Mengelakkan Pertikaian Terhadap Undang-undang Privasi EU

Pada bulan Oktober, Arahan Kesatuan Eropah mengenai Perlindungan Data berkuat kuasa. Kurang diketahui di Amerika Syarikat, Arahan tersebut akan melarang pemindahan elektronik maklumat peribadi tentang warga Eropah ke negara yang mempunyai undang-undang perlindungan privasi yang dianggap tidak mencukupi. Akibatnya, banyak syarikat A.S. dengan operasi Eropah mungkin mendapati aktiviti mereka terganggu dengan ketara.





Tindak balas perundangan menyeluruh yang meniru undang-undang Eropah ialah tindak balas yang salah. Pendekatan yang lebih baik ialah kawal selia sendiri oleh industri dan firma yang paling mungkin terjejas. Selain itu, Arahan EU sendiri nampaknya menyokong tindakan sektoral tersebut.



Pemeriksaan yang lebih menyeluruh tentang isu itu akan disediakan dalam buku Brookings yang akan datang oleh Swire dan Litan, Tiada Perniagaan Anda: Aliran Data Dunia, Perdagangan Elektronik dan Arahan Privasi Eropah. Oleh Peter P. Swire dan Robert E. Litan



TAKLIMAT DASAR #29



Amerika Syarikat dan seluruh dunia berada di tengah-tengah revolusi dalam pemprosesan maklumat dan komunikasi. Banyak tentang revolusi ini dialu-alukan: komputer peribadi lebih berkuasa daripada kerangka utama generasi yang lalu; komunikasi suara dan data hampir serta-merta di seluruh dunia; dan alam semesta yang semakin berkembang maklumat yang tersedia melalui Internet.



Namun begitu, sekurang-kurangnya satu aspek revolusi komputer telah menimbulkan kebimbangan yang ketara: potensi ancaman terhadap privasi individu. Dengan pengurangan dramatik dalam kos pemprosesan dan akses kepada maklumat, adalah lebih mudah berbanding sebelum ini untuk menjejaki individu lain dan mengetahui banyak perkara tentang mereka—di mana mereka berada, perkara yang mereka beli, tapak yang mereka lawati di Web dan banyak lagi. lebih. Oleh itu, tidak menghairankan bahawa tinjauan pendapat umum melaporkan bahawa halangan utama kepada pertumbuhan selanjutnya perdagangan elektronik—menjalankan perniagaan di Internet—adalah ketakutan di pihak pengguna bahawa maklumat yang mereka sampaikan akan mendapat laluan kepada orang lain yang tidak diingini. tangan dan digunakan dengan cara yang mereka tidak bersetuju.



Kebimbangan yang meningkat tentang privasi dalam era maklumat telah mencetuskan banyak perbincangan dalam kalangan pembuat dasar di sini dan di luar negara. Khususnya, perdebatan sengit sedang dijalankan tentang sama ada, dan sejauh mana, isu privasi—bukan hanya dalam konteks Internet tetapi secara lebih meluas—harus dikendalikan oleh mekanisme pasaran, teknologi, kawal selia kendiri industri atau peraturan kerajaan mandatori. .

Pada tahun 1998, perdebatan ini boleh meletus menjadi perang perdagangan habis-habisan. Percikan itu mungkin merupakan pelaksanaan Arahan Kesatuan Eropah mengenai Perlindungan Data, yang berkuat kuasa pada bulan Oktober. Sedikit yang diketahui di negara ini, kecuali di kalangan beberapa industri yang menyedari potensi kesannya, Arahan melarang (dengan beberapa pengecualian) pemindahan maklumat peribadi tentang warga Eropah ke negara lain yang tidak mempunyai perlindungan privasi yang mencukupi.



Adakah EU akan memutuskan Amerika Syarikat tidak mempunyai perlindungan privasi yang mencukupi? Atau, seperti yang kami percaya lebih berkemungkinan, adakah sektor penting ekonomi A.S. akan dipilih sebagai tidak mencukupi? Adakah terdapat sebarang cara untuk mengelakkan pertikaian yang akan datang mengenai dasar privasi?



Dasar Privasi di Kedua-dua belah Atlantik

berapa kerap bintang Betlehem muncul

Walaupun privasi dipandang serius di kedua-dua belah Atlantik, Amerika Syarikat dan Eropah mengambil pendekatan yang sangat berbeza untuk isu ini. Seperti yang dijelaskan oleh Fred Cate dalam panduan undang-undang privasi terkininya yang sangat baik, Privasi dalam Era Maklumat (Brookings Institution Press, 1997), tidak seperti negara-negara Eropah Barat, Amerika Syarikat tidak mempunyai satu undang-undang privasi yang komprehensif. Ia juga tidak mempunyai agensi yang dipertanggungjawabkan untuk mentadbir undang-undang sedemikian. Pendekatan Amerika Syarikat setakat ini lebih selektif, mengawal selia kedua-dua sektor awam dan swasta dengan ketat di kawasan tertentu—pendedahan data peribadi oleh kerajaan, biro pelaporan kredit, pembekal TV kabel dan kedai penyewaan video—tetapi sebaliknya mengekalkan hak milik kerajaan. lepas tangan sektor swasta. Ketiadaan perundangan privasi generik di Amerika Syarikat bukanlah petunjuk bahawa privasi tidak penting, sebaliknya mencerminkan fakta bahawa Perlembagaan dan badan perundangan di peringkat persekutuan dan negeri juga menghargai objektif dasar yang bersaing, termasuk pencegahan dan pendakwaan perbuatan jenayah. , perlindungan akhbar Pindaan Pertama, dan syak wasangka umum terhadap campur tangan kerajaan, syak wasangka yang nampaknya telah berkembang sejak beberapa tahun kebelakangan ini.



Pendekatan Eropah terhadap privasi adalah lebih komprehensif dan terhad, mencerminkan fakta bahawa di Eropah, privasi adalah hak asasi manusia yang jelas dan berhak mendapat perlindungan yang ketat. Beberapa undang-undang privasi negara telah wujud selama lebih dua puluh tahun, tetapi pada tahun 1995 Kesatuan Eropah menerima pakai Arahan menyeluruh. Arahan ini bertujuan untuk meningkatkan dan menyelaraskan perlindungan privasi di seluruh EU, dan ia memerlukan setiap negara anggota EU untuk menerima pakai undang-undang privasi yang ketat yang mesti mengandungi elemen tertentu:



  • Ia mesti memerlukan semua yang memproses data peribadi untuk mematuhi amalan maklumat yang jelas dan adil, termasuk jaminan bahawa individu mempunyai akses kepada semua data peribadi tentang mereka, dan peluang untuk membetulkan data tersebut.
  • Undang-undang mesti membenarkan penggunaan data peribadi hanya untuk tujuan asalnya ia dikumpulkan, dan memerlukan individu dimaklumkan dan mempunyai hak untuk menarik diri sebelum data didedahkan buat kali pertama kepada pihak ketiga untuk tujuan pemasaran langsung .
  • Ia mesti mewujudkan pihak berkuasa penyeliaan di setiap negara untuk mengawasi undang-undang privasi negara tersebut. Pihak berkuasa, bersama-sama individu persendirian, mesti boleh membawa tindakan penguatkuasaan kerana melanggar undang-undang privasi.

    Bahawa Amerika Syarikat dan EU berbeza dalam pendekatan mereka terhadap privasi, seperti dalam pendekatan mereka terhadap pelbagai isu dasar, tidak menjadi masalah, kecuali untuk satu perkara. Artikel 25 Arahan melarang pemindahan data peribadi sesiapa sahaja dari EU ke negara lain yang EU tentukan tidak memberikan tahap perlindungan privasi yang mencukupi. Arahan mengandungi beberapa pengurangan (pengecualian) terhadap larangannya yang mendatar, seperti kes di mana: subjek data telah bersetuju dengan jelas untuk pemindahan; pemindahan adalah perlu untuk menyelesaikan transaksi (seperti pembelian tiket penerbangan atau penggunaan kad kredit di Eropah); maklumat peribadi sebaliknya terbuka; atau pihak yang ingin menghantar maklumat itu telah menandatangani kontrak yang diluluskan oleh pihak berkuasa penyeliaan negara dari mana ia merancang untuk memindahkan data. Walau bagaimanapun, berdasarkan kenyataan awam pegawai EU setakat ini, pengecualian ini mungkin ditafsirkan secara sempit. Jadi larangan itu, secara amnya, mungkin mempunyai akibat yang nyata.

    adakah nasa akan ke marikh

    Apakah Keputusan EU?



    Meneka dengan tepat cara EU akan menggunakan ujian kecukupan kepada Amerika Syarikat adalah suatu perusahaan yang berbahaya, kerana pegawai EU telah menghantar mesej yang bercanggah. Isyarat bercampur-campur mungkin disebabkan oleh keinginan serentak EU untuk kelihatan ketat lagi munasabah, ketat untuk menggalakkan Amerika Syarikat menukar undang-undang privasinya, munasabah untuk mengelakkan gangguan perdagangan biasa. Punca lain mungkin adalah politik dalaman EU. Mungkin difahami, pegawai yang bertanggungjawab untuk perlindungan data telah mempertaruhkan barisan paling sukar di khalayak ramai, mencadangkan dalam ucapan bahawa perlindungan privasi semasa di Amerika Syarikat tidak mencukupi untuk tujuan Eropah. Pegawai lain, seperti mereka yang mendorong Eropah untuk aktif dalam perdagangan elektronik dan dengan itu berhati-hati terhadap langkah yang boleh menghalang aliran data masuk dan keluar dari EU, telah menimbulkan nada yang lebih berkompromi. Daripada perbincangan kami dengan pegawai kerajaan A.S. dan Eropah serta individu yang berpengetahuan dalam komuniti korporat di kedua-dua belah Atlantik, kami mengunjurkan hasil berikut:



  • EU tidak mungkin mengeluarkan penemuan menyeluruh bahawa perlindungan privasi A.S tidak mencukupi . Sebaliknya, ia berkemungkinan membuat penentuan kecukupan berdasarkan sektor dan asas khusus amalan.
  • EU berkemungkinan memutuskan bahawa sesetengah industri A.S. yang mempunyai undang-undang khusus yang mengawal penggunaan maklumat peribadi buat memenuhi ujian kecukupan. Industri pelaporan kredit adalah contoh.
  • Melainkan kompromi generik tidak lama lagi ditemui, EU berkemungkinan besar akan menunjukkan keseriusannya tentang Arahan dengan pada mulanya memilih satu atau lebih syarikat atau sektor A.S. sebagai bukan memenuhi ujian kecukupan dan dengan itu tertakluk kepada larangan pemindahan data Arahan. Tinggi pada senarai sasaran yang berpotensi, pada pandangan kami, ialah firma dalam industri pemasaran langsung, industri insurans dan mana-mana syarikat yang mengendalikan maklumat perubatan peribadi (jika Kongres tidak segera menggubal undang-undang yang dicadangkan untuk melindungi privasi rekod perubatan).

    Sektor dan Amalan Berisiko

    Senarai sasaran berpotensi di atas hanya boleh mewakili hujung gunung ais. Jika EU memutuskan bahawa pendekatan kawal selia kendiri yang sebahagian besarnya diikuti oleh Amerika Syarikat tidak mencukupi untuk mewajarkan penemuan kecukupan, embargo maklumat yang lebih luas adalah mungkin. Yang pasti, pegawai EU masih boleh membenarkan beberapa maklumat melalui di bawah satu atau lebih pengurangan. Tetapi berdasarkan temu bual kami dan pembacaan kami terhadap Arahan itu sendiri, pemindahan banyak maklumat tentang orang di Eropah boleh dihadkan, dengan kesan gangguan yang mungkin mengejutkan yang serius.

    Beberapa kesan buruk boleh dirasai oleh mana-mana syarikat yang menjalankan perniagaan di Eropah—tidak kira kewarganegaraan pemiliknya. Semua syarikat mengekalkan pangkalan data yang luas yang mengandungi maklumat peribadi tentang pegawai, pekerja, pembekal dan pelanggan mereka. Jika perbadanan itu menjalankan perniagaan di kedua-dua Amerika Syarikat dan Eropah, ia hampir pasti menyimpan data ini pada satu atau lebih komputer kerangka utama atau pelayan yang terletak di kedua-dua belah Atlantik, memindahkan maklumat ke sana ke mari seperti yang diperlukan.

    Sekarang pertimbangkan apa yang akan berlaku jika kerajaan Eropah—selaras dengan dasar Suruhanjaya Eropah—mengatakan kepada firma multinasional dengan pejabat di Eropah bahawa mereka tidak boleh memindahkan data peribadi ke Amerika Syarikat, sama ada melalui telekopi, pada cakera komputer, atau melalui Internet. Tiba-tiba, firma itu akan mendapati ia tidak dapat menghantar sebarang maklumat peribadi tentang pekerja Eropahnya, mengecewakan keupayaannya untuk memadankan pekerjanya dengan pekerjaan. Pekerja yang menggunakan intranet atau extranet syarikat (rangkaian maklumat dengan pembekal dan pelanggan utama) akan mendapati komunikasi mereka dengan orang lain di Amerika Syarikat tertakluk kepada larangan dan penalti jika mereka mengandungi sebarang maklumat yang memenuhi definisi luas data peribadi. Pangkalan data yang diisi dengan maklumat tentang pelanggan Eropah tidak boleh dihantar ke Amerika Syarikat untuk diproses.

    Adakah kesan buruk yang berpotensi ini adalah khayalan? Malangnya tidak. Selain itu, mereka tidak mungkin terhad kepada beberapa firma sahaja. Semua firma multinasional yang beroperasi di Eropah dengan kehadiran A.S. mungkin mendapati perlu untuk mengubah secara radikal cara mereka menyelenggara dan memindahkan data tentang pekerja dan pelanggan jika EU membuat penentuan luas bahawa sebahagian besar ekonomi A.S. tidak mempunyai perlindungan privasi yang mencukupi.

    Sementara itu, penentuan yang sempit tentang ketidakcukupan boleh membahayakan industri tertentu. Syarikat penerbangan dan rangkaian hotel yang menjalankan perniagaan di Eropah mungkin mendapati diri mereka tidak dapat memindahkan data yang menunjukkan tempat makan, tempat duduk dan keutamaan pengembara lain kepada sistem tempahan di Amerika Syarikat. Syarikat farmaseutikal mungkin mendapati mustahil untuk berkongsi data daripada ujian penyelidikan Eropah walaupun dengan pekerja mereka sendiri yang terletak di Amerika Syarikat. Jurubank pelaburan yang ingin melaksanakan perjanjian di Eropah mungkin mendapati diri mereka tidak dapat mengumpul data tentang pegawai yang menjalankan syarikat yang mungkin ingin dibeli oleh pelanggan mereka. Firma perakaunan di Amerika Syarikat boleh dilarang daripada menjalankan audit transaksi yang melibatkan individu Eropah.

    Beberapa orang yang ragu-ragu telah mendakwa kepada kami bahawa orang Eropah tidak akan mengambil langkah yang akan mengakibatkan kesan ini. Mereka tidak mendengar kenyataan pelbagai pegawai Eropah, atau mereka tidak membaca Arahan dengan teliti. Orang lain mungkin mendakwa bahawa orang Eropah tidak boleh menguatkuasakan sebarang sekatan data. Itu mungkin benar. Tetapi hakikat bahawa banyak pemindahan data hanya boleh menjadi menyalahi undang-undang mendedahkan mana-mana syarikat yang menjalankan perniagaan di Eropah kepada potensi ancaman tindakan undang-undang, publisiti negatif dan gangguan. Selain itu, syarikat Amerika khususnya mesti ingat bahawa operasi Eropah mereka sebahagian besarnya dikendalikan oleh orang Eropah, dan syarikat mempertaruhkan muhibah pekerja dan pelanggan mereka jika mereka melanggar undang-undang Eropah dengan sengaja.

    Mengelakkan Showdown

    Ia adalah satu andaian yang selamat bahawa antara sekarang dan Oktober, 1998, Amerika Syarikat tidak akan menerima pakai dalam bentuk perundangan jenis sistem kawal selia yang komprehensif untuk melindungi privasi peribadi yang kini berleluasa di Eropah. Ini adalah benar walaupun fakta bahawa dalam Kongres ke-104 sahaja (1995-96), hampir 1,000 rang undang-undang telah diperkenalkan yang mengandungi beberapa peruntukan yang berkaitan dengan privasi. Baik Kongres yang dikawal Republikan mahupun Pentadbiran Clinton tidak mempunyai selera untuk jenis pendekatan pengawalseliaan merentas lembaga yang kini terdapat di Eropah.

    Adakah ini bermakna bahawa Amerika Syarikat dan EU sedang bertembung dalam isu privasi? Tidak semestinya. Jika pegawai di kedua-dua belah Atlantik menunjukkan sedikit kreativiti dan fleksibiliti dalam beberapa bulan akan datang, terdapat sekurang-kurangnya kemungkinan perang privasi dapat dielakkan.

    Khususnya, Amerika Syarikat harus mengambil dua langkah penting demi kepentingannya sendiri dan rakyatnya yang, pada masa yang sama, mungkin memberikan perlindungan yang mencukupi untuk orang Eropah untuk mengelak daripada melaksanakan walaupun sekatan separa ke atas maklumat peribadi yang ditakdirkan untuk negara ini. . Pegawai Eropah boleh menuntut untuk penggunaan domestik bahawa Arahan mereka yang mendorong kami untuk mengambil isu privasi dengan lebih serius.

    sifat fizikal venus

    Pertama, kerana tiada institusi institusi dalam kerajaan persekutuan untuk perkara yang berkaitan dengan privasi dalam sektor swasta, Pentadbiran harus menubuhkan pejabat tetap yang berurusan bukan sahaja dengan privasi, tetapi dengan isu lain yang mempengaruhi perdagangan elektronik secara lebih umum, seperti penyulitan, khas Cukai Internet (yang harus dielakkan), dan perlindungan harta intelek di Internet. Keutamaan kami adalah untuk menempatkan pejabat itu dalam Jabatan Perdagangan, yang sepatutnya mempunyai misi yang dikemas kini dalam era digital ini untuk memasukkan memudahkan perdagangan elektronik.

    Kedua, daripada menubuhkan agensi persekutuan baharu untuk mengeluarkan peraturan terperinci yang mengawal privasi, industri yang berbeza harus mewujudkan kod kelakuan privasi mereka sendiri dan firma di dalamnya harus bersetuju untuk mematuhi kod tersebut dengan cara yang boleh disahkan. Sekurang-kurangnya, kod tersebut hendaklah merangkumi prinsip privasi yang: (1) memberi notis kepada pengguna tentang data yang dikumpul tentang mereka dan cara ia bertujuan untuk digunakan, dan (2) memberikan peluang yang bermakna kepada pengguna untuk mengehadkan penggunaan dan penggunaan semula data peribadi mereka, serta untuk membetulkan ralat yang mungkin wujud dalam fail syarikat. Kelebihan utama kod yang dibangunkan oleh syarikat dan industri ialah, mengikut definisi, ia mengelakkan mentaliti pengawal selia kerajaan yang sesuai untuk semua dan menghasilkan amalan yang disesuaikan dengan keadaan khusus dalam sektor ekonomi yang berbeza.

    Pengkritik di kedua-dua belah Atlantik mungkin membantah bahawa kawal selia kendiri adalah tidak mencukupi kerana ia tidak boleh dikuatkuasakan. Ini tidak benar. Firma yang menasihati pengguna tentang dasar privasi mereka dan tidak mematuhinya akan terbuka kepada tindakan undang-undang kerana salah nyata dan kepada pendakwaan oleh Suruhanjaya Perdagangan Persekutuan atau negeri kerana terlibat dalam amalan tidak adil atau menipu. Lebih-lebih lagi, individu yang berasa mereka telah terkilan sentiasa boleh memaklumkan kepada media, yang telah terbukti mungkin merupakan alat penguatkuasaan yang paling berkesan. Tahun lepas, Lexis-Nexis, AOL dan Experian semuanya mendapati diri mereka subjek cerita media tentang amalan data mereka dan, setelah terdedah, setiap syarikat dengan cepat meninggalkan amalan itu.

    Pendekatan kawal selia kendiri mempunyai peluang kecil untuk meyakinkan EU bahawa Amerika Syarikat mengekalkan perlindungan privasi yang mencukupi, walau bagaimanapun, melainkan perniagaan Amerika dalam pelbagai sektor bergerak secara agresif untuk menerima pakai dan mematuhi prinsip privasi yang jelas. Salah seorang daripada kami (Peter Swire) sedang terlibat dalam usaha yang diketuai oleh Alan Westin—sebelum ini profesor undang-undang di Universiti Columbia dan dianggap secara meluas sebagai pakar undang-undang terkemuka dalam privasi negara—untuk membangunkan kod tersebut. Pihak Pentadbiran, bagi pihaknya, telah menyampaikan notis kepada sektor swasta bahawa ia menjangkakan kemajuan besar ke arah pengawalseliaan sendiri menjelang musim panas ini, apabila laporan mengenai perkara ini perlu dibuat di meja Presiden Clinton, atau ia akan menggesa penerimaan perundangan.

    Pada masa itu, tawaran untuk menaja perundangan—tidak diketahui pada ketika ini dalam kandungan dan keluasannya—mungkin terlalu sedikit, terlalu lewat untuk menenangkan orang Eropah. Walau bagaimanapun, secara lebih asas, kami percaya bahawa perundangan dalam bidang ini adalah pramatang, terutamanya berkenaan dengan maklumat di Internet. Memandangkan kebimbangan orang ramai yang kuat tentang kekurangan privasi di Internet, firma yang berminat dalam perdagangan elektronik mempunyai insentif berasaskan pasaran yang kukuh untuk menangani kebimbangan privasi. Malah, pelbagai pendekatan teknologi kini sedang dibangunkan yang akan membina perlindungan privasi ke dalam struktur transaksi Internet. Satu mekanisme sedemikian akan membolehkan pengguna menentukan pilihan lalai dalam penyemak imbas mereka yang berkaitan dengan jumlah maklumat peribadi tentang mereka yang akan dihantar melainkan jika ditolak secara khusus. Memandangkan kecenderungan Kongres untuk menjadi sangat preskriptif dalam mana-mana undang-undang yang digubal, adalah sukar untuk yakin bahawa walaupun rang undang-undang privasi minimalis—yang hanya mengkodifikasikan beberapa prinsip privasi mudah—akan muncul tanpa banyak sekatan lain yang berpotensi membebankan dan tidak diingini. dilampirkan.

    Pendekatan yang lebih praktikal ialah untuk Rumah Putih dan/atau pejabat Jabatan Perdagangan baharu untuk menggalakkan pembangunan pesat kod privasi oleh firma yang mempunyai amalan privasi yang mungkin membimbangkan, bukan sahaja kepada orang Eropah, tetapi juga kepada rakyat Amerika. Sesungguhnya, Pentadbiran bercadang untuk mengadakan beberapa siri mesyuarat dengan firma dalam sektor utama untuk menggesa mereka membangunkan atau mengemas kini dasar privasi mereka, bukan sahaja untuk mengelakkan konflik yang berpotensi dengan Eropah, tetapi juga untuk mengelakkan pengenaan undang-undang baharu yang berpotensi membebankan oleh Kongres dan negeri-negeri. Sektor swasta perlu bergerak pantas—dan meningkatkan pembangunan serta pelaksanaan dasar privasi, prinsip atau kod kelakuannya—atau kekosongan itu akan diisi oleh tindakan kerajaan. Selain itu, EU akan tertekan untuk menentang desakan kawal selia kendiri yang besar oleh sektor swasta di sini. Lagipun, Artikel 27 Arahan Privasi itu sendiri mengarahkan Negara Anggota dan Suruhanjaya untuk menggalakkan pembangunan kod kelakuan. Jika EU mengiktiraf kemajuan ke arah pengawalseliaan kendiri di negara ini, maka pertikaian yang akan datang mengenai privasi boleh dielakkan.