文章旨在通过梳理美国消费者个人信息保护立法的现状,分析美国消费者个人信息保护立法路径之特点,进而为我国确立和发展个人信息保护法律制度提供可得借鉴的经验。第一部分梳理了美国消费者个人信息保护立法现状。1972年实施的《公平信用报告法》旨在规范消费者信用报告机构的经营方式以及制作、传播消费者信用报告的程序,明确消费者对信用报告享有的权利。2001年实施的《金融服务现代化法》规定了金融机构对非公开的消费者信息的保密义务。21世纪以来,信息的收集比对以及挖掘分析能力飞速提升,大数据分析技术彻底改变了个人信息利用方式,以“知情—同意”和目的限制原则为核心的的传统公平信息实践法则已经不符合时代需求,为此美国通过积极立法应对这一挑战。2015年《消费者隐私权利法案》(草案)在继承了公平信息实践法则的基础上,赋予其新的时代内涵。该法案提出消费者个人信息保护的七大基本原则,分别为个人信息控制原则、透明度原则、尊重场景原则、集中收集与有责利用原则、信息获取与信息质量原则和责任界定原则。美国各州中对消费者个人信息保护最为严格的加利福尼亚州在2018年颁布《加利福尼亚州消费者隐私法案》赋予消费者更具操作性的信息访问权、删除权以及拒绝经营者销售个人信息的权利。该法严禁经营者歧视拒绝销售个人信息的消费者,要求经营者制作“不销售”链接、更新隐私政策并针对未成年人制定特殊保护规则。第二部分在梳理美国从20世纪70年代至今对消费者个人信息保护立法的基础上,分析了美国立法目前针对消费者个人信息采取的最新保护路径。首先,在消费者个人信息的初期收集阶段,美国传统的“知情—同意”制度面临严峻冲击。原因主要有经营者隐私政策复杂冗长难以理解、经营者与消费者之间的信息不对等以及互联网讯息传播的即时性导致消费者根本无法控制个人信息在网上的传输和散播等。美国试图通过个人信息控制原则与透明度原则来保障消费者的知情权与选择权。个人信息控制原则抛弃传统“一刀切”的通知和选择制度使得消费者有权建立个人信息保护偏好。透明度原则赋予消费者了解和追踪个人信息的传输和使用动态的权利。其次,在个人信息的利用阶段,经营者对信息的挖掘与分析往往难以严格符合收集信息时的预期目的,传统目的限定原则适用遭遇瓶颈。美国率先提出场景一致性原则,该原则指个人信息的后续传播及利用不得超出原始收集阶段的情境脉络,是对目的限定原则的创新与升华。场景一致性原则由两大信息规范组成:一是客观的信息流通规范,二是合理性规范。信息流通规范包含信息类型、参与人以及传输原则三个要素,合理性规范则是对信息流通规范合理性的评价。最后,针对信息泄露风险,美国联邦以及各州都相继制定了相当完善的信息泄露通知制度。该制度指在信息发生或者可能发生泄露风险情形下,信息控制者应当以适当形式及时通知主管机构及当事人,使各方尽快了解信息泄露情况并采取相应的保护措施。该制度包含六大要素:信息泄露通知的主体是所有承担信息保护义务的主体;通知对象为监管部门(各州监管部门有所不同)和信息主体;启动机制为特定的个人信息发生泄露;通知时间为三十日到六十日不等;通知内容以及违反通知责任的法律后果。第三部分为美国消费者个人信息保护立法对我国完善个人信息保护立法制度的启示。由于我国在个人信息保护方面同样沿用美国传统的保护规则,如今面临同美国相似的旧原则无法应对大数据技术冲击的局面,我国可以借鉴美国当前的保护个人信息的有益经验。首先,强化我国的“知情—同意”制度。对当前制度进行细化规定,针对不同信息的特点进行类型化区分;完善行业标准,推动行业自律;提升公民的个人信息保护意识。其次,我国可以借鉴美国的场景一致性原则,与隐私风险评估制度相结合,引入风险导向型合理场景评估制度。根据不同的风险等级界定“合理使用”的个人信息处理场景;灵活适用目的限定原则,将“目的限定”转变为“风险限定”,通过具体评估信息处理行为是否引起了超出原始收集时的风险来判断目的的符合程度。最后,完善我国现有的信息泄露通知制度。立法上具体区分需要向主管机关报告和通知消费者两种情形的启动机制,明确报告或通知的时间限制和方式要求、网络运营者应采取的具体补救措施等;加大对不履行信息泄露通知义务的网络运营者的惩戒力度;建立相应的事故评估标准,对信息泄露严重程度进行详细的量化规定,增强该制度的可操作性。