2022年7月20日，美国众议院能源和商业委员会宣布，它已在委员会全体会议期间通过了《美国数据隐私和保护法案》（“ADPPA”）众议院决议（“HR”）8152的修正案。修订后的HR 8152引入了适用实体和服务提供商的额外义务，包括禁止通过定价服务和大数据持有者报告指标进行报复。在本文中，OneTrust数据指南概述了企业应注意的主要修订和关键条款，并由梅纳德·库珀和盖尔个人电脑公司网络安全和隐私实践小组隐私部门负责人斯塔尔·德拉姆提供了专家评论和见解。

适用范围

经修订的HR 8152适用于处理、收集和传输覆盖数据的覆盖实体和服务提供商，并为其提供定义。特别是，根据第一稿，涵盖实体定义为：

• 除在非商业环境中行事的个人外，单独或与其他人共同确定收集、处理或传输覆盖数据的目的和方式的任何实体或个人，以及：
  • 受1914年《联邦贸易委员会法》管辖；
  • 是受1934年《通信法》约束的公共承运人；
  • 不是为自身或其成员的利益而开展业务的组织；和
• 控制或受另一个涵盖实体控制的任何实体或个人。

相应地，服务提供商被定义为代表覆盖实体、联邦州、部落、地区或地方政府实体收集、处理或传输覆盖数据的个人或实体，并从覆盖实体或代表覆盖实体接收覆盖数据。

值得注意的是，修订后的HR 8152修改了员工数据的定义，更改了将属于其范围的员工数据。具体而言，员工数据的定义已扩展到包括仅为代表雇主的员工专业活动相关目的而收集、处理或传输的员工信息。修订后的HR 8152还对未识别数据提出了额外要求，包括合同义务应包含在所有后续接收数据的情况中。

适用实体和服务提供商的义务

修订后的HR 8152对覆盖实体和服务提供商提出了若干额外要求。在这一点上，鼓突出显示， “修正案包括一项新的通知和对作为资产转让一部分的涵盖数据的选择退出要求。另一项重要修正案涉及一旦法律生效，受害人员可以对涉嫌违法者提起私人诉讼的时间期限。之前的法案将起诉能力推迟了四年，而修正案缩短为两年。修正案还扩大了以前确定的敏感信息类别，现在包括确定个人在线活动的信息以及关于个人种族、肤色、族裔、宗教或工会成员的信息。这些类别的增加使HR 8152与《一般数据保护条例》（条例（EU）2016/679）（“GDPR”）和其他最近通过的国家隐私框架更为一致”。

数据最小化

关于数据最小化，经修订的HR 8152规定，只有在法案所述17个许可目的之一（包括认证用户、防止欺诈和完成交易）必要时，公司才允许收集和使用用户数据。禁止在这些目的之外收集和使用。这与许多其他以同意概念为中心的全球隐私法形成了鲜明对比，这导致了cookie同意弹出窗口的激增。

统一选择退出机制

关于统一的退出机制，经修订的HR 8152规定：

• 受影响实体或代表受影响实体行事的服务提供商必须将集中选择权告知个人；
• 统一选择退出机制不要求是默认设置，但可以是默认设置。前提是，在所有情况下，该机制明确表示个人对选择退出的肯定、自由和明确选择；
• 对消费者友好，描述清晰，易于合理的个人使用；
• 允许覆盖实体或代表覆盖实体行事的服务提供商进行身份验证过程，该过程可用于确定该机制是否代表选择退出的合法请求；
• 以涵盖实体提供产品或服务时使用的任何涵盖语言提供，但须遵守选择退出条款；和
• 以残疾人可合理使用的方式提供。

影响评估

修订后的HR 8152要求对隐私和覆盖算法进行影响评估。

修订后的HR 8152保留了对大数据持有人进行隐私影响评估的要求，以权衡大数据持有人所涵盖的数据收集、处理和传输实践的好处，以及对个人隐私的潜在不利后果，包括重大隐私风险。然而，重要的是，经修订的HR 8152取消了获得隐私保护官员批准的要求，也取消了指定隐私和数据安全官员的要求。

此外，经修订的HR 8152将强制性的两年期隐私影响评估要求扩展到非大型数据持有者的涵盖实体。根据对大数据持有者的要求，这些受保护实体必须权衡可能导致重大隐私风险的受保护数据收集、处理和传输做法的好处与此类做法对个人隐私的潜在重大不利后果。

关于覆盖算法，经修订的HR 8152保留了与“算法影响评估”相关的规定，将其重新定义为“覆盖算法影响评估”。具体而言，根据第一稿，经修订的HR 8152规定，使用覆盖算法对个人或群体造成间接伤害风险，并单独或部分使用覆盖算法收集、处理或传输覆盖数据的大型数据持有人必须每年进行影响评估。

用于报告的大型数据持有者指标

修订后的HR 8152规定，涵盖实体的大数据持有人必须在其为大数据持有人的每个日历年编制上一日历年的指标，其中必须包括：

• 已验证访问请求的数量；
• 已验证删除请求的数量；
• 选择不进行覆盖数据传输的请求数量；
• 选择退出定向广告的请求数量；
• 上述1-4个请求的数量：
  • 全部或部分遵守；或
  • 否认。

此外，在每个适用日历年的7月1日之前，必须提供大数据持有人隐私政策中或通过隐私政策中包含的超链接在公众可访问网站上汇编的上述信息。

一般原则和义务

更一般地说，修订后的HR 8152保留了第一稿中引入的职责和原则，包括与设计隐私、数据安全以及隐私政策相关的要求（请参阅我们题为“美国：联邦数据隐私法案讨论草案-您需要了解的内容”的深入文章）。值得注意的是，修订后的HR 8152引入了收集、处理或传输覆盖数据的其他允许用途，包括：

• 非广告的通信，如果个人在与相关实体的互动中合理预期；
• 确保覆盖数据的数据安全性和完整性；
• 服务提供商先前根据政府实体的指示收集的覆盖数据，或覆盖实体向政府实体提供的服务，且仅在法规授权的范围内，以防止、检测、防范或应对公共安全事件；和
• 在合并、收购、破产或类似交易中，如果第三方在转让前的合理时间内向受影响个人提供以下信息，则第三方承担控制权：
  • 描述此类转移的通知，包括接收覆盖数据的一个或多个实体的名称及其隐私政策；和
  • 撤回任何先前给予的同意的合理机会，以及请求删除其覆盖数据的合理机会。

关于合并和收购的额外允许目的，Drum评论道，“对合并和收购领域产生重大影响的一项修正案是新的通知、选择退出和删除包括涵盖数据的资产转让要求（§101（b）（13））). 对目标公司而言，遵守这一规定可能是一项艰巨的任务，尤其是在目标公司的覆盖数据不是直接从个人那里收集的情况下，或者在个人未能保持其联系信息最新的情况下。未能提供必要的通知，或收到大量个人的退出和删除请求，可能会严重影响交易价值，并可能延迟交易”。

消费者数据权利

修改后的HR 8152保留了先前建立的消费者数据权利，即：

• 访问
• 删除；
• 校正
• 出口受保护数据的权利；
• 选择退出受保转让的权利；和
• 选择退出定向广告的权利。

此外，经修订的HR 8152规定了与验证、响应时间和收费相关的要求。具体而言，个人可以在12个月内免费行使其权利两次，超过前两次的任何请求都将收取合理费用。关于时间安排，经修订的HR 8152坚持认为，大数据持有人必须在核实后45天内遵守请求，而非大数据持有人或不属于小企业保护范围的受保护实体将有60天的响应时间，最后属于小企业保护范围的受覆盖实体将有90天的响应。在验证方面，经修订的HR 8152指出，如果覆盖实体无法合理验证数据所属个人或授权人员，则不允许其全部或部分行使个人权利。修订后的法案还对个人行使其权利的能力提供了豁免，包括当受保护实体合理地认为请求是为了干扰受保护实体与另一个人之间的合同时。

同意

根据HR 8152的当前版本，涵盖实体的同意请求必须包括寻求个人同意的每个处理目的的描述。此外，经修订的HR 8152要求拒绝同意的选择必须至少与接受同意的选择一样重要，拒绝同意必须采取与提供同意时所需的步骤相同或更低的步骤。此外，经修订的HR 8152澄清，如果获得了肯定的明示同意，出于不同目的的处理也将需要随后的肯定明示同意。

未成年人保护

如HR 8152的第一稿所述，经修订的HR 8152规定了特定于被涵盖未成年人的要求，被定义为17岁以下的任何个人。值得注意的是，经修订HR 8152对此类被涵盖数据的数据传输要求引入了例外。具体而言，经修订的HR 8152规定，受保护实体或服务提供商可收集、处理或转移其知道未满18岁的个人的受保护数据，仅用于向执法机构或非营利机构提交与儿童受害相关的信息，国会指定的国家资源中心和信息中心，就失踪和被剥削儿童问题向受害者、家庭、儿童服务专业人员和公众提供援助。

在突出显示的副鼓保护上，“许多公司根据《儿童在线隐私保护规则》（“COPPA”）做出了处理13岁以下儿童个人信息的商业决定，对于较小的一部分，根据2018年《加利福尼亚消费者隐私法》（上一次修订于2019年）（“CCPA”）出售16岁以下儿童的个人数据HR 8152对处理来自17岁以下未成年人的数据、针对17岁以下的未成年人的广告和共享17岁以下儿童的数据提出了严格要求，因此，如果ADDPA以当前形式通过，与16岁以下儿童覆盖数据进行交互的实体将有重大风险计算”。

执行

如上所述，一旦HR 8152生效，民事诉讼的执行期已从四年缩短为两年。值得注意的是，除了私人诉权的范围缩小之外，HR 8152的当前版本提供了一个例外，即此类私人诉权不适用于针对年收入低于2500万美元的受保实体或收集、处理或传输少于50000人的受保数据的受保主体的索赔，并且从传输覆盖数据中获得的收入不到50%。

与州法律的兼容性

修订后的HR 8152与第一稿一致，规定了州法律的先发制人权，规定，一般而言，任何州或州的政治分区均不得通过、维持、执行、规定或继续实施任何法律、法规、规则、标准、要求或其他具有州或州政治分区法律效力的规定，由HR 8152的规定或HR 8152下颁布的规则、法规或要求所涵盖。

在先发制人的问题上，Drum注意到，Drum指出，“优先购买权的范围不太明确。虽然HR 8152中明确规定某些州法律或其规定不属于优先购买权（例如：。伊利诺伊州的《2008年生物特征信息隐私法》（“BIPA”）和《2020年CCPA/加利福尼亚隐私权法》（“CPRA”）下基于数据泄露的私人诉讼权。其他描述符非常广泛，可以使许多州法律重新发挥作用。例如，“关于使用加密作为提供数据安全手段的法律”的规定可能意味着整个CCPA/CPRA不会被抢占”。

结论

关于修改后的HR 8152的预期指导和限制，“尽管HR 8152将消除不同州法律适用性和合规义务的一些不确定性，但它并没有创建一个统一的联邦隐私标准。特定部门的隐私和安全法律，如《家庭教育权利和隐私法》（“FERPA”）、《健康保险可携带性和责任法》（“HIPAA”）、“格拉姆-利奇-布利法”（“GLBA”）和其他法规将继续仅适用于受此类法规要求约束的数据。尚不清楚这对受其他特定部门法律管辖的实体究竟意味着什么。HR 8152是否不适用于这些法律范围内的数据元素、某些类型的处理或其他内容？联邦贸易委员会有长达一年的时间发布关于特定部门豁免的指导意见，在该指导意见发布之前，教育、卫生、金融和其他部门的企业只需猜测条例之间的相互作用范围”。

在接下来的步骤中，HR 8152将提交众议院审议。

本文：https://cioctocdo.com/usa-amended-american-data-privacy-and-protection-…