由于政策界需要时间来吸收和反思《美国数据隐私和保护法》草案的实质性条款，因此值得探讨该法案的基本适用范围。希望哪些组织遵守？在数据经济中，义务如何根据规模或功能而有所不同？ADPPA提供了一系列有点复杂的组织角色，与隐私专业人士可能使用的名称不同。例如，“第三方”和“第三方收集实体”有什么区别

请注意，这是一篇关于法案草案的文章，尚未提交美国众议院或参议院。任何条款都可能被修改，包括范围和定义条款。为了进行此分析，我们审查了2022年6月3日发布的文本草案。因为它代表了参与正在进行的“四角”讨论的四位负责人中的三位-参议院和众议院商业委员会的领导人-的认同，因此该讨论草案被称为ADPPA的“三角草案”。

尽管报告显示，与美国联邦层面的全面隐私法案相比，该法案的最终版本更有可能获得通过，但该法律的通过远未得到保证。尽管如此，决策者对隐私角色和责任的理解仍值得追踪。

谁需要遵守ADPPA？

一般而言，ADPPA草案广泛适用于在美国运营的组织。根据草案的定义，涵盖实体是指“收集、处理或传输涵盖数据，并受《联邦贸易委员会法案》（15美国C.41及以下）约束的实体”，加上非营利组织和公共运营商，如下所述。请注意，此处的“传输”是指任何数据共享，不一定是跨境传输。根据草案的定义，转让“是指以书面、电子或任何其他方式披露、发布、共享、传播、提供或许可。”

《联邦贸易委员会法》规定联邦贸易委员会有权对美国境内“或影响商业”的不公平或欺骗性行为或做法进行监督。正如最近在《安全网法案》中所阐明的，这包括“涉及外国商业的行为或做法，这些行为或做法在美国境内造成或可能造成合理可预见的伤害；或涉及在美国境内发生的重大行为”，15美国法典第45（a）（4）（a）节。

草案中的涵盖数据定义为“识别或链接到个人或识别或链接至1个或多个个人的设备的信息，包括衍生数据和唯一标识符。”明确排除在本定义之外的是（i）未识别数据，（ii）员工数据（广义上定义为包括招聘数据），以及（iii）可公开获得的信息。

非营利组织也在参与

ADPPA草案将明确将联邦贸易委员会对隐私和数据安全问题的管辖权延伸至非营利组织。由于联邦贸易委员会的主要管辖权适用于“商业或影响商业”的事项，大多数非营利组织被视为免于联邦贸易委员会消费者保护执法。虽然一些州一级的“迷你FTC”法案适用于非营利组织，但综合性的州隐私法一般也将非营利组织排除在其范围之外，科罗拉多隐私法除外。

这将是隐私合规义务范围的有效扩展。根据城市研究所2021的数据，美国约有180万个非营利组织，包括501（c）（3）个公共慈善机构、私人基金会以及各种会员和专业组织。值得注意的是，美国的大多数非营利组织将属于ADPPA草案中的“小数据例外”（见下文）。根据2019年的数据，只有5.4%的注册慈善机构的收入超过1000万美元（但请注意，慈善机构只是非营利组织的一个子集）。

普通运营商进入，但其他运营商仍在退出

由于各种历史性的例外和重叠的监管制度，联邦贸易委员会对商业活动的管辖权并不包括所有行业。例外情况包括保险业、银行、储蓄和贷款机构、信用社、航空公司以及电信服务提供商的公共运营商活动。与许多数据保护机构不同，联邦贸易委员会对政府行为没有管辖权。

ADPPA草案将通过明确将电信公司的公共运营商活动纳入FTC隐私和数据安全条款的范围来对此进行调整。其他豁免行业将保持不变。然而，在数据安全部分，法案草案确实包含了明确规定，符合涵盖金融机构的《格拉姆-里奇-布利利法案》或涵盖医疗保健和相关技术的《医疗信息技术促进经济和临床健康法案》的数据安全要求将被视为符合ADPPA。

定义良好的层

除了法案草案中“涵盖实体”的一般定义外，还定义了特定类型的实体，每个实体都有额外的义务或例外。一般来说，涵盖的组织首先按规模（收入和受影响的个人数量）细分，然后按相对于个人的角色（直接关系、第三方或服务提供商）细分。有关定义的角色如何改变法案草案实质性要求的详细信息，请参见下表。

中小型企业必须遵守ADPPA，但在法案草案的“小数据例外”下，可以免于遵守一些实质性条款。为了属于例外，该组织必须满足以下所有要求：

• （1）前3年每年的年度总收入低于某一阈值（草案建议为4100万美元），
• （2）不处理超过100000人的数据，
• 以及（3）不从传输覆盖数据中获得超过50%的收入。

在规模的另一端，ADPPA草案增加了“大型数据持有人”的额外责任，这些人被定义为：

• （1）在上一日历年的年总收入超过2.5亿美元的组织，
• （2）处理500多万个人的覆盖数据或100000多个人的敏感覆盖数据的组织。（草案中敏感数据的定义包括《欧盟一般数据保护条例》中的所有特殊类别的数据，加上政府发布的标识符、金融账号、精确地理位置数据、私人通信、登录凭证、个人文件、电视观看数据、亲密图像、17岁以下个人的数据，以及“识别个人随时间或跨第三方网站或在线服务的在线活动的信息。”）

规则和角色

ADPPA草案还包括基于组织在涵盖数据方面所起作用的规定实质性要求。

在一个组织与另一个实体传输（共享）个人数据的情况下，法案草案对“服务提供商”和“第三方”进行了区分。对于隐私专业人士来说，这些角色与GDPR中的处理者和控制者的区别相呼应。

• ADPPA草案下的服务提供商是指“在代表另一个涵盖实体并在其指示下执行一个或多个服务或功能的过程中收集、处理或传输涵盖数据的涵盖实体，但仅限于此类收集、处理和传输（i）与此类服务或功能履行相关的范围；或（ii）必须遵守一项法律义务。”也就是说，当服务提供商不以服务提供商的身份行事时，服务提供商也可能是一般的“涵盖实体”。
• 第三方被定义为不是服务提供商，但“收集、处理或传输第三方数据”的实体（间接定义为“由覆盖实体传输给第三方的覆盖数据”）。如果一个实体被视为大型数据持有人，法案将其视为第三方，即使该实体与另一个实体共同拥有或共同控制（反之亦然）。重要的是，第三方受到一项限制，即其数据处理必须与合理个人的数据处理一致。

任何其他名称的数据代理

根据ADPPA草案，受特定规定规则约束的最后一类实体被称为“第三方收集实体”。这包括“其主要收入来源来自处理或传输个人的覆盖数据的任何覆盖实体”，而覆盖实体并未直接从与覆盖数据相关的个人处收集这些数据。“该定义澄清，这不包括“仅为此类第三方向员工提供福利”而处理员工数据的涵盖实体。主要收入来源还澄清为收入的50%以上，或处理/传输500多万个人的数据，如果不是直接收集的话。对于此类实体，第206节规定了额外的通知要求、审计记录和在联邦贸易委员会管理的公开名单上登记。

正在进行的工作

ADPPA的三角草案将扩大FTC在隐私和数据安全问题上的权限范围。它涵盖了大多数行业，但不是所有行业，包括特定类型实体的目标需求。对草案的大多数分析表明，“涵盖实体”要求将适用于所有类型的实体，包括服务提供商，如果没有明确豁免的话。与目前的做法相比，这可能会导致对那些不直接从个人收集数据的人的限制更加严格。同样，这是一份公开讨论草案，旨在征求利益相关者的反馈意见。6月14日星期二，美国东部时间上午10:30，众议院小组委员会将就草案举行听证会。听证会题为“保护美国消费者：加强数据隐私和安全的两党立法”

本文：https://cioctocdo.com/understanding-scope-draft-american-data-privacy-a…