近日,美国首个获得两党、两院支持的联邦层面数据隐私法草案——《美国数据隐私和保护法》(草案)(American Data Privacy and Protection Act,ADPPA)面世。除特定情形,草案拟禁止收集生物识别信息、互联网浏览历史、社会安全号码等。
草案截图
不过,各方对此草案褒贬不一。支持者认为,有利于制定统一的国家数据隐私框架。反对者担忧,不会带来实质性改变。由于草案目前只是讨论稿,尚未进入正式的立法程序,可否成为法律尚未明确。
美国联邦层面首个获两党支持的数据隐私法
近日,据美国众议院能源和商业委员会官网消息,美国众议院和参议院发布了《美国数据隐私和保护法》(草案)。
草案主要有四个部分,分别为忠诚义务、消费者权利、企业问责制以及执法部分。
具体而言,草案内容包括防止美国人的数据遭到歧视性使用、要求相关实体允许消费者关闭定向广告、为未成年人提供增强的数据保护、要求信息处理者在特定实践方面遵守忠诚义务,同时确保消费者不必为隐私付费等。
所谓忠诚义务(duty of loyalty),主要是指信息处理者不得收集、处理、转让超过合理必要的个人信息。
在有关“忠诚义务”方面,除了一些草案中规定的特定情形,原则上不得收集、处理或转移社会安全号码、不得将个人的精确地理位置信息转移给第三方、不得收集、处理或转移生物识别信息、不得转移个人的综合互联网搜索或浏览历史记录、不得从智能手机或可穿戴设备上转移个人的生理活动信息。
在消费者权利方面,草案拟规定数据处理需有“透明度”、个人数据所有权和控制权、同意权、未成年人的数据保护、算法公平、数据安全等。
关于企业责任,草案拟规定,所有相关企业任命一名或多名隐私官/数据安全官,以负责建立定期审查和更新隐私政策等流程。大数据持有者(large data holder)还需要进行隐私影响评估,权衡数据收集处理与转让对个人隐私的潜在不利影响。
所谓大数据持有者为年总收入超过2.5亿美元,同时收集、处理、转让超过500万个人数据,超过10万个人敏感数据。
另外,草案要求美国联邦贸易委员会(FTC)建立一个与消费者保护和竞争相关的新的部门,州检察长或州首席消费者保护官员可以以州的名义提起民事诉讼,同时也赋予个人在法案生效后四年内行使私人诉讼权。
草案争议:会否取代州隐私法?
值得关注的是,各方针对此草案褒贬不一。
事实上,美国参议院商务委员会主席、华盛顿州民主党参议员玛丽亚·坎特威尔 (Maria Cantwell) 尚未签署ADPPA。
据《华盛顿邮报》报道,联邦隐私谈判成员Brian Schatz提出了反对意见。他认为,草案只会导致消费者需要阅读更多的隐私政策、接受更多的cookie,而不会带来实质性的变化。他也不支持用其取代现有的州隐私法或剥夺州立法机构未来就隐私问题立法的能力。
据数据法律师 Anna Rudawski分析,草案确立了联邦对州隐私法案的优先权,这也意味着其规定可以取代部分的州隐私法案。因此她“很难对联邦数据隐私法案(草案)感到兴奋”。
支持者则认为,法案在推进联邦层面的数据隐私立法上取得平衡,有利于制定统一的国家数据隐私框架,建立一套强有力的消费者数据隐私权利保护机制与恰当的执法机制。
如果草案通过,将由美国联邦贸易委员会(FTC)建立一个消费者保护和竞争相关的部门负责执行。FTC专员Noah Phillips也发推文表示支持,如草案通过,“将执行法律并保护美国消费者”。FTC专员 Christine Wilson同样在推文中支持该提议。
隐私和网络安全法律师David P. Saunders表示,草案将大量信息归类为“敏感”,例如识别个人在一段时间内或跨第三方网站在线活动的信息。“实际上,这是 cookie 数据。”这一定义与收集“敏感”数据的义务相结合,也意味着草案将把欧洲数据隐私相关法律的许多要求带入美国。
“Cantwell参议员的立场,加上任何加州代表以及参议员的缺席,表明草案很可能会像其‘前任’一样停滞不前。”Saunders撰文写道。
综合·编译:南都记者 孙朝