美國的一個聯邦法院日前駁回了由聯邦僱員工會等組織針對美國人事管理局資料洩露提起的訴訟。美國人事管理局資料庫2015年遭黑客入侵,導致兩千多萬政府內外人員的人事資料外洩。法庭的判決反映出,如何完善隱私法以保證法律跟上技術發展的腳步,已經成為立法部門急需解決的一個問題。
美聯邦僱員起訴政府疏忽
美國哥倫比亞特區聯邦地區法院9月19日駁回了美國政府僱員聯合會(AFGE)和美國財政員工工會(NETU)等組織對美國人事管理局(OPM)提起的訴訟,訴狀稱美國人事管理局在2015年資料外洩事件中存在重大疏忽。
根據政府提供的數據,大約兩千一百五十萬政府內部和外部人員的個人資料外洩,其中包括一千九百七十萬聯邦安全審查的申請者,還有一百八十萬非申請者,後者多數為申請者的配偶和伴侶。據悉,外洩的個人資料包括姓名、出生日期、家庭住址、社會安全號以及有關安全審查的詳細背景信息。問題性質之嚴重,美國人事管理局局長凱瑟琳·阿奎萊拉不得不引咎辭職。
美國當局懷疑是來自中國政府的黑客所為,但是中國當局予以否認,並且表示它對任何形式的黑客襲擊都將採取堅決和強硬的措施。與此同時,一位中國公民前不久因為涉嫌參與這次黑客襲擊事件在加州南區聯邦地方法院受審。
原告引用美國國會1974年通過的“隱私法”提出,政府已經被告知,黑客經常以其係統為攻擊目標,卻沒有採取充分的措施加以防範,而且受害人始終處於他們的信息被濫用的風險之中。“隱私法”確立了公平資訊的踐行準則,以指導聯邦機構記錄系統中個人信息的蒐集、維護、使用和傳遞工作。
聯邦隱私法強調實際損害
法庭說,儘管這些指控“令人不安”,但沒有法律依據,因為根據現行聯邦隱私法,原告在訴訟中必須證明,信息外洩給他們造成足以興訟的實際經濟損害。聯邦隱私法明確指出,它沒有為那些因為他的信息被竊的事實而只是感到被侵犯,甚至極度擔憂的人設立一個法律上的行動方案。
華盛頓市杜利·潤奇律師事務所律師切莉·加農(Cheri Cannon)解釋說,除非原告證明實際損害並與美國人事管理局資料外洩有關,否則就沒有興訟依據。
加農說:“你不僅要證明受到損害,例如你的信用受到損害、有人用你的名字開設賬戶或冒充你報稅以得到退稅款。這些都很有幫助。但是,你仍然要證明此事與美國人事管理局的資料洩露有關,在無論何人入侵美國人事管理局的系統但又沒有得到這些財務信息的情況下,要證明這一點極為困難。”
加農認為,美國資料外洩事件說明,美國法律已經落後於技術發展的腳步。
她說:“國會和各州還沒有立法給予消費者和其他方面以適當的保護,以應對這些情況。我們可能要加快一點行動,找到如何在技術上避免外洩的辦法。但即使我們是世界上保護最嚴密的公司或政府,總會有情況出現。我們需要立法幫助受到影響的人們。到目前為止,我們還沒有這方面的法律。”
聯邦僱員繼續上訴維權
雖然聯邦地方法院以沒有興訟的法律依據為由駁回了這起上訴,但是,美國之音記者從原告律師處獲悉,美國財政員工工會已經向哥倫比亞特區聯邦巡迴上訴法院提起上訴。美國政府僱員聯合會正在研究法庭的決定,並且與其工會成員商榷,很有可能也會緊跟其後提出上訴。巡迴上訴法院可能會同意下級法院的意見,也可能把案子退回令其受案審理。
“美國財政員工工會”的助理法律顧問帕拉斯·沙(Paras N. Shah)說,該組織代表三十一個聯邦機構和部門的十五萬名僱員所提起的訴訟有別於其它訴訟的地方在於,他們提出的訴訟依據的是美國聯邦憲法,具體說就是,政府的資料外洩侵犯了他們所代表的聯邦僱員信息隱私的憲法權利。
帕拉斯·沙說:“首先,這個權利使公民可以保留某些個人信息而不交給政府,除非政府有足夠的理由這麼做。其次,即使政府有理由讓你把個人信息交給它,它也不能把這個信息分享給沒有授權獲得併閱讀這些信息的人。”
帕拉斯·沙說,信息隱私的憲法權利要求政府確保這些信息的安全。基於美國的判決先例,政府一旦掌握個人信息,不經授權不得與他人分享。依照這個推論,它也不能不保護這些信息的安全,讓別人侵入信息系統將其竊取。
政府和私企訴訟的區別
在法庭判決駁回上訴之前不久,美國三大個人信用評估公司之一的易速傳真(Equifax)傳出網絡系統受攻擊和多達1.43億客戶資料外洩的醜聞。外洩資料包括用戶姓名,社保賬號、信用卡號等。該事件引起公眾的憤慨。
在事件曝光後不到兩週,針對易速傳真發起的集體訴訟已經多達數十起。美國民調顯示,受訪的大多數美國人,大約有69%的成年人表示,他們如果發現個人信息在這次外洩事件中受到影響,就願意加入這些集體訴訟。
位於華盛頓市“電子隱私信息中心“的主席馬克·羅滕伯格(Marc Rotenberg)分析了在這個問題上政府機構和私營企業訴訟之間的區別。他說,針對易速傳真的訴訟要比針對美國人事管理局的訴訟有更強的法律依據。
羅滕伯格說:“易速傳真是一個受監管的行業,受到'聯邦公平信用報告法'的約束。在這些案件中,證明受到個人信息不當外洩的後果所造成的傷害,應該更容易一些。我們會看到有更多針對易速傳真資料外洩的訴訟出現。”
有關專家指出,聯邦隱私法針對的是聯邦政府的行為,普通公民如果受到私企資料外洩的影響,可以依據消費者保護法提起訴訟。但是,他們只要依據聯邦法律在聯邦法庭提起訴訟,仍要證明被告的行為給其個人造成了一定的損害。不過,鑑於易速傳真外洩的資料涉及包括消費者信用卡號在內的個人財務信息,因此同美國人事管理局一案相比,證明受到損害要更容易一些。