文章分类
福克斯罗斯柴尔德律师事务所(Fox Rothschild LLP)GDPR合规与国际隐私部(GDPR Compliance&International Privacy)合伙人兼主席奥迪亚·卡根(Odia Kagan)回顾了2021美国最大的发展,并展望了2022年可能带来的成果。
2021发生了什么?
2018年《加州消费者隐私法》(“CCPA”)庆祝了一年的执行和CCPA修正案。加州总检察长(“AG”)发布了一份关于2020年根据《消费者隐私法》执行的执法行动的报告。该报告包括了AG办公室在过去一年采取的各种执法行动的匿名示例,为公司和从业人员提供了一些见解。调查和执行的违规行为包括:
- 隐私声明的问题,包括细节不足、法律术语过多、缺乏明确的声明,没有“出售”,或丢失免费电话号码;
- 缺少“不出售”链接,以及与遵守选择退出销售相关的其他问题;
- 与服务提供商协议有关的问题;
- 未能及时响应消费者的请求;
- 未张贴财务激励通知;和
- 关于数字属性和物理位置的集合通知问题。
此外,加利福尼亚州还通过了对CCPA的几项小修正案以及一项法案,该法案规定,任何人出售其因犯罪而获得或访问的数据或出售其对数据的访问权均属违法,并规定非授权人的人(如定义所示)也属违法,从某人知道或理应知道通过犯罪获得或访问该数据的来源购买或使用数据。
弗吉尼亚州和科罗拉多州通过了全面的隐私法
弗吉尼亚州和科罗拉多州与加利福尼亚州一起成为美国唯一拥有全面数据隐私法的州,包括弗吉尼亚州的《消费者数据保护法》(“CDPA”)和科罗拉多州的《隐私法》(“CPA”)。
这些法律在许多方面仿效了CCPA,包括:
- 提高个人隐私通知的透明度要求;
- 消费者权利包括:访问、删除和选择退出销售;和
- 向服务提供商下游流动数据隐私义务的要求。
这些法律具有独特的方面,包括:
- 敏感信息的特殊义务;
- 进行数据隐私影响评估的要求;和
- “必要且相称”的处理要求。
人工智能和算法透明度
2021,联邦贸易委员会(“FTC”)对涉及面部识别的Everalbum,股份有限公司发布了同意令。
值得注意的是,联邦贸易委员会禁止使用任何生物特征信息:
- 创建面部嵌入(数据,如数字向量,全部或部分从个人面部图像中导出);和
- 未经通知和同意,培训、开发或修改任何面部识别模型或算法。
联邦贸易委员会命令该公司删除所有照片以及从未提供同意的用户收集的生物特征信息中提取的所有人脸嵌入。这将人工智能(“AI”)和面部识别的使用的复杂问题带到了最前沿。除此之外,还增加了一些隐私法案国家概况:美国针对算法透明度,包括2021的算法正义和在线平台透明度法案,以禁止有害算法,增加网站内容放大的透明度,以及适度做法。联邦贸易委员会还表示,它将发布关于隐私和人工智能的规则制定。
GLBA保障规则得到修订和扩展
根据1999年《格拉姆-利奇-布莱利法案》(“GLBA”)对保护客户信息标准(“保障规则”)的拟议修正案于2021通过,并于2022年1月10日生效。该规则扩展了法律适用的“金融机构”一词的定义,并包括“发现者”选项,使更多机构受其约束。
经修订的规则包括:
- 信息安全计划的详细要求;
- 新的问责要求,如合规负责人;
- 小企业的一些豁免;和
- 风险评估的额外要求。
马萨诸塞州修复权法律诉讼正在进行
2020年,马萨诸塞州通过了一项法律,要求从2022车型年开始,在马萨诸塞州销售的使用远程信息处理系统的车辆应配备“可互操作、标准化和开放访问平台”,使客户和独立维修店能够访问这些系统的机械数据。这项法律在2021的诉讼中受到质疑,该诉讼正在进行中。该诉讼声称,该法律不可执行,因为它与联邦法律相冲突,并向第三方提供个人驾驶数据,而没有任何保护核心车辆功能和消费者私人信息或人身安全的保障措施。
FTC健康应用程序数据指南
即使是不受《1996年健康保险可携带性和责任法案》(“HIPAA”)约束的信息,也可能根据联邦贸易委员会健康违规通知规则对违规通知提出了更高的要求。联邦贸易委员会发布指南,要求使用“健康应用程序和连接设备”来“收集或使用”消费者个人健康信息的组织必须遵守《健康违规通知规则》中的网络安全、隐私和通知规定。
拼凑2021
2021,争夺州隐私法的竞争愈演愈烈。2021,20多个州提出了30多项法案。这些法案在某些方面与CCPA类似,但在许多方面有所不同,通常包括《一般数据保护条例》(欧盟条例2016/679)(“GDPR”)的内容。我们认为这一趋势将在2022年继续。
2022年我们有什么计划?
更加强调良好的披露和消费者选择
联邦贸易委员会已经对此发表了意见,这也可以从加利福尼亚州政府一年执行报告的字里行间看出。现在是“远离五月”的时候了。模糊不清的隐私声明的日子一去不复返了,留下了许多想象。用通俗易懂的语言进行具体的披露,让您的受众能够理解并了解数据的情况。
必要且相称-控制人/企业承担更多义务
新的美国法律已经要求企业在处理开始时进行分析,以确保信息的收集和使用是“必要和适当的”。现在,联邦贸易委员会已经发表声明,解释了完全依赖“通知和同意”并将所有责任推到个人身上的问题,并表示将启动规则制定,对信息处理者施加一些“自上而下”的义务,以在一开始就决定这是否是对信息的合理、合乎道德的使用。
暗模式–输出
联邦贸易委员会和加利福尼亚州政府正把重点放在解决暗图案的使用上。公司应远离旨在不当影响个人行为的设计,特别是根据CCPA的规定(选择退出销售不能被设计为“黑暗模式”),以及FTC在您与他人数据交互的一般设计中所讨论的。
分析和人工智能
自动化技术和人工智能在各种生活功能中的应用正在加快速度,并得到监管机构的关注。纽约通过的一项新法律规定了人工智能在员工招聘过程中的使用(类似于现有的伊利诺伊州法律)。《2020年加利福尼亚隐私权法案》(“CPRA”)中阐述了分析的使用和重要性,也是加利福尼亚隐私保护局(“CPPA”)目前正在制定的《CPRA条例》中要讨论的主题之一。很有意思的是,看看该条例的方向,它是否遵循GDPR第22条,以及迄今为止对其的解释。
Cookie和“不出售”
加州AG 表示,实施“禁止销售”要求是其执行的重点,事实上,一年执行报告反映了这一点。我们预计这一趋势将在2022年继续下去,可能会有更多的诉讼使用其他诉讼理由。在这方面值得注意的是马萨诸塞州1800万美元的cookie和解协议,该协议围绕马萨诸塞州法律规定的使用cookie的披露和同意。除此之外,还可能实施“全球隐私控制”下基于浏览器的选择退出设置,该设置由加利福尼亚州政府批准,并包含在其网站上的CCPA常见问题页面中。
基于浏览器的许可主题将在2022年得到更多关注,因为这也是即将出台的CPRA法规的公众咨询的关键主题之一。
生物特征
在雇主-雇员背景下以及在分析客户行为时使用生物特征数据的做法正在引起关注。我们已经看到,从相当于智能牙刷的传统“时钟”到纳税或登机识别,再到驾驶员监控技术,根据《2008年生物信息隐私法》(“BIPA”)提起的诉讼在许多情况下都有所增加。
随着新的生物识别法案在马里兰州、纽约州和肯塔基州的涌现,更多的州可能会加入这场关于这一问题的诉讼。解决方案:一份隐私声明,涉及生物特征数据的收集、个人的同意以及生物特征数据保留和处理的政策和程序。
CPPA规则制定
即将上任的加州监管机构CPPA开始了其规则制定前程序,并发出了关于CPRA关键问题的规则制定意见邀请。这些问题包括:
- 对消费者隐私或安全构成重大风险的处理;
- 企业进行的网络安全审计和风险评估;
- 自动决策/分析;
- 机构审计权限的范围和程序;
- 消费者删除、更正和知情的权利(包括请求和豁免企业响应);
- 选择不出售的权利;
- 限制分享敏感信息的权利;
- 响应于知情权请求的特定信息;和
- 定义和类别(包括唯一标识符、有意交互、精确地理位置和暗模式)。
CPPA收到了大量评论,篇幅约900页,提出了不同的意见和建议。我们正在焦急地等待关于规则制定进展的消息,以及CPPA开始执行CCPA的消息。
拼凑2022
到2022年只有两个月,我们已经看到近20个州提交了30多份数据隐私法案。这些法案通常都基于CCPA、华盛顿隐私法、弗吉尼亚州的CDPA和/或科罗拉多州的CPA(内布拉斯加州和华盛顿特区除外,它们模仿了统一法律委员会(ULC)的统一个人数据保护法),但在定义、私人诉讼权、术语采用范围和GDPR的概念等方面存在许多差异。预计2022年将有6至15个州通过隐私法案,这无疑会让事情变得有趣。
隐私盾3.0?
在数据保护专员诉Facebook爱尔兰有限公司、Maximillian Schrems(C311/18)(“Schrems II案”)导致跨境数据传输机制无效、欧盟委员会的欧盟-美国隐私保护决定、欧盟委员会关于隐私保护的决定、以及欧盟与美国隐私保护委员会的决定之后,世界正在焦急地关注来自欧盟的事态发展,数千家美国公司使用了该协议,并对那些希望在将个人数据传输到美国时使用替代传输方法和标准合同条款的公司提出了非常苛刻的要求。
我们已经看到欧洲采取了许多执法行动,有效地禁止(或至少使之变得非常困难)使用某些美国的云服务提供商。争论的焦点是美国数据监视法,其中最主要的是1978年《外国情报监视法》(“FISA”)第702节。2021,美国国务院和欧盟委员会一直在忙于达成一项协议,为从欧洲传输数据提供解决方案,同时解决Schrems II案对此事的决定。最近,欧洲司法专员迪迪埃·雷恩德斯(Didier Reynders)表示乐观,认为可能在2022年夏天达成一个俗称为“隐私盾3.0”的解决方案。
- 登录 发表评论