x

【美国隐私保护】《美国数据隐私保护法案》(“ADPPA”):美国是否最终获得了联邦数据隐私保护?

cioctocdo
10 October 2022
SEO Title
American Data Privacy Protection Act (“ADPPA”): Is the U.S. Finally Getting Federal Data Privacy Protection?

文章分类

尽管美国的消费者隐私立法已经交给了各个州,但联邦消费者隐私立法已审议了几十年。然而,国会似乎终于取得了进展,《美国数据隐私保护法》(“ADPPA”)被提议作为具有里程碑意义的美国联邦隐私立法,效仿GDPR。

众议院能源和商业委员会于2022年7月20日批准了ADPPA,该法案将提交美国众议院全体投票。然而,由于2022年中期选举,投票可能会推迟。如果该法案在众议院获得通过,那么它将提交参议院,美国可能在不久的将来制定一项联邦数据隐私法。

尽管ADPPA是一项跨党派的努力,但联邦和州隐私权和执法之间存在紧张关系。随着越来越多的州颁布自己的隐私法,如加利福尼亚州、弗吉尼亚州、科罗拉多州、康涅狄格州和犹他州,ADPPA将在很大程度上优先于州隐私法。ADPPA将由联邦和州监管机构执行,如联邦贸易委员会(“FTC”)和州检察长(“AG”)。

ADPPA适用于数据控制器和数据处理器。立法意图是控制“大科技”公司的滥用行为,限制其消费者数据的收集、使用和传输。它最终成为消费者“权利法案”,在消费者数据的收集、使用和销售方面提供更大的透明度。该法律将为数据保护提供最低限度的保障,并要求对数据隐私和安全进行管理监督。

遵守ADPPA的实体

虽然ADPPA将广泛定义一个涵盖的实体,但有三组特定的实体需要遵守ADPPA:

  • 数据控制人,决定收集、处理和/或传输美国居民个人信息的目的和方式的涵盖实体;
  • 服务提供商,如数据处理器,按照受管辖实体的指示收集、处理和传输个人信息;和
  • 年总收入达2.5亿美元或以上,为500万人(或设备)收集或处理数据,且敏感个人信息超过20万人或设备的大型数据持有者。

此外,政府机构是豁免的,不受ADPPA的约束。

ADPPA如何定义覆盖数据

ADPPA将涵盖的数据定义为个人信息,通常是与可识别个人相关的任何信息。此定义的例外情况是无法识别的数据、员工数据和公开可用的信息。

尽管ADPPA将广泛定义涵盖的数据,但ADPPA的重要性在于涵盖敏感的个人信息。敏感个人信息包括政府颁发的身份证明(包括社会保险、驾照号码和护照号码)、健康状况、治疗、诊断、财务账户信息、借记卡或信用卡号码、收入水平、银行余额、生物特征或基因信息、准确的地理位置信息、账户登录、密码、访问码、,性取向和未成年人数据。

实体必须向个人披露正在收集的个人信息及其对个人信息的使用。各实体必须在清晰、醒目的隐私声明中披露个人信息的收集和使用,其中包括:

  • 收集和处理的个人信息类别,
  • 收集和处理个人信息的目的,
  • 个人信息转让给的第三方的类别和名称,
  • 个人信息传输给第三方的目的,
  • 整理个人信息的保留时间,
  • 个人如何行使其对个人信息的权利,
  • 组织数据安全实践的一般描述,以及
  • 中国、俄罗斯、伊朗或朝鲜是否可以访问个人信息。

各实体还将被要求在其互联网主页上以“请勿出售或共享我的个人信息”“限制使用我的敏感个人信息”的方式建立清晰、醒目的链接。ADPPA还对个人信息的使用进行了限制,并为消费者提供了选择不出售或共享其个人信息的权利。此外,未成年人消费者将需要家长或监护人的同意才能选择加入。

监管执行

ADPPA主要由联邦贸易委员会执行,允许联邦贸易委员会对违反ADPPA的行为提起民事诉讼。此外,任何州AG都不得代表全国范围内的消费者提起诉讼,但是,任何相关州的AG都可以选择在联邦贸易委员会的诉讼中接受采访。ADPPA还将要求FTC成立一个新的隐私局,并在美国财政部设立一个单独的基金,称为隐私和安全受害者救济基金。此外,根据《联邦贸易委员会法》,违反ADPPA构成“欺诈行为”,将要求赔偿损失、民事处罚、赔偿、律师费和费用。

州政府还可以以州或其居民的名义提起民事诉讼,强制执行影响许多州居民的ADPPA违规行为。任何此类AG诉讼必须提交给适当的联邦法院。在提起诉讼之前,州政府应书面通知联邦贸易委员会,并在提交之前提供投诉副本。此外,拟议立法的修正案明确授权加利福尼亚隐私保护局(“CPPA”)执行ADPPA,“同样的方式”“CPPA“将强制执行CCPA,”凌驾于州的权利问题之上。

个人消费者权利

根据许多其他隐私法,ADPPA将为个人提供某些权利。具体而言,个人将有权访问收集、处理或传输的个人信息(在过去24个月内),有权更正或删除其所涵盖的任何数据,有权携带数据(如果技术可行),以及有权选择退出数据传输或定向广告。

此外,实体需要响应消费者请求。小型和大型数据持有人的响应要求不同。对于较大的数据持有者,实体必须在45天内作出书面回应;如果不被视为大型数据保存者,则为60天。较小的受保实体需要在90天内作出回应。任何实体的响应期可延长45天,并另行通知。该实体应在任何12个月内两次免费向消费者提供这些权利,但该实体可以对后续请求收取合理的费用。

消费者也有权提起诉讼,但是,在个人或某类个人提起诉讼之前,他们必须向个人居住的联邦贸易委员会和州政府发出通知。消费者将在其通知中概述其对违反ADPPA提起民事诉讼的意愿。联邦贸易委员会和/或州政府应在60天内决定是否独立寻求干预此类行动。自ADPPA生效之日起2年后,将允许私人诉权,并且只能提交联邦法院。此外,私人民事诉讼当事人可以寻求实际损害赔偿、禁令或宣告性救济以及律师费和费用。

结论

正如你们所了解的,议员们已经在他们的许多分歧性提案上妥协,这些提案阻碍了之前的努力。尽管众议院能源和商业委员会已将ADPPA推进至众议院,并且众议院委员会已提议进行修改,但ADPPA可能仍将处于停滞状态。由于选举的原因,考虑的时间有限,但一旦新的国会召开,ADPPA很可能成为一个优先事项。

本文:https://cioctocdo.com/american-data-privacy-protection-act-adppa-us-finally-getting-federal-data-privacy-protection

文章链接
https://cioctocdo.com/american-data-privacy-protection-act-adppa-us-finally-getting-federal-data-privacy-protection

标签