2025年10月,美国参议院就由民主党参议员罗恩·怀登(Ron Wyden)提出的两项隐私法案展开讨论,试图对数据经纪人(data brokers)收集与出售个人敏感信息的行为进行更严格限制。法案之一SB 2850提出要保护所有美国人的个人数据不被数据经纪人轻易出售或公开,另一个更为狭窄的SB 2851则仅将保护范围限定于联邦议员、州官员及其工作人员,以及性侵和家庭暴力幸存者。然而,来自德州的共和党参议员特德·克鲁兹(Ted Cruz)提出了反对并以阻挠程序阻止了两项法案的推进,声称该立法可能妨碍执法部门追查犯罪线索,尤其是追踪性犯罪者和保护儿童的工作。克鲁兹同时表示愿意与怀登合作完善法案草案,但他强调目前的版本尚需进一步打磨以兼顾公共安全与隐私保护的平衡。 围绕数据经纪人与"人肉"暴露的担忧在近年来愈发突出。数据经纪人通过聚合公开记录、社交媒体、商业交易以及第三方来源的信息,构建详尽的个人档案并将其出售给营销商、雇主甚至不良分子。
受害者地址被暴露后可能面临跟踪、骚扰、敲诈乃至暴力袭击。怀登在提出SB 2850时指出,数据经纪人的信息有时会被"任何持有信用卡的人"轻易购买,从而导致暴力、跟踪和其他犯罪行为的发生。国会对此类风险的关注,部分源于近年来数起通过数据经纪人获得目标地址进而实施致命攻击的案件,其中包括对立法者及其他公众人物的威胁与实际攻击。 克鲁兹之所以表达顾虑,主要基于对执法功能受限的担心。他认为广泛的隐私保护规定如果缺乏合理的例外条款,可能让警方、联邦机构在侦查重罪、追踪性犯罪者或保护弱势群体时失去重要证据或线索。克鲁兹在参议院辩论中提到,希望在尽可能广泛保护公民隐私的同时,为"切实可行"的执法需要保留空间,但他也承认目前的法案草案在如何设计这些例外方面尚未得到充分解决。
克鲁兹提出愿与怀登协商,意在推动在隐私保护与公共安全之间找到政策上的中间地带。 从立法与政策分析角度看,SB 2850和SB 2851反映了两种不同的策略:前者追求全面性保护,旨在阻止任何人通过数据经纪人获得敏感信息;后者则采用更目标化的保护对象,先从最脆弱或政治敏感的人群着手。全面框架的优点是覆盖面广、可减少滥用渠道,但缺点在于若例外设计不清晰或程序繁琐,可能给执法与国家安全任务带来阻碍。目标化保护则更易获得跨党派支持,但可能造成"二等公民"的感受,即普通民众依然暴露在风险之下,且难以应对不断演化的滥用手段。 数据经纪人行业的结构也为立法带来了复杂性。行业内既有大型、注册明确的企业,也有无名小型或地下运营的经纪人,他们通过自动化抓取、第三方数据买卖与合成数据集来构建档案。
监管若仅针对注册公司,可能无法覆盖通过匿名渠道出售数据的行为。立法要具有实际效果,就必须兼顾执法手段、跨境数据流、平台责任以及技术层面的可追溯性。例如,要求数据经纪人进行数据处理透明度申报、为被收集人提供更简单的光学撤销机制(opt-out)、并对非法出售行为设立严厉罚则,都是常见政策工具。但这些措施在实施时会面临高昂的合规成本、司法审查以及如何与现有州法、联邦法协调的问题。 在加密货币与区块链社区中,隐私问题尤为敏感。部分加密社区成员将隐私视为核心价值,一方面反对任何形式的广泛数字监控,另一方面担心因个人持币信息、交易数据或社交链接被公开而导致的人身安全风险。
文中提到,2025年内针对持有加密资产者的暴力事件数量偏高,且不少案件涉及通过公开或购买到的个人地址定位受害者。若立法能够真正限制数据经纪人的获取与分发路径,将在一定程度上降低针对加密社区成员的攻击风险。但同时,缺乏执法线索也可能影响警方侦查因加密相关犯罪产生的资金流动与人员网络,使对洗钱、诈骗等犯罪的打击变得复杂。 法律合宪性与司法实践也是讨论焦点。立法者在设计隐私保护法时需考虑宪法保障的言论自由与信息流通权、第四修正案对不合理搜查与扣押的限制、以及第一修正案对新闻自由的保护等。全面限制数据流通可能被部分利益方质疑为过度限制言论或阻碍新闻报道,尤其是在涉及公共人物或公众利益话题时。
司法实践会如何解释"敏感个人信息"的范围、何种情况下需提供执法例外、以及如何衡量公共利益与个人隐私之间的权衡,都会对法律最终效力产生决定性影响。 面对上述矛盾,有若干折衷路径值得考虑。第一是在法案中明确列举合理且可审查的执法例外,规定必须通过法院授权或在特定严重犯罪调查中才能调取被列为保护范围的数据。第二是建立独立监督机制,确保执法机关在依赖数据时负有透明度与问责义务,减少权力滥用的风险。第三是推动对数据经纪人业务实行更严格的注册与合规要求,包括定期审计、数据最小化原则与明示同意机制,同时对地下市场与跨境数据流设置更严格的打击措施。第四则是加强对受害者的保护措施,如为被定位而受威胁的个人提供应急保护服务和信息更正渠道。
技术层面的解决方案也不可忽视。隐私增强技术(PETs)能够在不完全阻断数据流动的情况下保护个人敏感信息,例如差分隐私、联邦学习与可验证计算等可以在数据使用与分析中降低个人可辨识性。此外,推动更普及的端到端加密、完善的身份管理系统及隐私优先的默认设置,有助于在用户侧减轻数据泄露风险。政府可通过资助研发、设立隐私技术标准与认证体系,促使市场上出现更安全的产品与服务。 在政治层面,克鲁兹的阻挠行为反映了在隐私与执法之间常见的两党博弈。虽然怀登在国会内有不少支持者,其强调保护普通民众免受数据滥用的立场也获得若干跨党派共鸣,但任何一项广泛的新规都会触及执法、行业利益与宪法边界。
要推动立法通过,立法者需开展更广泛的听证与技术咨询,邀请执法机构、受害者群体、隐私专家、行业代表以及州政府共同讨论具体条文的可行性。通过逐条协商并保留可裁量的监管沙盒(regulatory sandbox)机制,可以在不仓促全面实施的前提下试验具有现实可行性的政策工具。 公众舆论与媒体监督也将在推动改革中起到关键作用。数据泄露事件、公众人物遇害案例以及相关受害者的公开诉求会促使立法者面对选民压力采取行动。同时,媒体与民间组织对数据经纪人业务模式的揭露和教育,将提升公众对个人信息保护权利的认知,使得更加细化且具有可操作性的法律需求浮现。 综上所述,特德·克鲁兹阻挡SB 2850与SB 2851的行为并非简单的隐私反对,而是反映出一个更复杂的权衡议题:如何在保护个人免受"人肉"暴露与维持执法效率之间取得平衡。
若要在美国政治现实中推动有效的隐私保护立法,立法者需要回应执法机构的合理担忧、堵塞数据经纪人的监管漏洞,并通过透明、可审查的例外与监督机制来保障公共安全与个人权利。技术、法律与政治三方面的协同,将决定最终能否形成既能减少暴力与骚扰风险、又不削弱追查严重犯罪的可行框架。 未来走向可能包括两条并行路径:一是基于目标群体的逐步扩展保护,从易受害的群体开始试点并累积证据与经验;二是在更长时间尺度上构建一个更为普遍的隐私保护体系,同时配套细化的执法例外与强制透明机制。无论哪条路径,都需要立法者、技术专家、司法机构与社会各界的持续对话。 对于普通公众而言,提高个人信息保护意识并主动采取防护措施至关重要。保持社交媒体隐私设置、限制公开个人敏感信息、使用加密通讯工具以及审慎对待未知第三方的数据请求,都是降低被数据滥用风险的现实步骤。
对于政策制定者,建议聚焦在可执行性强的监管工具、对地下数据市场的执法打击以及提升信息透明度与救济渠道上,确保立法不仅在理论上保护隐私,也能在实践中有效减少因数据被滥用带来的实质伤害。 特德·克鲁兹与罗恩·怀登之间关于SB 2850和SB 2851的分歧,代表了美国在隐私监管路径选择上的一个缩影。未来几个月和几年内,随着更多案件被披露、技术演进以及公众关注度的提升,关于数据所有权、隐私权与公共安全之间界线的讨论将继续演变。最终的立法结果不仅会影响数据经纪人行业的生存空间,也将重新界定个人在数字时代的基本安全与权利保障。 。
