【美国隐私保护】2024隐私法预览

正如我们之前所详述的，2023年是隐私法具有里程碑意义的一年，联邦、州和国际层面都有许多发展，从新颁布的法规到大规模的监管执法行动。早期迹象已经表明，随着立法机构和监管机构继续在制定和实施新的法律框架以管理一个快速发展的领域方面取得进展，2024年对隐私专业人士来说可能同样活跃。（例如，在2024年的开幕式上，新泽西州和新罕布什尔州的立法机构已经分别通过或接近通过了全面的隐私法案）。特别是，我们预计联邦监管机构（尤其是联邦贸易委员会（FTC）将继续其最近对健康数据、广告技术、，敏感的客户信息和人工智能），甚至可能是联邦立法层面（尽管考虑到2023年法律缺乏进展，以及2024年是选举年，这似乎不太可能）。此外，与人工智能相关的持续法律发展可能会对隐私法产生影响，反之亦然。了解这些趋势不仅对隐私专业人士至关重要，对更广泛的法律部门也至关重要；事实上，最近的一份报告发现，监管合规、数据隐私和数据保护被首席法律官视为2024年的三大风险。

在这篇文章中，我们总结了进入2024年时美国隐私法的七个关键发展。要了解所有这些进展，请订阅WilmerHale隐私和网络安全法律博客。

1.新的州全面隐私法的实施和执行

2023年是国家全面隐私法的突破性一年。有此类法律的州数量增加了一倍多（从5个增加到12个），爱荷华州、印第安纳州、蒙大拿州、田纳西州、得克萨斯州、俄勒冈州和特拉华州加入了加利福尼亚州、弗吉尼亚州、科罗拉多州、康涅狄格州和犹他州的行列。2023年，弗吉尼亚州、科罗拉多州和康涅狄格州的法律也正式生效，此外还有《加州隐私权法案》（CPRA）。除了这些新的法律框架之外，我们还看到《科罗拉多州隐私法规则》在科罗拉多州生效，加州的监管活动也在继续。总而言之，2023年对公司来说，州隐私法合规形势变得更加复杂。

随着上述几项法律的生效，2024年将给这些公司带来更多挑战。犹他州是第一个，于2023年12月31日生效。紧随其后的是7月1日的得克萨斯州和俄勒冈州，以及10月1日蒙大拿州。（佛罗里达州范围较窄的法律也将于7月1日生效，该法律主要适用于某些大型数据处理器（与其他“全面”隐私法不同）。）尽管这些法律的要求大体相似，但它们有足够的差异，企业应考虑如何履行其各种合规义务。寻求遵守这些新法律的公司需要仔细评估相关的法定要求，并评估如何最好地调整其隐私合规计划以满足这些要求。

2.新的州隐私法提案

在没有对联邦隐私法采取任何行动的情况下（详见下文），我们还预计2024年会有更多的州通过自己的全面隐私法。事实上，在过去的一周里，新泽西州和新罕布什尔州的立法机构分别通过或几乎通过了全面的隐私法案。本周早些时候，新泽西州立法机构通过了一项全面的隐私法案，该法案延续了上一日历年。与此同时，在新罕布什尔州，一项全面的隐私法案于1月4日在众议院获得通过，目前正在等待（预计）参议院的批准。包括夏威夷、肯塔基、纽约和俄克拉荷马在内的其他州是2024年通过全面隐私法的主要候选人，因为它们在2023年都有全面的隐私法案，通过了一个立法院。就这些新的全面隐私法提案的实质内容而言，如果2023年的趋势保持不变，这些法案中的大多数很可能会遵循弗吉尼亚州的模式，因此其合规性要求不如《加利福尼亚消费者隐私法》（CCPA）和《消费者隐私法修正案》中的规定。

说到加利福尼亚州，公司应该在2024年继续监控金州的隐私发展。特别是，加利福尼亚州正处于根据《消费者保护法》制定与网络安全审计、风险评估和自动决策技术（ADMT）相关的新法规的早期阶段，以及对已经颁布的《消费者保护法案》法规的修订。我们预计在新的一年里，这些法规将取得更多进展，包括启动正式的规则制定程序。2024年3月也将开始执行《加拿大消费者保护法》的规定，在最后一刻的法院裁决中，该规定从原定的2023年7月的执行日期推迟。

此外，公司当然不应该忽视这样一个事实，即MHMDA也将由华盛顿总检察长（AG）强制执行。想要了解华盛顿AG如何执行MHMDA的公司，可以查阅我们过去关于AG 2023年6月执行指南的文章。最后，公司还应该意识到内华达州和康涅狄格州将在2024年实施自己的消费者健康隐私法（尽管这两项法律都不包括私人诉讼权）。此外，考虑到2023年三个州通过消费者健康数据法的速度之快，我们预计全年还会有更多的法律加入这一类别。

3.《华盛顿我的健康我的数据法案》的实施

2023年，华盛顿颁布了《我的健康我的数据法案》（MHMDA），这是一项重要的健康隐私法，将为在HIPAA之外处理健康数据的公司创造有意义的合规义务。这项法律的挑战尤其重要，因为该法律包括一项私人诉讼权，其中立法中的模糊性主要由原告律师协会利用，而不是由监管机构审查。MHMDA将于3月31日生效，我们将密切关注原告如何利用法律的私人诉讼权。在这一点上，我们预计MHMDA将引发大量诉讼。关于原告可能如何使用MHMDA的模型，我们可以参考伊利诺伊州的《生物识别信息隐私法》（BIPA）。尽管该法律规定的是生物特征信息，而不是健康数据，但与MHMDA一样，它具有私人诉讼权，并导致了大量诉讼，原告利用了广泛的责任理论，使公司面临重大的潜在损害赔偿。因此，如果公司在BIPA方面的经验有任何迹象，我们可以预期MHMDA将成为其范围内公司重大潜在法律风险的来源。

此外，公司当然不应该忽视这样一个事实，即MHMDA也将由华盛顿总检察长（AG）强制执行。想要了解华盛顿AG如何执行MHMDA的公司，可以查阅我们过去关于AG 2023年6月执行指南的文章。最后，公司还应该意识到内华达州和康涅狄格州将在2024年实施自己的消费者健康隐私法（尽管这两项法律都不包括私人诉讼权）。此外，考虑到2023年三个州通过消费者健康数据法的速度之快，我们预计全年还会有更多的法律加入这一类别。

4.联邦贸易委员会关注健康数据和广告技术

一般来说，在过去几年中，监管机构越来越关注与消费者健康数据和广告技术相关的隐私影响。没有哪个监管机构比联邦贸易委员会更能体现这一重点。在过去的一年里，联邦贸易委员会已成为健康隐私执法领域的领导者，使消费者健康数据成为其隐私和网络安全任务的重点。此外，联邦贸易委员会对消费者健康数据和定向广告的交叉点表现出了特别的兴趣，例如，对GoodRx和BetterHelp采取了重大执法行动，主要集中在这些公司涉嫌滥用消费者健康信息用于广告目的（联邦贸易委员会认为这是“不公平的”实践，如下所述）。我们希望联邦贸易委员会在2024年继续以GoodRx和BetterHelp执法行动确立的先例为基础，这意味着数字健康领域的公司应高度警惕，以确保其数据隐私做法是透明的，并在使用消费者个人信息时获得适当的同意。

5.联邦贸易委员会其他执法活动的持续扩大——不公平、敏感的消费者数据、人工智能和未来的规则制定活动

除了继续关注消费者健康数据和广告技术外，我们预计联邦贸易委员会在未来一年的执法活动还将有四个额外的趋势。首先，联邦贸易委员会可能会继续努力扩大其不公平原则的界限。近年来，我们看到联邦贸易委员会大力运用其权力，对隐私和网络安全领域的不公平行为或做法采取行动，特别是将这一概念扩展到未能充分保护消费者数据的公司。因此，举几个例子，联邦贸易委员会对一家数据代理公司提出了不公平指控，该公司在没有充分通知消费者或获得消费者同意的情况下收集和使用了大量敏感的消费者信息，该公司对其隐私政策进行了追溯性的重大更改，以及未能充分回应消费者删除其个人数据请求的实体。其次，我们预计联邦贸易委员会将继续关注对处理不当敏感类型消费者信息的公司的执法行动。这是联邦贸易委员会2023年关注的一个显著领域，因此处理消费者健康数据、基因数据、生物特征数据等敏感信息的公司应格外小心，确保这些数据受到强有力的隐私和网络安全控制。第三，我们预计联邦贸易委员会将在2024年进一步涉足人工智能监管领域。2023年，联邦贸易委员会发布了一系列公开声明，明确表示其认为人工智能在其监管范围内。那么，2024年很可能是联邦贸易委员会在这一领域采取更具体行动的一年，也许会开始采取更多的执法行动，特别是以人工智能相关的欺骗和不公平索赔为特色。去年，联邦贸易委员会还对一家未实施合理保障措施而使用人工智能面部识别技术的公司提起了执法行动。

最后，联邦贸易委员会还可能通过其规则制定活动继续扩大其执法权限的范围。例如，在2023年底，该机构根据《儿童在线隐私保护法》（COPPA）提出了新的规则，其中包括要求公司限制针对受该规则保护的儿童的定向广告活动。与此同时，联邦贸易委员会仍在进行与“损害消费者的商业监控和数据安全行为”相关的规则制定过程。我们可能会在未来一年看到这方面的一些进展。

6.关于联邦隐私法的潜在运动

与2022年相比，当《美国数据隐私和保护法》（ADPPA）在众议院获得一些支持时，2023年对于正在进行的通过全面联邦隐私法的努力来说是相对平静的一年。然而，我们可能会在2024年看到ADPPA（或类似法案）的更重大进展。例如，乔·拜登总统呼吁国会通过两党数据隐私立法，作为他最近关于人工智能的行政命令的一部分。因此，我们可能会在即将到来的立法会议上看到联邦法案的更多进展，无论是作为一项独立的努力，还是作为更广泛的人工智能相关立法计划的一部分。我们还可能看到范围更窄的隐私提案（就像我们过去几年看到的那样），例如旨在扩大《Gramm-Leach-Bliley法案》或适用于非HIPAA健康数据的法规。

当然，2024年的任何立法优先事项都必须与这是选举年这一事实相抗衡。这可能会使隐私法案（甚至更）难以单独通过。但是，如上所述，国会两党似乎优先制定管理人工智能使用的规则，看到隐私或数据安全规则由此产生也就不足为奇了。

7.与人工智能的交叉

正如我们在其他地方所写的那样，人工智能是世界各地立法机构和监管机构越来越关注的对象。尽管人工智能提出了与一般数据隐私问题不同的问题，但这两个领域在很大程度上重叠。例如，一些州的全面隐私法规定了影响公司开发和使用人工智能工具的权利和义务，例如允许消费者选择不使用某些分析，并对公司如何使用其输入人工智能模型的训练数据提出要求。相反，如上所述，更广泛的人工智能立法和监管举措，如根据拜登政府关于人工智能的行政命令正在进行的努力，很可能会包括直接涉及数据隐私问题的某些要素。无论哪种方式，我们预计人工智能和数据隐私领域的发展在未来几年都将显著交织在一起。