《美国数据隐私和保护法案1》（“ADPPA”）如果获得通过，将成为第一个联邦综合数据隐私法案。ADPPA旨在为个人提供特定权利，如同意和反对的权利，加强对儿童和未成年人的保护，并为涵盖实体引入了一系列义务，包括数据最小化和个人数据收集、处理和传输的法律基础。2022年7月20日，众议院能源和商务委员会批准了ADPA，并进行了一些修正，如让加州隐私保护局（“CPPA”）负责在加州执行ADPA，以及将小企业排除在私人行动之外。在公布之时，ADPPA正在接受众议院全体成员的审查，如果获得通过，将随后提交参议院。Maynard Cooper&Gale，LLP的股东Starr Drum概述了ADPA下的数据处理，重点介绍了17个许可目的和同意的作用。

ADPPA下的处理

根据ADPPA§101的数据最小化要求，受保护实体不得处理受保护个人数据，除非处理仅限于提供或维护受保护数据被处理的个人所要求的特定产品或服务的“合理必要和比例”。联邦贸易委员会（Federal Trade Commission）的任务是发布关于“合理必要和相称”的指导意见。ADPPA还允许处理，以实现其他17个列举目的之一：

1. 执行交易或订单。
2. 开发、维护、改进或修理产品或服务。
3. 验证产品或服务的用户。
4. 履行产品或服务保证。
5. 防止、检测或响应安全事件。
6. 防止、检测或应对欺诈、骚扰或非法活动。
7. 遵守法律义务或对法律索赔进行追诉或辩护。
8. 防止死亡或身体伤害。
9. 实施产品召回。
10. 进行某些研究项目。
11. 交付数据主体合理预期的非广告通信。
12. 促进通信的传输。
13. 在合并、收购、破产或类似交易中转让资产。
14. 保护受保护个人数据的安全。
15. 防止、检测或应对某些公共安全事件。
16. 对成年人进行第一方广告或营销。
17. 提供有针对性的广告。

虽然将定向广告作为允许的处理目的乍一看可能令人惊讶，但实际上存在一些重大限制，即如果ADPA通过，在该领域运营的受保护实体将不得不小心导航。首先，如果受保实体知道目标个人是受保未成年人（17岁以下的人），则严格禁止定向广告。对于社交媒体公司，“知识”包括实体“应该知道”该个人是受保未成年人，而对于其他大型数据持有者，知识包括故意无视该个人是被保未成年人这一事实。ADPPA不允许受保护实体使用许可规避这一全面禁止。第二，只有根据ADPA的要求收集并以其他方式处理覆盖数据时，才允许进行定向广告，因此，在ADPA通过（或通过后）之前收集的任何不符合上述数据最小化参数的覆盖数据不能用于定向广告。

不再同意吗？

允许的处理目的列表中不包括受保护实体基于个人的肯定明示同意处理个人数据的能力，即使此类同意用于上述处理目的之外的处理目的。这种处理方式与《一般数据保护条例》（条例（欧盟）2016/679）（“GDPR”）下的同意处理方式有很大不同，在该条例中，为任何特定目的处理其个人数据的数据的同意足以使该目的合法化。相反，ADPA下的同意被视为某些加工操作的补充要求，而不是加工的独立基础。

根据ADPPA，在以下情况下，必须明确表示同意：

• 将个人的敏感覆盖数据传输给第三方；
• 将显示个人观看历史和从视频节目或广播服务中选择的服务的覆盖数据传输给非关联第三方，其中该数据未根据上述前15个允许目的进行传输；
• 将受保护未成年人的受保护数据转移给第三方，如果受保护实体知道该个人是受保护未成年者，但向执法部门和国会指定的失踪和受剥削儿童问题国家资源中心提交有关儿童受害的信息除外；和
• 保留数据的时间超过收集数据的目的所需的时间。

虽然获得加工活动的许可通常是最佳做法，但就ADPA而言，许可本身不会使未经§101授权的加工活动合法化。因此，如果ADPA以其当前形式通过，受影响实体将需要分析其所有加工活动，并确保其“合理必要且相称”，以提供或维护个人要求的特定产品或服务，或确保加工符合§101中规定的至少一个许可目的。

结语

如果ADPPA通过，是否会偏离同意仍有待观察，但鉴于同意是其他全球司法管辖区处理的重要法律基础，根据其他美国联邦隐私法（如《格拉姆-利奇-布利利法案》、《1996年健康保险可携带性和责任法案》、《家庭教育权利和隐私法案》和《1998年儿童在线隐私保护法案》）的规定，各种处理操作仍需获得该同意，而根据ADPA的规定，某些处理操作仍必须获得该同意，随着ADPPA的通过，同意请求似乎不太可能大幅减少。

本文：https://cioctocdo.com/usa-permitted-processing-purposes-under-adppa