随着国会考虑如何应对加州颁布的2018年欧盟式数据保护法，僵局接踵而至。当前美国国会辩论的焦点是市场导向与官僚式个人控制权的选择。本文探讨了这样一种观点，即通过重新考虑美国模式中基于特定部门风险的部分，可以找到走出僵局的途径。

在个人数据保护领域，转向正在发生。越来越多的人怀疑官僚式个人控制权模式是否有能力应对目前正在发生的数字化转型浪潮，这导致人们开始思考收集和使用各类信息的系统的合法性和有效性。信息隐私权法中的官僚式个人控制权模式，回应的是数据存储在纸质穿孔卡片上的时代。

在全球有效竞争力越来越依赖于从PB级（1PB=1024TB）的海量非结构化数据中提取可操作信息的时代，官僚式个人控制权模型直接影响了产品创新，并为培育创新时代的合规文化设置了障碍。初步分析第一年遵守GDPR的结果表明，官僚式控制权模式也为有效的风险管理设置了障碍。

构建新的信息治理机构，其基础是美国几十年来在基于特定部门风险的信息隐私法方面的经验，以及美国在私营部门组织领域的标准制定过程方面的经验。治理转向将重点从空洞的、个人选择的正式措施转移到立法框架上，通过立法框架，监管者、制定标准的组织、企业、民间社会组织和个人可以在不扼杀创新的情况下，协同培育合规文化。这种在治理设计中进行公私合作的框架可以使法规能够根据技术创新风险/收益计算而动态调整法律。

欧洲对官僚式数据保护法的支持与美国对面向市场的信息隐私法的支持之间的明显冲突掩盖了两者在基本价值方面的共同承诺。美国和欧洲都应该放弃诉诸命令和控制的官僚式信息治理机制的冲动，这种机制迫使公众在经济机会和免受损害风险之间进行错误的权衡。美国和欧洲应设法利用当前的技术创新浪潮，以保障个人获得经济机会和免受损害风险，建立有弹性、可持续和公正的信息治理系统。

理论与实践的区别

传统的“欧洲好，美国差”叙事掩盖了欧美的差异

几十年来，一个“欧洲好，美国差”的说法主导了大部分关于欧美信息隐私法相对优点的辩论。然而，Facebook/Cambridge Analytica丑闻并没有表明美国针对基于特定部门风险的做法已经无效，也没有表明欧盟式的官僚式数据保护法可以在美国以某种方式发挥作用，因为事实证明它们在欧洲也行不通。

传统的“欧洲好，美国差”的叙事将许多困难的、有争议的问题简化为一个单一的论述，但没有捕捉到欧美信息隐私法合规文化的差异。关于信息隐私法的哪种方法更好的传统叙述隐藏了一个更深层次的悖论，这种悖论源于欧洲对“书本上的法律”的偏爱，即倾向抽象的法律理论，和美国对“行动中的法律”的偏爱，即对法律实践的务实态度。

在理论上，欧盟数据保护法文本中承诺的全面、总体的保护与它们提供的实际保护没有区别，但实际上存在很大差距。直到最近，大多数欧盟数据保护机构和欧盟企业对违反数据保护法的行为的程度都高于遵守数据保护法的程度。在2018年GDPR出台之前，欧洲企业很少考虑遵守欧盟数据保护法。无论在实践中实现了什么合规行为，都不能归因于有意识培养合规文化的努力。

美国信息隐私权法中由市场决定最优保护水平的部分，这不同于欧盟数据保护法的理论基础。它允许公司自己进行内部的风险/收益计算，以创建和使用有关其客户的信息，并让信息治理战略自由竞争，再从中选取出优胜者。Facebook/Cambridge Analytica丑闻暴露了这一模式的缺陷，并在许多个人心目中抹黑了这一模式，虽然他们个人的风险/收益平衡曾经倾向于享受创新，而不是寻求免受损害风险。

美国信息隐私权法由基于特定部门风险的法律构成，还没有形成与欧盟数据保护法相当的理论基础。但即使没有一个一般的、抽象的理论来证明这一点，基于特定部门风险的信息隐私法方法也为美国企业在其组织内部培养合规文化方面提供了具体的激励。

美国企业往往比欧洲企业更有动力将培育合规文化的过程融入为客户创造价值的过程中。原因是美国针对特定部门风险的信息隐私法的设计寻求一种风险与回报的平衡，既奖励那些在为客户创造价值方面进行创新，也奖励将对个人造成实际损害的风险最小化的努力。

这些针对特定部门风险的法律试图调和公众对免受损害风险的需求与公众对就业增长、产品和服务创新的需求。这反映了一种集体决定，即只有在滥用个人信息会对个人造成损害的明显风险的情况下，才为创新设置法律障碍。从企业经营和培养合规文化的角度来看，美国拼凑式的基于特定部门风险的信息隐私法，并不是一个缺陷，而是一个特点。

作为竞争优势来源与合规战略的数字化转型

任何具有实际经验的人都知道，对于综合性的、一般性的数据保护法律，对于许多企业来说，在不破产的情况下实现完全合规几乎不可能，例如那些由1995年欧盟数据保护指令（EU Data Protection Directive，以下简称DPD）或2018年的GDPR转换的成员国法律。这一残酷的事实在2018年GDPR生效之前被掩盖了，因为如此多的欧洲政府和企业在很大程度上对1995年的DPD采取了刻意漠视的态度。

随着GDPR生效日期临近，欧盟面临对不合规行为进行严厉惩罚的威胁，这一冲击波在整个欧盟产生了反响，证明了此前在欧洲盛行的对合规行为漠不关心的状况。

此外，由于欧洲企业对信息技术的采用率普遍低于美国，许多欧洲企业遵守数据保护法可能反映了它们不愿在数字化的基础上竞争。美国信息隐私法中基于特定行业风险的方法允许通过市场传达的美国公民个人的偏好成为指导企业如何投资技术创新决策的第一个也是最重要的信息来源。相比之下，在欧洲，用于指导企业技术创新投资的默认信息来源更多来自布鲁塞尔的欧盟官员，而非欧洲消费者。

为美国信息隐私权法寻找理论依据

最接近于美国基于特定部门风险的信息隐私法的理论是19世纪末20世纪初由查尔斯·桑德斯·皮尔斯（Charles Sanders Peirce）、威廉·詹姆斯（William James）和约翰·杜威（John Dewey）发展起来的实用主义哲学。皮尔斯阐明了实用主义的核心：“考虑你的概念对象的实际效果，你对这些效果的概念就是对象的概念的全部。”

欧洲把个人控制个人信息作为一项基本权利，这种抽象的、理论上的解释源于启蒙运动，来自于欧洲哲学家如笛卡尔（人类灵魂和物质世界的绝对分离），康德（将他人视为目的而非手段的绝对命令）。除了德国政治哲学家哈贝马斯（Jürgen Habermas），没有一位欧洲哲学家认真对待过美国实用主义的思想。

支持欧洲全面性、一般性的数据保护法模式的隐私权倡导者经常批评美国基于特定部门风险的信息隐私法方法源自于与基本权利概念不相容的功利主义思想。虽然美国对信息隐私法的态度与功利主义是一致的，因为成本效益分析在其中起着不可分割的作用，但如果分析到此为止，就忽略了与实用主义和民主更深层和更重要的结构一致性。

美国基于特定部门风险的信息隐私法也是在保护民主和具体个人权利。美国1970年颁布《公平信用报告法》（Fair Credit Reporting Act）时，是世界上第一个通过法律要求收集和使用个人信息的机构遵守公平信息实践的国家。就《公平信用报告法》所规定的“基本权利”而言，美国消费者有权自由借贷，为其目前的消费提供资金。这很难成为欧洲人认为在他们的数据保护法中体现的基本权利。

当国会颁布了世界上第一部公平信息实践法，以保护美国消费者的借贷权利时，它的行动是为了回应美国消费者的一种高度担忧，即把信用局的纸质记录转移到电脑上，可能会不必要地限制他们获得信贷。

公众对信息治理系统的信任作为衡量其合法性的标准            

70年代，由于民权运动引起的社会动荡、民众普遍反对越南战争以及迫使尼克松总统辞职的水门事件，美国民众对其政府在1970年代初的信任严重受损。随着美国卫生、教育和福利部（Department of Health,Education and Welfare，以下简称HEW）开始启动新的医疗保险和医疗补助联邦健康福利计划，有人担心，一些有权在这些新计划下接受福利的公民可能对政府如此不信任，以至于他们会拒绝提供注册这些新计划所需的个人信息，即使这剥夺了这些计划提供给他们的医疗福利。

因此，HEW秘书长埃利奥特·理查德森（Elliot Richardson）委托编写了一份报告来回答这样一个问题：联邦政府需要做些什么才能确保美国公民足够信任它，从而参与这些新项目。其结果是突破性的1973年HEW关于计算机、记录和公民权利的报告（1973 HEW Report on Computers,Records and the Rights of Citizens）。基于1973年HEW报告中的意见，国会于1974年颁布了《隐私法》。

HEW报告首次明确描述了“公平信息隐私实践”（fair information privacy practices，以下简称FIPP）的概念。FIPPs确保个人知道他们的信息何时被收集，同意使用，并且能够纠正信息中的错误。FIPPs将个人信息收集机构置于维护个人信息完整性和安全性的责任之下。最初在HEW报告中阐明的FIPPs概念后来被纳入所有欧盟风格的数据保护法律，尽管有一些非常重大的修改。

HEW的报告仔细考虑，然后断然拒绝了这样一种观点，即信息隐私可以被简化为个人单方面控制个人信息使用方式的权利，这是行不通的。相反，它提出的是一个治理过程，该过程具体体现了FIPPs，以确保在组织如何使用其数据时尊重个人利益。尽管HEW报告没有明确提到美国实用主义哲学家的工作，但它坚持认为，储存在计算机中的个人信息不仅体现了个人利益，而且体现了个人与维护数据库的机构和社会共享的共同利益。这与实用主义的核心思想家产生共鸣，而与笛卡尔个人主义相左。

1974年《隐私法》颁布后不久，基于HEW报告的相互关系模式的共识开始瓦解，一派为信息治理采取更市场化的方式而斗争，另一派则为政府更直接的控制而斗争。在20世纪70年代末两派达成共识，将信息隐私法视为维护个人、机构和社会利益在信息治理中的平衡，之后的几十年里，国会继续寻求中间立场。

其结果是今天生效的基于特定部门风险的信息隐私法的复杂拼凑。这些部门法不仅反映了美国系统基于风险的基本方法，而且反映了HEW报告所表达的相互关系的基本理念。当个人信息在计算机系统中创建和使用时，个人对其利益将得到尊重的信任是这些计算机系统所运行的更广泛的信息管理系统的合法性的一个指标。同样，企业遵守这些信息治理系统对它们的要求，也表明了这些法律框架的合法性。

取代基于特定部门风险的隐私法的困难

问题是如何扩展基于特定部门风险的模式，以解决Facebook/Cambridge Analytica丑闻引发的合法性危机。制定一项针对特定行业的法律，试图解决Facebook/Cambridge Analytica丑闻，可能会扼杀创新和全球竞争力，但在降低风险方面却没有取得多大成效，因为没有理由指望下一场信息治理危机会在同一个地方爆发。我们需要的是一种新的信息治理框架，它可以以灵活、动态的方式同时解决隐私和披露问题。国会可以通过借鉴在其他方面非常成功的美国其他法律的内容来建立这样一个框架。

一种新的信息治理立法框架：民间力量的参与

新的立法框架需要加入民间力量。一个多世纪以来，美国一直受益于自愿、协商一致的标准制定组织的工作，该组织将科学进步和最佳做法提炼成标准，以使这些创新能够尽快、便捷地传播。如果国会能够建立一个立法框架，通过它，监管机构和自愿的、共识的标准组织可以合作，它可以创建一个灵活、动态的信息治理框架，能够无缝地解决当前和未来的信息隐私问题。这种治理框架可以建立在监管机构和美国企业数十年来为遵守基于特定部门风险的法律而努力积累的经验基础上，同时也允许个人和民间社会组织为治理进程作出贡献。             

成功制定自愿的、一致的标准要求企业承担责任，将所有参与的利益相关者群体的投入转化成企业为其客户创造价值的承诺。在以快速技术创新为特征的市场中，标准制定组织的成员不仅必须致力于制定标准，而且还必须致力于根据需要参与修订标准的迭代过程，以保持其适用性。

国会可以通过授权联邦监管机构在自愿、一致的标准上赋予一种“安全港”地位，降低企业合规的成本和复杂性，从而向一体化的国家信息治理框架迈进。为公共-私营部门合作构建立法框架以提高合规性的想法建立在HEW的基本观点之上，即认识到共享目的的相互性是构建成功和合法的信息治理系统的关键。

欧盟官僚式管理方法的危机              

欧洲对个人控制个人数据收集和使用的承诺也开始遭受其自身的信任危机。美国隐私权倡导者在美国推行欧盟式的数据保护法，要么不知道，要么不在乎欧洲官僚作风的真正影响是将决策权从企业手中夺走，交到官僚手中，而不是交到个人手中。

尽管欧盟式的数据保护法表面上把个人放在了决定如何收集和使用个人信息的位置上，但决策权却集中在官僚手中。这是因为，向个人提供一个标准的用户接口，能够从数亿用户那里收集同意的迹象后，大多数个人行使的实际控制权最终几乎毫无意义。在标准化用户接口的背后，企业在使用个人信息方面仍有相当大的自由度。

欧盟进一步朝着官僚式的、单方面的个人控制权法律框架的方向发展，并在2009年生效的《里斯本条约》中避免任何基于风险的做法。2018年，GDPR保留和更新了DPD的基本结构，并加强了其许多规定。或许当欧盟监管机构起草GDPR时，他们认为是时候制止欧洲普遍存在的对DPD规定的数据保护合规义务漠不关心的情况了。

欧盟监管机构决定，这次在GDPR中实施一些令人心惊肉跳的惩罚，以确保引起所有人的注意。在GDPR生效一年后，越来越多的证据表明，它代表着欧洲的一场代价高昂的胜利。在一个非常极端但规模不大的数据保护倡导者社区之外，目前尚不清楚大多数欧盟公民对GDPR限制他们获得全球市场创新收益有多大支持。与此同时，欧洲工业在与北美或亚洲竞争对手争夺自主汽车、可穿戴技术、虚拟医学、智能工厂或智能城市等尖端技术的市场上正步履蹒跚。

美欧信息治理的未来走向 

美国倾向于组织新形式的参与式民主，以应对新的社会和经济挑战，可以利用这种倾向来制定新形式的信息治理。美国国会可以发挥这种信息治理机制，以恢复美国人对最具创新性公司的信任，并保持美国作为全球市场领先创新者的地位。

欧洲对全面、通用的数据保护法的接受，可能是欧盟经济发展方式中一个更大的结构性问题的一部分，这往往会扼杀许多欧洲企业进行数字化转型。美国可以通过迎接设计新的治理框架的挑战来保持其在全球信息经济中的领导地位，这些框架能够抵御数字化转型，同时仍然通过透明、负责任和包容各方的程序实现公平的风险/收益平衡。

美国和欧洲可以将信息治理转向作为一个机会，在推进它们共同的基本价值观方面进行合作。

由于原文注释较多，出于阅读体验考虑，本推文没有列出原文的参考文献；作者系华盛顿大学法学教授，主要研究领域为比较法和商法，重点研究全球化的影响以及国家法治体系改革。

文章来自微信公众号：腾讯研究院（ID：cyberlawrc），作者：Jane K.Winn，编译：黄致韬腾讯研究院助理研究员，编译指导：王融