欧盟通用数据保护条例 (GDPR) 于 2018 年 5 月 25 日生效。不久之后,欧盟数据保护机构收到了超过 95,000 份来自公民的投诉。 欧盟消费者变得更愿意与欧盟企业进行交易,因为他们拥有行使隐私权的法律手段。 因此,GDPR 提供的增强型隐私保护有利于欧盟的消费者和企业。 (要了解有关 GDPR 的更多信息,请参阅 GDPR:您知道您的组织是否需要遵守吗?)
美国在隐私保护方面仍然落后于欧盟。 尽管有一些联邦隐私法涵盖特定行业部门和一些州隐私法,但美国没有联邦隐私法为全国消费者提供强有力的隐私保护。 这威胁到世界上最大的经济体美国的经济发展。
在本文中,我们研究了一些表明美国可能很快会通过联邦消费者隐私法的最新发展,并提供我们对新法律性质的预测。 在文章的最后,得出了一个结论。
美国隐私发展概览
2018
2018 年 4 月,《卫报》宣布,数据咨询公司 Cambridge Analytica 在未经各自用户同意的情况下收集和使用了约 8700 万份 Facebook 个人资料中的数据。 他们中的大多数(7000 万)都在美国。 为了收集如此大量的数据,Cambridge Analytica 使用了一款名为“这是你的数字生活”的应用程序。
Cambridge Analytica 的前代表 (Christopher Wylie) 就数据泄露事件表示:“我们利用 Facebook 收集了数百万人的个人资料。 并建立模型来利用我们对他们的了解并瞄准他们内心的恶魔。 这是整个公司建立的基础。” 数据泄露事件引发了公众对 Facebook 的严厉批评。 大约四分之三的使用互联网的美国家庭开始担心隐私和安全风险。 违规行为被发现后不久,Facebook 首席执行官马克扎克伯格被要求在美国国会作证。
2018 年 7 月,白宫指出,它打算与国会合作制定“一项消费者隐私保护政策,该政策是隐私与繁荣之间的适当平衡”。 代表主要科技公司的信息技术产业委员会对白宫的努力表示赞赏,并强调美国有机会为数字经济创造一个新的隐私范例,并避免目前隐私法的拼凑。
信息透明度与个人数据控制法和数据保护法
2018 年,美国参议员至少提出了两项数据保护法案。 首先,2018 年 9 月,国会女议员苏珊·德尔贝尼提出了一项名为“信息透明度和个人数据控制法案”的法案。 它对公司提出了各种隐私要求,包括但不限于:(i) 要求以“通俗易懂的英语”向消费者提供隐私政策,以及 (ii) 要求在处理消费者的个人信息之前征得消费者的同意。 该法案于 2019 年重新提出。
其次,2018 年 12 月,由 15 名美国参议员组成的小组提出了《数据保护法》。 如果通过,该法案将要求收集用户个人数据的公司采取合理措施保护这些数据。 发起该法律草案的美国参议员布赖恩·沙茨 (Brian Schatz) 解释了该法案背后的理由如下:
“人们有一个基本期望,即他们提供给网站和应用程序的个人信息受到良好保护,不会被用来对付他们。”
2019
2019 年,美国参议院引入了新版《数据保护法》(也称为《2019 年数据保护法》)。 它要求在线服务提供商 (i) 保护个人数据免遭未经授权的访问,(ii) 避免以损害最终用户的方式使用个人数据,以及 (iii) 避免向第三方披露个人数据,除非该第三方 受该法案规定的义务的约束。
消费者在线隐私权法案
2019 年 12 月 3 日,参议员 Maria Cantwell [D-WA] 向美国国会提交了消费者在线隐私权法案 (COPRA)。 其目的是规范可识别居住在美国的个人或可合理链接到消费者设备的信息的处理。 它排除了某些小企业遵守该法案的义务。
COPRA 要求涵盖的实体:
在处理他们的个人数据之前获得数据主体的同意。
仅将数据用于特定目的。
采取合理的信息安全措施保护数据。
向数据主体(根据他们的要求)提供他们自己的个人数据。
允许数据主体修改和删除他们的数据。 如果要处理的数据是敏感的个人数据,则需要以明确的肯定同意的形式表示同意。 CORPA 实施数据处理透明原则,这意味着涵盖的实体必须发布符合特定要求的隐私政策。
2020 年的数据保护和隐私情况如何?
2020 年数据保护法
2020 年 2 月 13 日,参议员克尔斯滕吉利布兰德 (D-NY) 提出了《2020 年数据保护法》。如果该法案获得通过,将导致成立一个联邦数据保护机构,负责裁决与消费者隐私相关的问题 投诉。
此外,该机构将能够宣布侵犯隐私的行为具有欺骗性或不公平。 新的隐私监管机构将能够对违反隐私法的人提起民事诉讼,甚至能够对他们处以每天高达 100 万美元的罚款。 该法案因赋予行政部门过多的自由裁量权而受到批评。
民主与技术中心的米歇尔·理查森警告说,可能要过很多年,我们才能了解该法案建立的制度是否会对公司的行为产生任何有意义的影响。
2020 年消费者数据隐私和安全法案
2020 年 3 月 12 日,参议员杰里莫兰 [R-KS] 介绍了 2020 年消费者数据隐私和安全法案 (CDPSA)。 该法案整合了其他拟议立法,旨在创建一个联邦隐私框架。
CDPSA 为个人提供的权利类似于《加州消费者隐私法》(CCPA) 和 GDPR 提供的权利。 除某些例外情况外,这些权利优先于其他州和联邦法律。 CDPSA 不会创建新的联邦数据保护机构。 相反,它指定联邦贸易委员会 (FTC) 作为负责管理 CDPSA 的联邦机构。
CDPSA 承认两种类型的同意,即默示同意和明示肯定同意。 只有在收集和处理敏感个人数据的情况下以及向第三方披露个人数据不属于 CDPSA 明确规定的一个或多个允许目的范围内的情况下,才需要第二种类型的同意。
CDPSA 的一个重要特征是它免除了某些小企业的一些合规义务,从而减轻了这些企业的合规负担。 免除的义务包括,例如,数据主体访问其个人数据的权利和数据主体更正其个人数据的权利。
CDPSA 将术语“小型企业”定义为任何涵盖的实体或服务提供商,这些实体或服务提供商累积满足两个条件。
CDPSA 首要条件
第一个条件是,在最近 6 个月内,它雇用的员工不超过 500 人,并且前 3 年的平均总收入保持在 5000 万美元以下。
CDPSA 第二个条件
第二个条件是所涵盖的实体或服务提供商每年收集或处理的个人数据少于 100 万; 或少于 100,000 人的敏感个人数据。
CDPSA 的另一个特点是,它不仅要求涵盖的实体以易于理解的语言制定其政策(类似于 GDPR),而且还要求他们公开其隐私政策的任何先前版本,并直接提供 通知其隐私政策的任何更改。
COVID-19 消费者数据保护法
COVID-19 消费者数据保护法于 2020 年 5 月 7 日出台,这是由于各种提议使用移动设备和其他监控服务来跟踪感染 COVID-19 的人。 该法案主要适用于地理定位、接近度和健康信息的收集。
只有在事先通知数据主体并获得他或她的明确同意后,才能处理此类数据。 该法案旨在填补联邦立法中有关 COVID 相关做法的漏洞,例如雇主测量雇员体温或追踪其病情的情况。
关于新法律性质的猜测
考虑到 GDPR 的成功实施以及美国各州出台类似 GDPR 的法律的趋势,我们可以预期新的联邦隐私法也将遵循 GDPR 框架。
这意味着它可能会要求公司:
仅收集实现合法目的绝对必要的数据。
发布全面的隐私政策。
确保他们有处理消费者个人数据的法律依据。
仅将从消费者那里收集的个人数据用于消费者知道的特定和有限目的。
确保消费者可以轻松管理(例如,访问、编辑和删除)他们的个人数据。
采取最新的技术和组织措施来保护消费者的个人数据。
向主管数据保护机构报告个人数据泄露情况。
仅在有限的时间内保留消费者的个人数据。
只有在实施适当的保护措施后,才能将个人数据传输到美国境外。
未能遵守新法律要求的公司可能会被处以巨额罚款。
我们可以预期,新法律将设立一个或多个联邦数据保护机构,负责执行该法律。 GDPR 的生效并没有导致在欧盟建立新的数据保护机构,因为这些机构甚至在 GDPR 之前就存在了。
之前的欧盟数据保护法(指令 95/46/EC)要求每个欧盟国家都有一个或多个公共机构负责确保隐私合规性。 目前,联邦隐私事务属于联邦贸易委员会 (FTC) 的职权范围,但管理一项主要的联邦消费者隐私法的复杂任务可能需要创建一个新的政府实体。 例如,该实体可以称为联邦隐私委员会 (FPC)。 (有关隐私的更多信息,请参阅关于技术隐私的 10 条引述让您思考。)
最后的想法
一项新的全面的美国联邦隐私法可能会增加消费者对电子商务的信心,从而进一步加速其发展。 此外,它可以防止各州隐私法导致的监管碎片化,而这反过来又可能成为州际贸易的障碍。 这是因为总部设在美国一个州的公司需要聘请美国许多其他州的隐私专家,以确保遵守适用的隐私法,并将在确保此类合规方面产生大量成本。
由于这将阻碍对现代经济至关重要的电子商务的发展,美国联邦机构不太可能允许隐私领域的监管碎片化持续很长时间。 美国联邦贸易委员会 (FTC) 专员克里斯蒂娜·威尔逊 (Christine Wilson) 最近强调了制定联邦隐私法的必要性,她说:“在我们处理这些新的、极其复杂的问题时,制定联邦隐私法将非常有帮助。”
然而,如果新法以相当宽松的方式管理消费者隐私问题,对美国公民来说可能弊大于利。 这是因为它可能会推翻一些严格的州隐私法,例如 2018 年加州消费者隐私法。同样,美国联邦仲裁法阻止各州监管仲裁协议。
全球法律服务和战略咨询公司 Consilio 进行的一项调查显示,大多数法律专业人士认为美国将在 2020 年通过联邦隐私法。
然而,这样的预测似乎过于乐观了,因为正如上文所述,我们可以看到,自 2018 年以来,联邦隐私法的提案层出不穷,但目前还没有一个被采纳。
