【美国隐私立法】2023年美国隐私立法：旧的还是新的？

虽然几乎没有迹象表明《美国数据隐私和保护法》会很快（重新）提交国会，但2023年已经出现了新的和以前提出的联邦隐私法案，它们都在争夺立法者的关注、审查和支持。然而，更为复杂的是，今年的联邦隐私讨论面临着几个额外的纠葛。从通过新的州隐私法，到拟议的人工智能治理立法，再到改革美国监控法的众多努力，多个问题与联邦层面的隐私立法工作交织在一起。鉴于这些最新进展，值得更详细地研究本届国会提出的与隐私相关的立法，以更好地了解联邦隐私辩论最近的进展以及可能的方向。

全面的消费者隐私法案

在第118届国会中，截至2023年上半年，至少有六项与消费者隐私有关的法案被提出。其中两项法案，2023年《数据保护法》和2023年的《在线隐私法》，属于综合或全面的类别，确立了广泛的商业义务和消费者权利。此外，这两项法案都是对前几年出现的立法的修改和重新引入。

《数据保护法》

由夏威夷州民主党参议员布莱恩·沙茨发起的《2023年数据保护法》（Data Care Act of 2023 ）对在线服务提供商规定了各种义务——注意义务、忠诚义务和保密义务。注意义务本质上是一项网络安全条款，要求在线服务提供商“合理保护个人身份数据不受未经授权的访问”，并告知用户任何违反该义务的行为。保密义务规定了服务提供商披露或出售个人身份数据的条件。忠诚的义务也许是三者中最新颖的一个。它禁止以“有利于在线服务提供商而不利于最终用户”的方式使用消费者数据

在美国隐私法中，忠诚义务多年来一直受到关注。除了参议员沙茨的立法外，忠诚义务也被纳入了之前的《纽约隐私法》，尽管目前2023-24年会议的版本只包括保密义务。而且，两党的ADPPA和《消费者在线隐私权法案》都是在上届国会提出的，由华盛顿州民主党参议员Maria Cantwell发起。，包括忠诚的义务。然而，虽然Neil M.Richards教授和Woodrow Hartzog教授在《隐私法的忠诚义务》一书中最雄辩地阐述了隐私法中的忠诚义务概念，但每一项隐私立法都以不同的方式解释了忠诚义务。事实上，条例草案条文的内容因条例草案而异。

尽管《数据保护法》此前曾在第115届、第116届和第117届国会提出，但目前的版本获得了更多的共同提案人，其中19人在参议院，比以往任何一次都多。

《网络隐私法》

另一项全面的消费者隐私法案是《2023年在线隐私法》，由加利福尼亚州民主党众议员Anna Eshoo发起。，加利福尼亚州民主党人Zoe Lofgren。，也是之前引入的立法的略微修改版本，该立法于2019年首次出现，然后于2021年再次出现。虽然它类似于大多数其他全面隐私法案的基本框架——提供访问、更正、删除、可移植性、自动决策的人工审查等权利，以及对所涵盖实体的要求，包括数据最小化、禁止披露个人信息、通知和同意程序，和隐私政策——这可能是建立一个新的联邦实体——数字隐私局的唯一提议。该法案赋予该机构某些权力，并从联邦贸易委员会转移权力，以制定规则、发布指导方针和执行包括《联邦贸易委员会法》在内的联邦隐私法，只要执行涉及“与隐私、信息安全、身份盗窃、数据滥用和相关事项有关的不公平或欺骗性行为或做法”

缩小消费者隐私法案

与消费者隐私相关的其他四项法案的范围更为有限。它们都涉及到了定义联邦隐私辩论的问题，值得考虑，因为它们的条款可能会再次出现或形成未来的折衷隐私法案。

《告知消费者智能设备法》

《向消费者告知智能设备法案》是本届会议提出的唯一一项两党两院制的消费者隐私立法。其他的则完全由民主党人赞助。在参议院，该法案由商业、科学和运输委员会主席兼高级成员德克萨斯州共和党参议员特德·克鲁兹和坎特威尔共同发起，而在众议院，该法案则由犹他州共和党众议员约翰·柯蒂斯发起。该法案的范围很窄，要求智能设备制造商在购买前向消费者披露设备中包含摄像头或麦克风。然而，它不适用于手机、笔记本电脑或其他合理消费者希望拥有摄像头或麦克风的设备。

然而，与其他法案一样，这并不是一项新的立法。此前，它曾在第117届和第116届国会提出——同样，在参议院由克鲁兹提出，在众议院由柯蒂斯提出。

《 UPHOLD 隐私法》

明尼苏达州民主党参议员艾米·克洛布查尔发起的《维护健康和在线位置数据隐私保护法案》。，为个人可识别的健康和位置数据建立保护。这是多布斯推翻罗诉韦德案裁决后提出的几项法案之一，旨在防止收集和出售“可用于识别寻求生殖健康护理服务的女性”的健康和位置数据。这些法案与乔·拜登总统2022年7月的行政命令一致，该命令旨在保护堕胎相关数据的隐私，这也促使卫生与公众服务部和联邦贸易委员会“利用其法定权限保护这些数据”

就其主要条款而言，《UPHOLD隐私法》：

• 禁止在商业广告中使用健康数据。
• 对数据的收集、保留、使用、披露和员工访问制定了最小化要求。
• 禁止向数据代理出售位置数据。
• 建立访问和删除权限。

该法案的例外情况包括“发布公众合法关注的有新闻价值的信息”、开展公共卫生运动以及遵守《健康保险便携性和责任法》。违反规定的行为将由联邦贸易委员会根据其第5条的授权，通过个人的私人诉讼权联合执行。它将保留而不是抢占提供更大保护的州法律。

删除法案

《数据消除和限制广泛跟踪和交换法案》是之前提出的另一项法案，在第118届国会再次出现。去年，两党两院制的《删除法案》首次在众议院和参议院提出，该法案将指示联邦贸易委员会建立一个中央系统，允许个人向数据代理请求删除其个人信息。数据代理，在法案中被定义为故意收集或获取与该实体没有“直接关系”的个人信息的实体，必须每年向联邦贸易委员会登记。

加利福尼亚州参议院最近也批准了一项类似的法案，SB 362，即《删除法案》。根据联邦法案，SB 362将要求数据代理向加州隐私保护局注册，并为加州人提供一个集中的系统，让他们可以自由请求删除数据代理持有的任何个人信息。受这些法案监管的所谓“数据经纪生态系统”也是众议院能源和商业监督与调查小组委员会4月举行的“谁在出售你的数据：对数据经纪在数字经济中的作用的批判性审查”听证会的主题。乔治城大学法律中心教授劳拉·莫伊在敦促国会采取行动的证词中辩称，“人们对现状不满意”，他们“绝大多数对数据代理所掌握的信息缺乏控制表示不满”。她还解释了“蓬勃发展”的数据代理行业如何“以多种方式对真实的人造成真正的伤害”，“例如助长骗子，进行掠夺性营销，为跟踪和骚扰提供便利，帮助执法机构规避宪法保护，传播不准确的信息，增加数据泄露漏洞，并将未成年人置于危险之中。”。

《停止监视老板法案》

最后，顾名思义，《停止监视老板法》侧重于为个人提供工作场所隐私。该法案将要求任何对其雇员或申请人进行监控或数据收集的雇主披露：

• 收集了哪些数据。
• 它是如何使用的。
• 这种监督如何影响工人的绩效评估。

该法案还禁止某些类型的员工工作场所监控，包括监控与劳工组织有关的活动、收集与工作职责无关的健康信息、监控下班工人以及使用包括机器学习或人工智能技术在内的自动化决策来预测与工作无关的工人的行为。该法案还将在劳工部内成立一个新的隐私和技术司，通过私人诉讼权与州检察长和个人一起执行法律。

下一步怎么办？

虽然美国联邦隐私立法的其他部分已在第118届国会提出，但上述内容仅代表以消费者为中心的隐私法案。尽管本届会议将提出许多此类法案，但迄今为止提出的法案都有独特的条款，从确立“注意义务”的《数据保护法》到彻底改革联邦贸易委员会隐私执法权的《在线隐私法》，再到为一个大多在没有监督的情况下运作的行业带来监管的《删除法案》。

矛盾的是，越来越多的全面的州隐私法可能既是缺乏联邦立法的原因，也是其结果。正如乔·杜博尔在他的州隐私简报中所解释的那样，越来越多的州立法者致力于隐私立法的最大原因之一是国会缺乏此类行动。继续通过全面的州隐私法对联邦全面隐私法前景的影响仍然是一个关键问题。

Cobun Zweifel Keegan强调的围绕州隐私立法的党派动态，以及联邦和州层面之间的相互作用，令人着迷。然而，公司必须遵守50种不同的美国隐私标准的情况似乎并没有实现。这至少在一定程度上是由于州立法者与其他州立法者沟通的方式，以确保州隐私法的一致性，并避免出现“拼凑”的立法。

围绕联邦隐私的讨论继续受到众多相互竞争的优先事项和议程的影响。例如，立法和行政部门对儿童隐私和生殖健康隐私等问题的持续关注，可能会使天平偏向于更窄的隐私法案，而不是在联邦层面通过的全面或综合法案。如果这些法案中的任何一项——无论是全面的还是狭义的——成为法律，都将对美国隐私权及其未来发展轨迹产生重大影响。