跳转到主要内容

《美国数据隐私和保护法案1》(“ADPPA”)虽然仍在审查中,但与现有隐私立法有许多相似之处,包括澳大利亚1988年隐私法案(“隐私法案”)。来自Sainty Law的Katherine Sainty和Aisling Hamilton介绍了ADPA的一些主要特征,以及ADPA与隐私法的比较。

什么是ADPPA?

ADPPA是一项隐私法案草案,如果获得通过,将赋予美国公民前所未有的数据隐私权。这是一项综合性法案,创建了一个框架,为个人提供更大的隐私保护,并限制实体收集、访问和使用个人数据的方式。

ADPPA是第一个旨在保护美国数据和隐私的主要联邦框架,它代表了一个重要的妥协,因为它得到了民主党和共和党的支持。

ADPA涵盖什么和谁?

ADPA保护覆盖数据“覆盖数据”定义为:

“识别或链接或合理链接到个人或设备的信息,该设备识别或链接到一个或多个个人,包括衍生数据和唯一标识符。”。

覆盖数据特别不包括未识别数据、员工数据和公开可用信息,这些数据在ADPA中分别定义。

“公开信息”是指公众可广泛获取的信息,不会泄露任何敏感数据或共享可能与个人有合理关联的信息。它不包括与覆盖数据组合的任何信息。

“敏感数据”包括个人的社会安全号码、任何其他政府发布的标识符、生物特征信息、财务细节、健康信息、性取向、种族或基因信息等信息。

ADPA将对收集、处理或传输覆盖数据的任何实体进行监管,如果该实体受联邦贸易委员会(“FTC”)管辖,或者是1934年《通信法》下的公共承运人(“覆盖实体”)。这包括在美国运营的公司、非营利组织和电信公司。

ADPPA预计联邦贸易委员会将根据ADPPA发布合理政策、实践和程序指南,以补充立法。

ADPA的一些关键功能是什么?

ADPPA的主要特征包括,所涵盖的实体将:

  • 在收集个人数据之前,需要获得个人的同意。
  • 未经个人同意,禁止从事数据处理活动,如收集、处理和传输敏感数据。肯定同意是指个人通过采取行动,如点击同意按钮,自由地给予具体、知情和明确的同意。
  • 需要让个人选择退出:
    • 将其数据传输给第三方;和
    • 定向广告,指根据已知或预测的偏好、特征或从覆盖数据得出的兴趣选择的在线广告。
  • 被要求公布其隐私政策,解释其数据处理活动,以提高其数据实践的透明度。
  • 不能从事针对17岁以下儿童的定向广告(如上所述)。

根据ADPPA,居住在美国的人将被授予新的权利,包括访问其数据并要求删除、更正或导出到其他地方。

虽然ADPA是全面的,将通过创建一部联邦法律来凌驾于大多数州隐私法之上,但它确实有一些限制。一些州的法律得到保留,如果与ADPA发生冲突,可能会取代ADPA,包括:

  • 面部识别、数据泄露通知和学生信息;
  • 2018年《加州消费者隐私法》的部分内容;和
  • 伊利诺伊州2008年生物特征信息隐私法的一部分。

这将如何在实践中发挥作用还有待观察。

算法

ADPA还旨在通过使用算法防止歧视。算法是一种计算过程,用于做出或促进决策,或促进与覆盖数据相关的人类决策。

根据ADPA,大型数据持有者有额外要求。大型数据持有者是指年收入至少为2.5亿美元的受保护实体,收集的受保护数据超过500万人(或敏感数据超过10万人)。

使用算法的大型数据持有者必须每年评估其算法,并向联邦贸易委员会提交年度算法影响评估。这些评估必须:

  • 描述为减轻算法的潜在危害而采取的步骤;和
  • 考虑基于个人种族、肤色、宗教、国籍、性别、性取向或残疾状况的算法对个人造成伤害的可能性。

生物特征

还有一些规则涉及被覆盖实体使用生物特征信息的方式。涵盖实体:

  • 收集、处理或传输生物特征信息时必须获得明确的肯定同意;和
  • 除特定目的外,不得处理生物特征信息、已知非自愿亲密图像或遗传信息。

生物特征信息是指通过测量、观察、跟踪、收集或处理个人的生物、物理或生理特征而产生的任何涵盖数据,包括:

  • 指纹;
  • 声纹;
  • 虹膜或视网膜图像扫描;
  • 面部或手部图像、几何图形或模板;或
  • 步态或个人识别的身体动作。

ADPA与澳大利亚的隐私法相比如何?

《澳大利亚隐私保护法》与《隐私法》和《澳大利亚隐私原则》(“APP”)以及英国和欧盟监管隐私的其他法律有许多相似之处。受ADPPA约束的组织需要考虑一旦颁布新法律,它们将如何遵守。

我们包含了一些相似点,让您了解预期的内容。

透明度

澳大利亚隐私法和ADPA都强调实体收集、处理和处理个人信息的方式需要透明。应用程序1概述了实体必须具有明确表达的最新隐私政策,该政策易于公众访问,并详细说明了收集什么信息、如何收集信息以及实体如何使用信息。

同样,ADPPA要求受保护实体必须发布隐私政策,明确概述实体的数据处理活动。然而,ADPPA还包括一项附加要求,即隐私政策必须说明所收集的数据是否将被传输到中华人民共和国、俄罗斯、伊朗或朝鲜,或在该国进行处理或以其他方式提供。尽管ADPA不禁止向这些国家转让,但必须披露此类转让。

执行

澳大利亚信息专员办公室(“OAIC”)负责在澳大利亚实施《隐私法》。同样,ADPA将依靠联邦贸易委员会来执行。联邦贸易委员会有执行权,包括有权对违反《反腐败法》的人进行民事处罚。任何违反ADPPA的行为都可能导致受保护实体因每项侵权被罚款46517美元。

更正个人信息

澳大利亚人可以依靠应用程序12访问实体持有的个人信息。应用程序13还允许澳大利亚人请求更正其个人信息。这是为了确保所持有的个人信息准确、完整且不具有误导性。

ADPA将授予个人数据请求权,包括编辑、更正和删除受保护实体持有的个人信息的权利。目前,澳大利亚人无权要求删除其个人信息,他们只有权更正其个人信息。

如果个人提交请求,ADPPA要求从覆盖实体接收覆盖数据的第三方以及覆盖实体本身删除、编辑或更正数据,除非相关实体需要数据:

  • 处理安全事件;
  • 防止非法活动或欺诈;
  • 遵守法律要求,如ADPA中概述的数据保留义务;和
  • 维护或改进所提供的服务。

结论

ADPPA是数据保护领域的一个令人兴奋的发展,在美国,个人数据权利此前一直受制于一个支离破碎的、基于州的制度。ADPA将赋予个人保护和控制其数据的权利。

在美国经营或接触美国个人个人个人信息的澳大利亚公司需要评估他们是否必须遵守ADPA,他们的业务是否是ADPA下的受保护实体,以及他们在收集受保护数据时必须遵守哪些规定。

《民协法》仍然是法案形式,因此,在它成为法律之前,我们可能会看到一些变化,但肯定会有很多评论。

本文:https://cioctocdo.com/international-comparing-adppa-australias-privacy-…