数据保护影响评估（DPIA）违反美国宪法？

扫码立即加入学习！

“州政府有权力（通过立法）保护儿童免受伤害，[]但这并不意味着州政府的权力是无限的，可以限制儿童可能接触到的思想。”

“a State possesses legitimate power to protect children from harm, [] that does not include a free-floating power to restrict the ideas to which children may be exposed.” 

Brown v. Ent. Merchants Ass’n, 564 U.S. 786, 794 (2011)

看到这份判决 (5:22-cv-08861- BLF) [1] 让人惊掉了下巴，决定写篇文章搞明白背后的逻辑。

欧洲的治理理念遇上美国的宪法文化，史诗级的对抗与碰撞。

Netchoice% v Bonta案将第一修正案就数据隐私合规的相关性和重要性提到新高度，成为布鲁塞尔效应在美国的试金石。

加州《适龄设计规范法案》 (California Age-Appropriate Design Code Act, CAADCA, AB 2273) 已签署通过，计划2024年7月1日生效。内容上CAADCA大体可以分为两部分，其一是禁止性行为，即原则上不得收集、售卖、分享、留存儿童的个人信息（包括准确的地理位置信息）用于建立画像或者其他目的（存在例外情形）。其二是主动合规行为，包括DPIA，要求任何提供“可能被儿童访问的在线服务、产品或功能的企业开展年龄认证，并准备数据保护影响评估报告，以识别数据实践可能对儿童造成伤害的风险”。

Netchoice是美国国内主要的数字产业贸易协会，其客户几乎涵盖所有大型互联网企业，包括亚马逊、谷歌、Meta、网飞、X（推特）等。[3] 

作为替硅谷大厂捍卫言论自由（言论自由可以作为对抗州或联邦层面治理立法的宪法基础）的主要机构，有关言论自由的案件不乏NetChoice的身影。就在一个月前美国最高法院发布Moody v NetChoice案判决，九位大法官观点一致 (9-0) 该案（以及关联案件NetChoice, LLC v. Paxton）发回地方法院重申，认为对于第一修正案审查的部分不够充分。[11]

2022年12月14日，NetChoice发起诉讼，主张CAADCA整体违宪 (facially unconstitutional)，请求阻止该案执行（于2024年7月1日开始执行）。初审法院——加州北区联邦地区法院——主审法官Beth Labson Freeman支持了这一主张，发布初步禁令，叫停相关条款的执行。加州总检察长Rob Bonta不服，上诉第九巡回上诉法院。

2024年8月16日，第九巡回法院法官Milan D. Smith, Jr.发布判决，部分支持、部分撤销了初审法院的禁令。Smith Jr法官认为，CAADCA要求开展DPIA确实有可能违宪，但包括年龄验证等其他合规要求的合宪性有待进一步审理，遂即退回初审法院重新审理。加州第九巡回法院的禁令是初步的，加州总检察长很有可能进行上诉。

Milan D. Smith Jr法官

本案中的法庭之友 (“amicus curiae”) 阵容也很强大，包括但不限于

• The Institute for Law Innovation and Technology

• Princeton University Center for Information Technology Policy, Tech Policy Clinic

• Privacy and First Amendment Law Professors

• 联邦贸易委员会委员 Alvaro M. Bedoya

• 电子前沿基金会（Electronic Frontier Foundation）[4]

• Electronic Privacy Information Center

• TechFreedom

• 美国商会

• 美国公民自由联盟 (American Civil Liberties Union)

• Santa Clara 大学法学教授Eric Goldman

二

数据保护影响评估 (Data Protection Impact Assessment, DPIA)是一种系统评估风险的治理/合规工具，用于识别和减轻个人数据处理活动中可能存在的隐私和数据保护风险。DPIA存在适用条件，通常适用于新的或者变更的，以及存在高风险的数据处理活动。DPIA自欧盟《通用数据保护条例》2018年引入法律体系，可视为是早期隐私影响评估 (Privacy Impact Assessment)的一种变体。

DPIA的合宪性在欧盟几乎没有被讨论过。数据保护为《欧盟基本权利宪章》认定为是一种基本权利，因此DPIA作为落实这一权利的主要工具，合法性/合宪性很少会被质疑，目前也不存在与其他基本权利（例如言论自由）平衡的先例。美国法律文化则不同，没有其他权利在重要性上能够跟第一修正案相媲美。从第一修正案的角度来看，DPIA的本质是要求企业向政府“表达”儿童可能受到侵害的“观点”和分析，并且积极采取“行动”减轻或消除风险，包括移除言论。因此逻辑上来讲，DPIA与第一修正案存在张力。

本案中讨论了两种类型的DPIA，其一是CAADCA要求的专门关于儿童的潜在风险评估和降低。其二是一般性的数据隐私立法（例如CCPA）规定的一般性的DPIA。在判定第一修正案相关性上，本案主审法官认为二者区别很大。（第33页）

三

标准设定的讨论对于判决走向很重要。一旦适用严格标准，论证的成本会变得很高，政府需要去证明制定CAADCA是为了“迫切的政府利益”，并且该法是实现目标的“最小限制性手段”。

在DPIA应当受到第一修正案审查的问题上，Smith Jr法官基本没有论证。按照宪法审查程序，接下来要确定适用何种标准，常见有三 [5]：

• 严格审查 (strict scrutiny)适用于涉及核心权利，政府必须证明所追求的是“迫切政府利益”，且手段必须是“最小限制的”

• 中度审查 (intermediate scrutiny)适用于商业言论等较低保护级别的场合。政府必须证明所追求的是“重要政府利益”，且手段与目的之间有“合理关联”[7]

• 基础审查 (rational basis review) 适用于不涉及基本权利的情况，政府需要证明有“合理政府目的”即可。[8]

确定采取何种标准评估违宪，按照美国判例法需要判定涉案言论是否属于“商业言论”。原则上，商业言论受保护程度更低。遵循先例 Cent. Hudson，商业言论通常进行中度审查；再则根据先例Zauderer，如果法律强制披露的内容是“纯粹事实性且没有争议的”，那么只需进行基础审查即可。

法院却最终选择了“严格审查标准”而不是一般标准，原因何在？

Smith Jr法官使用Bolger案确定三项标准（是否属于广告，是否涉及特定产品，是否存在商业动机）。很明显，DPIA很难放置于商业言论的概念范围内。

此外，Smith Jr法官认为，本案当采用严格标准，原因有二：

其一，DPIA被认为是一种强迫性言论 (compelled speech)，言论内容不仅涉及商业信息披露，还有关于社会和道德观点的表达，根据先例Nat’l Inst. of Fam. & Life Advocs. v. Becerra等应触发严格审查。

其二，DPIA被认为是一种“自我审查”(self-censorship)，并且是内容审查 (content-based)。由于内容审查在第一修正案语境中最为敏感，因此根据先例US v Playboy触发严格审查。

但是，Smith Jr法官的分析受到了一些质疑。乔治城大学法学教授Marc Rotenberg认为，对于观点中立的监管立法 (viewpoint-netural regulation)而言，没有先例证明应当适用严格审查。[12] Santa Clara大学的法学教授Eric Goldman（也是本案的“法庭之友”）认为，Smith Jr法官对于Zauderer先例的理解和适用有误。该测试还有一些其他适用前提条件被本案所忽略。[13] 两人对于Moody案的影响理解也不同，Goldman认为本案是Moody案的复刻，审理逻辑类似；Rotenberg并不认同，认为最高法院发回重审恰恰创造了反思的空间。

四

强迫言论理论发展自美国宪政判例，是认定DPIA违宪重要的基础。从这一视角来看，要求企业开展DPIA违反了企业“完全不说话的权利”(the right to refrain from speaking at all)。这一权利的形成有其特定的语境和适用条件，不要望文生义。

美国新罕布什尔州的州铭为“Live Free or Die”（“不自由毋宁死”）。1977年前后，该州法律要求所有汽车都必须展示这一州铭。居住在该州的George Maynard是“耶和华见证人“的宗教成员，他和妻子认为这种做法违背了他们的宗教信仰和个人信念，因此将车牌上的字样遮住，遂即被罚款。Maynard提起诉讼，认为新汉布什尔州的这一法律违反了他的言论自由。

该案中，主审法官Warren Earl Burger撰写了多数意见，认为政府不得强制公民传播其不愿意传播的言论，即便该言论不会造成伤害或者没有争议，因此形成了所谓“拒绝表达的权利”。

乔治城大学的法学教授Marc Rotenberg [10]是目前看到Netchoice v Bonta的主要批评者。他认为，将Wooley作为本案的先例并不合适，因为Netchoice并不是耶和华见证人（Wooley v Maynard案中主角所信奉的宗教）或者面点师。言下之意，本案与上世纪70年代的Wooley v Maynard (1977)案，以及新近案例Masterpiece Cakeshop v. Colorado Civil Rights Commission (2018)存在根本区别。上述两案都是关于个人或者中小企业基于宗教信仰挑战州法，与Netchoice作为科技巨头代表反抗新法合规存在本质不同。

五

本案走向目前很难预测。Goldman相对乐观地认为DPIA会倒在第一修正案的审查上。不仅如此，CAADCA其他退回初级法院重审的条款（涉及年龄认证等）最终也会被认定违宪。但是，将DPIA强制放置于第一修正案（尤其是强迫言论）的语境中多少有些牵强。如Rotenberg所言，法院所依赖的两个判例——一个涉及耶和华见证人，一个涉及面点师——都是个人特定信仰相关，与互联网大厂隐私合规的逻辑相去甚远。

如果最终Netchoice胜诉，绝大多数欧盟兴起的、基于可问责原则数据/算法治理工具都可能在美国面临违宪的指控或者审查。该案将开启新纪元，布鲁塞尔效应在美国本土将陆续受到对抗，数据/儿童保护工具违宪问题将在未来一两年内继续制造热点。具体来说，虽然只是巡回上诉法院的一份判决，这份判决意义深远，体现在如下多个面向上：

• 影响加州作为隐私领先州推进儿童保护合规的进程

• 引发关于年龄验证等儿童保护合规措施合法/合宪性的讨论（作为该案下一步进展）

• 引发DPIA合宪性的讨论，包括一般性隐私合规的DPIA（与本案关于儿童保护的DPIA有所不同）

• 影响美国之外其他各州一般性隐私立法的进程，尤其是包含DPIA的立法

• 间接影响美国AI立法进程，尤其是涉及算法影响评估的立法（例如SB 1047）

相关链接