跳转到主要内容

文章分类

《美国数据隐私与保护法案》(ADPPA)如果获得通过,将成为第一个全面的联邦数据隐私法案。ADPPA旨在为个人提供具体的权利,如同意和反对的权利,加强对儿童和未成年人的保护,并为覆盖实体引入了一系列义务,包括与数据最小化和个人数据收集、处理和转移的法律基础有关的义务。2022年7月20日,众议院能源和商务委员会批准了ADPPA,并进行了一些修订,例如让加州隐私保护局(“CPPA”)负责在加州执行ADPPA,以及将小企业排除在私人行动之外。截至本文发布之时,ADPPA正接受众议院全体议员的审议,如果通过,下一步将提交参议院。Maynard Cooper & Gale, LLP的股东Starr Drum概述了ADPPA下的数据处理,重点介绍了17个允许的目的和同意的作用。

ADPPA下的处理

根据ADPPA§101的数据最小化要求,所涵盖的实体不得处理所涵盖的个人数据,除非处理仅限于“合理必要和相称的”,以提供或维护其所涵盖数据的个人所要求的特定产品或服务。联邦贸易委员会的任务是就构成“合理必要和比例”的内容发布指导意见。根据ADPPA,处理也被允许实现其他17个列举的目的之一:

  • 执行交易或订单。
  • 开发、维护、改进或修理产品或服务。
  • 认证产品或服务的用户。
  • 履行产品或服务的保证。
  • 预防、检测或应对安全事件。
  • 防止、发现或应对欺诈、骚扰或非法活动。
  • 遵守法律义务或追究或抗辩法律索赔。
  • 防止死亡或身体伤害。
  • 实施产品召回。
  • 进行某些研究项目。
  • 提供数据主体合理预期的非广告通信。
  • 促进通信的传输。
  • 在合并、收购、破产或类似交易的情况下转让资产。
  • 保护被覆盖个人数据的安全。
  • 预防、检测或应对某些公共安全事件。
  • 向成人进行第一方广告或营销。
  • 提供有针对性的广告。

虽然将定向广告作为一种允许的处理目的乍一看可能令人惊讶,但如果ADPPA通过,实际上有一些重要的限制,在这一领域运营的实体将不得不谨慎地应对。首先,如果被覆盖实体知道被瞄准的个人是被覆盖的未成年人(17岁以下的人),则严格禁止定向广告。对于社交媒体公司来说,“知识”包括实体“应该知道”该个人是被覆盖未成年人,而对于其他大型数据持有者来说,知识包括故意无视个人是被覆盖未成年人这一事实的行为。ADPPA不允许受保护实体使用同意来规避这一全面禁令。其次,只有在按照ADPPA的要求收集和处理覆盖数据的情况下,才允许进行定向广告,因此,在ADPPA通过之前(或通过后)收集的任何不符合上述数据最小化参数的覆盖数据都不能用于定向广告。

同意不?

在允许的处理目的清单中,不包括受保护实体基于个人明确明确的同意处理个人数据的能力,即使这种同意是用于上述处理目的以外的处理目的。这种处理方式与根据《通用数据保护条例》(条例(EU) 2016/679)(“GDPR”)处理同意的方式有很大不同,在《通用数据保护条例》中,数据主体对为任何特定目的处理其个人数据的同意足以使该目的合法化。相反,ADPPA下的同意被视为某些处理操作的补充要求,而不是处理的独立基础。

根据ADPPA,肯定明示同意在以下情况下是强制性的:

  • 将个人的敏感覆盖数据转移给第三方;
  • 将显示个人观看历史和从视频节目或广播服务中选择的服务的覆盖数据转移到无关联的第三方,在该第三方没有根据上述的前15个允许目的转移此类数据;
  • 将受保护未成年人的受保护数据传输给第三方,其中受保护实体知道该个人是受保护未成年人,但向执法部门和国会指定的关于失踪和剥削儿童问题的国家资源中心提交与儿童受害有关的信息除外;和
  • 保存数据的时间超过了收集数据的目的所需要的时间。

虽然为处理活动获得同意通常是最佳实践,但就ADPPA而言,同意本身不会使§101未授权的处理活动合法化。因此,如果ADPPA以当前形式通过,涉及的实体将需要分析其所有的加工活动,并确保它们是“合理必要和相称的”,以提供或维护个人请求的特定产品或服务,或加工至少符合§101中规定的允许目的之一。

最后的想法

如果ADPPA通过,是否会从同意转向同意还有待观察,但鉴于同意是其他全球司法管辖区处理信息的重要法律基础,根据其他美国联邦隐私法(例如,Gramm-Leach-Bliley法案、1996年的健康保险便携和责任法案、家庭教育权利和隐私法案以及1998年的儿童在线隐私保护法案),各种处理操作仍需要同意,而且,根据ADPPA,同意对于某些处理操作仍然是强制性的,因此,随着ADPPA的通过,同意请求似乎不太可能显著减少。

本文:

文章链接