(来源:MIT Technology Review)
每天,我们在数字世界中可能被追踪数百甚至上千次。Cookies 和网页追踪器会记录我们点击的每一个网站链接,而嵌入在移动应用中的代码则追踪我们的设备,从而追踪到我们曾经到访的每一个物理位置。这些数据被收集后,与来自公共记录、超市会员计划、公用事业公司等渠道的信息整合,进而用于构建高度个性化的用户画像,并在未经我们明确知情或同意的情况下被共享或出售。
越来越多的人认为,美国人亟需更强有力的隐私保护,而最有效的方法是由国会通过全面的联邦隐私立法。尽管最新版本的法案——2024 年《美国隐私权法案》相比以往的提案获得了更多支持,但在正式表决前,该法案的内容被大幅削弱,导致共和党和民主党双方均撤回了支持。
尽管如此,隐私保护方面仍取得了一些进展,尤其是在限制数据经纪人——那些为定向广告、信息推送和其他用途买卖消费者个人信息的第三方公司——使用地理位置信息方面取得了一定成效。
尽管在隐私保护方面取得了一些进展,但这些仍只是微小的步伐,尤其是在技术日益普及且愈发强大、收集的数据量远超以往的背景下。同时,华盛顿迎来了新一届总统政府,该政府曾批评媒体和其他反对者,承诺展开大规模移民驱逐,威胁对所谓的“敌人”进行报复,并支持各州推行限制堕胎的法律。更令人担忧的是,政府对生物识别数据,尤其是面部识别技术的收集不断增加,这类数据的应用也逐渐在各种场景中成为常态。在这种形势下,可以毫不夸张地说,我们的个人数据正比以往任何时候都更加脆弱,隐私保护的紧迫性也达到了前所未有的程度。
那么,2025 年美国人在个人数据保护方面又能期待什么样的变化?为此,我们采访了隐私领域的专家和倡导者,探讨他们对未来数字数据如何被交易或保护的看法。
整顿问题重重的数据经纪行业
2023 年 12 月初,美国联邦贸易委员会(FTC)宣布已与数据经纪公司 Mobilewalla 和 Gravy Analytics 分别达成和解协议。FTC 调查发现,这些公司在未经用户明确同意的情况下,追踪并出售了用户在敏感地点,如教堂、医院和军事设施的地理位置信息。对此,FTC 禁止这些公司在特定情况下之外出售此类数据。这一举措是过去一年对数据经纪行业加强监管的一部分,期间FTC还针对其他公司因类似地理位置信息的收集和销售采取了多项执法行动,司法部也提出了一项禁止向外国实体出售批量数据的拟议规则。
就在 FTC 宣布和解协议的同一天,消费者金融保护局提出了一项新规,计划将数据经纪商归类为消费者报告机构。这一新规将引入更严格的报告义务和消费者隐私保护措施,禁止在没有正当理由的情况下收集和共享个人敏感信息,例如工资和社会保障号码。尽管该规则仍需经过 90 天的公众意见征询期,且在特朗普政府领导下是否能够顺利推进尚不明朗,但如果最终通过,可能会从根本上限制数据经纪商的业务运作方式。
目前,针对数据经纪公司的运营几乎没有明确的限制,甚至缺乏准确的数据统计全球到底有多少家此类公司。行业观察人士估计,全球范围内可能有 4,000 至 5,000 家数据经纪公司,其中许多公司鲜为人知,且频繁更换名称。仅在加利福尼亚州,2024 年数据经纪人登记处已有 527 家企业自愿注册,其中近 90 家申报称会收集地理位置信息。
这些数据对任何愿意支付费用的人来说都轻而易举地可得。营销人员购买这些数据用于投放高度定向的广告,银行和保险公司用它来进行身份验证、防范欺诈和评估风险。执法机构无需传统搜查令便可购买地理位置信息来追踪个人行踪,甚至外国实体也能够获取涉及军方人员和政府官员的敏感信息。在“人肉搜索网站”上,几乎任何人只需支付费用就能获得他人的联系方式和个人历史记录。
对于这种数据交易,数据经纪公司及其客户辩解称,大部分数据都经过了匿名化处理,但对于地理位置信息而言,这一说法值得怀疑。所谓的匿名数据在与其他个人信息结合后,很容易被重新识别。多年来,数字权利倡导者一直对这个隐秘行业发出警告,尤其担忧其对边缘化群体可能造成的伤害。然而,各类数据收集行为已在政治光谱的各方引发广泛担忧。众议院能源与商业委员会的共和党主席 Cathy McMorris Rodgers 对美国疾病控制与预防中心购买位置信息以评估疫情封锁效果表示担忧。2023 年的一项研究也表明,获取涉及美国军方人员的敏感数据既简单又廉价。民主党参议员 Elizabeth Warren 在接受 MIT Technology Review 采访时,公开指出数据经纪行业对国家安全构成威胁。共和党参议员 John Cornyn 在了解相关报道后也表示“震惊”。
2022 年,美国最高法院在多布斯诉杰克逊妇女健康组织案(Dobbs v. Jackson Women’s Health Organization)中推翻了对合法堕胎的宪法保障,这一裁决推动了大量联邦层面的隐私保护行动。裁决公布后不久,拜登总统签署了一项行政命令,旨在保护生殖健康服务的可及性,其中包括指示 FTC 采取措施,防止个人就诊信息,如前往医生诊所或堕胎诊所的记录,被出售给执法机构或州检察官。
新的执法者
随着特朗普即将重返白宫,并且共和党掌控国会两院,消费者金融保护局提出的新规及其机构本身的未来充满不确定性。长期以来,共和党人、Project 2025 的支持者以及马斯克一直希望废除 CFPB,正如马斯克在 X 平台上所言要将该机构删除。尽管彻底解散 CFPB 需要国会立法,可能性不大,但新政府仍有其他方式可以显著削弱该机构的权力。特朗普很可能会解雇现任局长,改由共和党人士接任,这将为废除现有规则并阻止新规出台铺平道路。
与此同时,联邦贸易委员会的执法力度很大程度上取决于领导者的态度。美国消费者联合会人工智能与隐私事务主管、前司法部官员 Ben Winters 指出,FTC 的裁决并不像法院案件那样具有法律先例效力。这意味着,FTC 的决定需要持续且额外的执法行动才能在行业内产生震慑力,让企业因担心 FTC 介入而保持自律。值得注意的是,FTC 近期的和解协议主要针对地理位置信息,但这只是我们在参与数字世界时所暴露的众多敏感数据类型之一。
展望未来,旧金山大学法学院专注于人工智能和隐私法的教授 Tiffany Li 担忧 FTC 可能会被削弱,变得对企业违规行为不那么积极。她提到,现任 FTC 主席 Lina Khan 一直是美国隐私保护行动的领军人物,但她即将离任。特朗普最近提名的 FTC 下一任主席人选 Andrew Ferguson 曾明确表示反对数据经纪行业:“这种关于个人精确物理位置的数据本质上具有极强的侵入性,暴露了人们最私密的事务。”他在处理 Mobilewalla 案件时曾发表类似声明,这表明他可能会继续打击数据经纪公司。然而,Frguson 也曾公开反对将 FTC 的执法行动视作国会隐私立法的替代方案。
各州的行动
在缺乏联邦隐私立法的情况下,许多美国州份开始自行采取措施来应对隐私问题。
到 2025 年,全美将有 8 项新的州级隐私法生效,使全美范围内的隐私法律总数增至 25 项。此外,一些州也在积极考虑在明年通过自己的隐私法案。
波士顿大学法学院的技术法学者 Woodrow Hartzog 认为,这类州级法律在理论上可能会推动国家层面隐私立法的出台。他解释道:“目前,各州的法规在一定程度上保持相似性,虽然合规成本较高,但仍在可控范围内。”然而,如果某个州通过的法律与其他州存在显著差异,联邦立法可能会成为协调各州法规冲突的唯一解决方式。
目前,加利福尼亚州、德克萨斯州、佛蒙特州和俄勒冈州已通过专门针对数据经纪人的法规,要求这些公司在州政府进行注册。这些法规为数据经纪行业设立了更明确的监管框架。
Consumer Reports技术政策主管 Justin Brookman 指出,随着越来越多的新法律出台,“我们有可能为这些法律赋予更强的执行力。”这一趋势表明,各州在推动隐私保护方面正发挥着越来越重要的作用。
Justin Brookman 提到了德克萨斯州在隐私执法方面所采取的激进行动。在州检察长 Ken Paxton 的领导下,德克萨斯州成为州级隐私执法最积极的地区之一。早在该州新的消费者隐私法于 7 月生效之前,帕克斯顿就宣布成立一个专门负责执行州隐私法的特别工作组。此后,他对多家数据经纪公司展开调查,包括因 8 月数据泄露事件暴露数百万条敏感客户信息的 National Public Data,以及向其出售数据的公司,如 Sirius XM。
然而,与此形成鲜明对比的是,Paxton 在执行德克萨斯州严格堕胎法时采取了威胁个人隐私的做法。去年 12 月,他起诉了一名纽约医生,指控其通过邮寄方式向一名德州女性提供堕胎药。尽管这名医生在理论上受到纽约州保护法的保护,这项法律旨在防止外州对其提起诉讼,但 Paxton 的激进行动凸显了各州在数据隐私保护方面立法的重要性。
Surveillance Technology Oversight Project 执行董事 Albert Fox Cahn 指出:“各州现在迫切需要加紧保护居民数据,禁止公司以可能被外州检察官用来对付用户的方式收集和共享信息。”
以安全之名的数据收集
尽管隐私问题已成为两党共同关注的议题,但 Ben Winters 指出,共和党特别关注在国家安全背景下解决数据经纪行业的问题,例如如何保护军人或其他政府官员的数据。然而,在他看来,对生殖权利和移民群体的影响可能是对隐私权构成的“最危险”威胁。
事实上,数据经纪公司曾向移民与海关执法局和海关与边境保护局出售手机数据。这些数据被用来追踪个人,以执行驱逐出境程序,从而绕过了地方和州的庇护法,这些法律禁止地方执法机构将信息共享给移民执法机构。
美国公民自由联盟国家安全与隐私事务高级律师 Ashley Gorski 警告说:“公司收集的数据越多,政府用于监控的数据就越多。”她的担忧凸显了政府利用私人公司数据进行监控的风险。
美国公民自由联盟也是推动《第四修正案不供出售法案》通过的众多组织之一。这项法案旨在堵上所谓的数据经纪漏洞,即允许执法和情报机构在没有搜查令的情况下,从数据经纪人处购买个人信息。戈尔斯基表示,该法案将“极大限制政府购买美国人私人数据的能力”。这项法案最早于 2021 年提出,并于 2024 年 4 月在众议院获得通过,得到了 123 名共和党议员和 93 名民主党议员的支持,但目前在参议院遭遇阻力,尚未进一步推进。
尽管 Ashley Gorski 对《第四修正案不供出售法案》在下届国会继续推进持乐观态度,但其他人对该法案的前景并不看好,反而对新一届政府可能采取的其他监控手段感到担忧。波士顿大学法学院技术法学者 Woodrow Hartzog 警告说,新政府可能会“挪用私人系统用于监控目的”。他指出,许多个人信息最初是“为了特定目的”而被收集,但这些数据“很容易被政府用于追踪个人行踪”。
Ben Winters 进一步强调了这种担忧,尤其是即将上任的政府已明确表示将动用一切手段推行大规模驱逐政策,并对所谓的敌人进行报复。他指出,政府可能采取的变化可能非常简单,例如放宽政府采购流程,使其更容易获取新兴技术,即便这些技术缺乏足够的隐私保护。“目前,作为联邦机构,采购任何东西都很麻烦。”他说,但预计未来政府将更快、更随意地采用商业工具。
Winters 补充道,这种现象其实已经相当普遍。他提到,联邦、州和地方机构已经大量使用类似 Clearview AI 这样的公司提供的技术服务。这家公司因其面部识别技术而备受争议,其技术在隐私保护和数据安全方面存在严重问题。
AI 这张王牌
在所有关于潜在隐私立法的讨论背后,有一个关键事实不容忽视:科技公司,尤其是人工智能 AI 公司,持续依赖大量数据来训练其机器学习模型。然而,这些数据正迅速枯竭,这在涉及个人数据的未来趋势中无疑是一张“王牌”。
斯坦福大学人工智能研究所的隐私与数据政策研究员 Jennifer King 表示,理想情况下,数据短缺将推动企业寻找新的方式让消费者直接受益,或许是通过金钱回报来体现个人数据的价值。但她认为,更有可能发生的情况是,“行业对一些全面联邦隐私立法提案的抵制将会加剧。”她解释说:“企业从现状中获益良多。”因此,它们可能会竭力维持当前宽松的数据使用环境。
Asana的数据隐私专家、前美国联邦贸易委员会官员 Whitney Merrill 指出,数据需求的增长可能会促使公司修改自身的隐私政策。她以个人身份表示,企业在当前科技行业低迷和高利率环境下面临巨大压力。在这种背景下,“我们已经看到一些公司开始转变态度,调整隐私政策,试图在AI时代通过数据获利”——即便这可能以牺牲用户隐私为代价。她特别提到 Reddit 去年与 Google 达成的协议,每年以 6,000 万美元的价格允许 Google 使用 Reddit 内容来训练其 AI 模型,这一交易正是这种趋势的典型例子。
今年早些时候,FTC 曾警告企业,若“悄悄”修改隐私政策以允许使用用户数据进行 AI 训练,将被视为“不公平和具有欺骗性”的行为。然而,这一警告能否被有效执行,仍取决于监管机构领导者的态度和实际行动。
2025 年的隐私保护将会什么样?
尽管美国联邦贸易委员会最近的和解协议以及消费者金融保护局提出的新规在隐私保护方面,尤其是在地理位置信息的管理上,取得了一定进展,但美国人的个人信息依然被广泛获取和滥用,处于极其脆弱的状态。
美国公民自由联盟隐私与数据治理高级策略师 Rebecca Williams 认为,每个人——无论是个人还是群体——都应主动承担更多责任来保护自身隐私。她建议尽可能通过选择退出来抵制数据收集,这意味着要仔细检查账户和应用程序的隐私设置,并优先使用加密消息服务来保护通信安全。
与此同时,Surveillance Technology Oversight Project 执行董事 Albert Fox Cahn 强调,他将致力于保护本地社区的隐私权,推动落实各种保护措施,确保社区坚持自身原则和承诺。例如,纽约市提出的一项条例就禁止共享源自市内的任何位置信息。波士顿大学法学院教授 Woodrow Hartzog 也指出,这类地方层面的倡导在推动城市禁止面部识别技术的立法上已取得一定成效。
旧金山大学法学院教授 Tiffany Li 则表示:“隐私权确实面临风险,但它并未消失。此刻过于悲观并无助于改变现状。我们依然拥有隐私权,而我们越是为这些权利而持续斗争,就越能有效地加以保护。”
https://www.technologyreview.com/2025/01/07/1109301/privacy-protection-data-brokers-personal-information/
