文章分类
上周末,立法者公布了最新的联邦隐私法——《美国隐私权法案》。该法案由参议院商业、科学和运输委员会主席、参议员Maria Cantwell(华盛顿州民主党)和众议院能源和商业委员会主席、众议员Cathy McMorris Rodgers(华盛顿州共和党)作为讨论草案分发。参议员坎特威尔和众议员麦克莫里斯·罗杰斯只是委员会领导层的“两个角落”,他们历来致力于联邦隐私立法;值得注意的是,其他两个角落——众议员Frank Pallone(新泽西州民主党)和参议员Ted Cruz(德克萨斯州共和党)。尽管如此,新的APRA是一个重大进展,标志着继去年的《美国数据隐私和保护法案》(ADPPA)之后,两党在联邦隐私努力方面迈出了第一步。该法案比国会历史上任何一项全面的隐私法都取得了更大的进步,但最终从未在众议院进行过投票。
虽然新的APRA还为时尚早,但讨论草案在许多方面都值得注意。下面,我们提出并回答了10个问题,以帮助提供该法案的高级摘要,并分享我们对APRA如何解决联邦隐私立法的历史障碍(包括优先权和强制执行)的关键问题的初步分析,以及该法案如何融入其他政策辩论,包括人工智能、儿童隐私和网络安全。
1.ADPPA和APRA之间的关系是什么?
APRA是一项不同于ADPPA的新法案。例如,ADPPA和APRA之间的一个显著区别是在儿童和青少年隐私问题上。旧法案ADPPA对17岁以下的儿童和青少年有特殊规定,例如禁止向这些未成年人进行所有定向广告,并严格限制将未成年人的数据传输给第三方的能力。ADPPA还将在联邦贸易委员会(FTC)成立一个青年隐私和营销部,专门负责儿童隐私监管。尽管APRA也包含针对儿童的条款,例如将未成年人的数据视为“敏感的覆盖数据”,但它没有包含ADPPA的许多针对未成年人的条款,也不会在联邦贸易委员会设立新的部门。
也就是说,新的讨论草案在许多方面与ADPPA非常相似。事实上,APRA的作者是从ADPPA开始的。APRA在州法律方面面临着与ADPPA类似的挑战。去年,ADPPA在其具有里程碑意义的委员会投票后被叫停,部分原因是担心联邦提案将如何与州法律互动,如《加州消费者隐私法》(CCPA)。加州的早期声明预示了APRA面临的类似挑战。例如,在加利福尼亚州负责实施和执行CCPA的新机构加利福尼亚州隐私保护局(CPPA)发布的一份声明中,该机构的执行主任写道,“美国人不应该满足于联邦隐私法,该法限制了各州为应对技术的快速变化和政策中新出现的威胁而推进强有力保护的能力。”
2.APRA将涵盖哪些类型的实体?
该法案考虑覆盖广泛的私营部门。受保护的实体是指(1)确定收集、处理、保留或转移受保护数据的目的和方式的任何实体,以及(2)根据《联邦贸易委员会法》受联邦贸易委员会授权的实体,加上受《通信法》第二章规定的普通承运人和非营利组织。该法案还概述了服务提供商对相关实体的要求和参数。
该法案还定义了大型数据持有者、数据代理和覆盖的高影响力社交媒体公司,并对其提出了特别的更高要求。
“大数据持有者”是指在最近一个日历年(1)年总收入为250000000美元的受保实体或服务提供商,以及(2)收集、处理、保留或转移(a)超过5000000个人、15000000便携式连接设备和3500000连接设备的受保数据,或者(b)超过200000个人、300000便携式连接设备或700000连接设备的敏感受保数据。该法案将排除某些数据点计入这些阈值——例如,一个实体不会仅仅因为收集个人邮寄地址、电子邮件地址或电话号码而被视为大型数据持有者。
“数据代理”被定义为“主要收入来源于处理或转移覆盖数据的覆盖实体,而覆盖数据不是直接从与此类覆盖数据相关或可链接的个人那里收集的。”
“覆盖的高影响力社交媒体公司”被定义为“提供任何互联网可访问平台的覆盖实体,其中——(a)该覆盖实体的全球年收入为300000000美元或以上,包括该覆盖实体任何附属公司产生的收入;(B)该平台在该覆盖实体平台上的前12个月中至少有3个月拥有300000000或以上的全球月活跃用户;(C)该平台构成个人主要用于访问或共享用户生成内容的在线产品或服务。”
值得注意的是,该法案确实规定了各种豁免,包括:
小企业,定义为(i)前三年的平均年总收入不超过40000000美元的实体;(ii)未出于未经授权的目的收集、处理、保留或转移超过200000人的相关数据;以及(iii)没有将涵盖的数据转移给第三方以换取收入或任何有价值的东西。
“代表政府实体收集、处理、保留或传输覆盖数据的政府和实体,只要该实体是服务提供商。”
某些非营利组织主要致力于(1)预防、调查或阻止欺诈,或(2)培训反欺诈专业人员或教育公众有关欺诈的知识。值得注意的是,这是一个有限的例外,这些类型的实体仍将受到APRA的数据安全和保护义务的约束。
3.哪些类型的数据受到保护?
该法案对涵盖数据的定义相对宽泛,包括“单独或与其他信息相结合,识别或链接或合理链接到一个或多个个人的个人或设备,或与一个或更多个个人或设备相关联或合理链接的信息。”该定义不包括:未识别的信息、公开可用的信息,以及从不符合敏感涵盖数据定义且未与其他涵盖数据相结合的公开可用信息的多个来源做出的推断。值得注意的是,APRA还将把员工数据排除在涵盖的数据之外。
与州隐私法一样,APRA还定义了一类特殊的敏感覆盖数据,这类数据需要遵守更高的要求。联邦法案对“敏感覆盖数据”的定义相当宽泛,包括17岁以下未成年人的信息、健康数据、金融账户信息、生物特征信息、精确地理位置信息、登录凭证和某些网络浏览历史。这一定义可通过联邦贸易委员会的规则制定进一步扩展。
4.APRA将确立哪些消费者权利?
该法案将确立许多州隐私法所熟悉的权利,包括以下权利,这些权利都需要经过可验证的请求,并且都与特定个人的相关数据有关:
访问所涵盖数据的权利;
更正不准确或不完整的涵盖数据的权利;
删除涵盖数据的权利;和
导出所涵盖数据的权利。
该法案还将确立选择退出某些处理的权利,特别是选择退出覆盖数据传输的权利和选择退出定向广告的权利。
虽然这些权利通常遵循大多数州的隐私法,但也有一些重要而值得注意的例外情况。例如
根据访问权,APRA将赋予个人访问被转移涵盖数据的任何第三方或服务提供商的具体名称以及转移目的的权利。这一规定超越了迄今为止颁布的任何全面的州隐私法,包括俄勒冈州的新法律,该法律本身在各州中是一个异类,因为它考虑了类似的访问权,但仅适用于“第三方”,而不适用于服务提供商。
与国家选择退出权相比,该法案的选择退出权也相对广泛,包括选择退出非敏感覆盖数据传输的例外权利。
5.所涵盖的实体必须满足哪些肯定的隐私和安全要求?
该法案将对所涵盖的实体(在许多情况下也是服务提供商)提出强有力的要求,包括:
数据最小化要求:涵盖实体或代表涵盖实体行事的服务提供商“不得收集、处理、保留或转移超出必要、相称和有限范围的涵盖数据”(1)提供特定商品和服务,(2)发送合理预期的通信,或(3)用于15个明确允许的目的之一。该法案对敏感覆盖数据(例如,在向第三方传输敏感覆盖数据之前需要选择加入同意)以及生物特征信息和基因信息(例如,除某些例外情况外,在收集、处理、保留或传输生物特征或基因数据之前需要选择加入同意)提供了额外的保护。
透明度要求:该法案要求相关实体和服务提供商“以清晰、显眼、不具误导性、易于阅读和易于访问的方式”提供一项隐私政策,准确详细说明其数据收集、处理、保留和传输活动。该法案还为隐私政策的重大变化制定了标准。大型数据持有者将承担更高的透明度义务,包括被要求(1)保留和公布其隐私政策的每个先前版本;(2) 提供“简短”通知;以及(3)公布关于消费者权利请求的某些度量。
行政责任要求:该法案考虑了两层行政责任要求,即:(1)对所有涵盖的实体和服务提供商的基线要求,以及(2)对大型数据持有者的更高要求。对大型数据持有者的更高要求包括向联邦贸易委员会的认证和所需的隐私影响评估等要求。
日期安全和事件响应要求:根据新法案,涵盖的实体和服务提供商都必须“建立、实施和维护合理的数据安全做法”。该法律将制定标准的合理做法要求,并规定“具体要求”,如漏洞评估;预防和纠正措施;信息保留和处置;以及培训。此外,该法律将要求相关实体和服务提供商实施事件响应程序,包括检测、响应数据安全漏洞并从中恢复。
非歧视要求:该法案规定,受保护的实体和服务提供商都不得“以歧视或以其他方式使其无法平等享受基于种族、肤色、宗教、民族血统、性别或残疾的商品或服务的方式收集、处理、保留或转移受保护的数据。”
6.联邦法律会优先于其他隐私法吗?
如上所述,从历史上看,优先购买权一直是一个充满政治色彩的问题,过去曾对通过联邦隐私法构成障碍。鉴于这一历史,APRA中的优先购买权条款复杂也就不足为奇了。
对于州隐私法来说,从高层来看,最新的讨论草案走了一条细线:其一般的基线规则是,它将优先于APRA所涵盖的州法律,但随后,它列出了一些不会被优先的州法律,包括州违规通知法、解决员工隐私的法律条款和解决健康信息隐私的法律规定。例外情况清单很长,可以说很广泛,这使得确定哪些法律被优先,哪些法律并不复杂。
对于联邦隐私法,APRA制定了一条同样复杂的路径:
该法案描述了APRA将如何与联邦通信委员会的隐私框架互动,作者的逐条摘要解释道,“联邦通信委员会隐私法律和法规不适用于涉及隐私和数据安全或收集、处理、保留或转移涉及数据、PII、客户专有网络信息、个人信息或其等效信息的实体,但《美国法典》第47卷第222(b)、(d)和(g)节、国际条约义务以及根据第13913号行政命令采取的缓解措施和行动除外。”
符合其他联邦隐私要求的相关实体或服务提供商,包括《格拉姆-利奇-布利利法案》、《健康保险便携性和责任法案》和《公平信用报告法案》,将被视为“符合”该法案的相关规定。
该法案将明确保留《儿童在线隐私保护法》,规定该法案不会“解除或改变该法令规定的任何义务”。
7.谁将执行新的APRA?
讨论草案考虑了一系列执法行为体,包括联邦贸易委员会、州检察长和私人行为体:
联邦贸易委员会执法:值得注意的是,该法案将在联邦贸易委员会设立一个新的局来实施和执行新法律,根据《联邦贸易委员会法》,任何违规行为都将被视为不公平或欺骗性行为。该法案还将允许联邦贸易委员会立即对违反法规或该机构规定的行为寻求民事处罚,并对在针对违法者的州或私人诉讼中支付的任何金额进行罚款补偿。
国家AG执法:国家将能够为违反新法律的行为寻求一系列救济,包括禁令救济、民事处罚、赔偿和其他适当救济。
私人诉讼权:APRA将为声称违法的消费者确立一项看似广泛而复杂的私人诉讼权。虽然法律的默认补救措施是实际损害赔偿、禁令救济和律师费,但在某些情况下(例如,涉及伊利诺伊州行为的生物特征和基因信息索赔以及影响加州居民的某些数据泄露),消费者可能会寻求法定损害赔偿。该法案考虑了在某些(但不是全部)情况下,受保实体在诉讼前进行补救的机会。该法案还将禁止就涉及未成年人或导致严重隐私损害的指控违反隐私法的索赔达成仲裁协议。
8.该法案如何影响联邦贸易委员会的隐私规则制定过程?
APRA将启动一系列联邦贸易委员会规则制定活动,包括制定规则以扩大敏感覆盖数据的定义的程序,为消费者的选择退出权建立集中选择退出机制的规则,以及覆盖算法影响评估的规则。
有趣的是,如果该法律获得通过,它还将终止联邦贸易委员会目前关于商业监视和数据安全的隐私规则制定。
9.APRA会监管人工智能吗?
毫不奇怪,APRA将为涵盖的算法制定特殊规则,定义为“一种计算过程,包括源自机器学习、统计或其他数据处理或人工智能技术的计算过程,通过使用涵盖的数据做出决策或促进人类决策,包括确定产品或服务的提供或排名、订购、推广、推荐、放大或类似地确定向个人提供或显示信息。”例如,它将:
要求在知情的情况下开发覆盖算法的覆盖实体或服务提供商参与设计评估;
要求以造成间接损害风险的方式使用所涵盖算法的大型数据持有者进行风险影响评估;和
要求使用涵盖算法做出或促成相应决定的实体提供通知和选择退出权。
请注意,其中几项要求适用于涵盖的算法做出或促进相应决定的情况——该法案将这一概念广泛定义为“使用涵盖数据的决定或要约,包括通过广告,涉及——(1)个人或一类个人获得或平等享有住房、就业、教育入学或机会、医疗保健、保险或信贷机会;或(2)进入或限制使用任何公共场所。”
10.APRA的下一步行动是什么?
虽然讨论草案是由两个主要管辖委员会的主席起草的,但争取其他关键立法者和利益相关者的支持对法案的推进至关重要。例如,众议院能源和商业委员会高级成员、众议员弗兰克·帕隆称该法案“非常有力”,但表示他希望加强对网络儿童的保护。参议院商务委员会高级成员、参议员特德·克鲁兹在声明中更为严厉,他指出,他“不能支持任何赋予审判律师权力、通过对新兴竞争对手施加沉重的新监管成本来加强大型科技公司或赋予联邦贸易委员会前所未有的权力的数据隐私法案……”从具体声明中退一步看,很明显,该法案仍有工作要做,这项工作需要时间。
就程序而言,主席McMorris Rodgers表达了她希望通过正常秩序推动立法的愿望。为此,众议院能源和商业委员会定于4月17日举行立法听证会,讨论APRA。听证会还将听取关于《儿童在线安全法》(KOSA)和《儿童在线隐私保护法》(COPPA)的证词,这两项立法可能会纳入APRA。然而,由于总统选举年剩下的立法日有限,如果该法案有机会获得通过,国会将不得不迅速采取行动。
- 登录 发表评论