全文下载 | 美国《数据隐私和保护法》（草案）首次公布：对GDPR的一场海啸？！

2022-06-08 03:06

立即扫码，报名《数据安全合规与实践课》11讲

如需美国《数据隐私和保护法》（草案）PDF原文，请在公号“数据法盟”后台回复关键词“美国数据保护法”，即可下载！

来源：iapp

作者：Müge Fazlioglu

翻译：迟迅，上海交大法学院硕士生

最近刚刚公开发布的《美国数据隐私和保护法》（Amerivan Data Privacy and Protection Act，ADPPA）草案给隐私社区提供了大量的思考素材。对该文本的初步印象和分析从 "非常有希望"、"有价值的第一步"、"有巨大影响 "到 "还不错 "等。

Omer Tene的描述最有诗意："一场海啸，可能还会让GDPR看起来像茶杯里的风暴"。常识传媒（Common Sense Media）的创始人兼首席执行官吉姆-斯泰尔（Jim Steyer）说，虽然该草案 "应该包括更强有力的保护措施"，但其中的内容足以让国会领导人在今年达成协议。

然而，鉴于目前的情况，草案成为法律的机会仍不明确。

正如IAPP的Joe Duball所认为的，明智的做法是 "缓和对该提案的感情和期望"。尽管最近几周有迹象表明美国联邦隐私立法取得了进展并有理由感到兴奋，但 "也有可能......这项努力再次注定失败"。现在事情的发展可能类似于2019年12月的情况，当时参议院民主党人和共和党人都发布了一项法案（分别为COPRA和CDPA），受到了人们的热烈欢迎，但由于两个文本之间存在几个明显的差异，导致立法陷入僵局。

事实上，参议院商务委员会主席、华盛顿州参议员玛丽亚-坎特韦尔（Maria Cantwell）并没有签署ADPPA。尽管众议院商务委员会主席弗兰克-帕隆议员（D.N.J.）的观点是值得注意的，并将使该法案在众议院得到两党的支持，但没有坎特维尔（或其他参议院民主党人）的支持意味着该法案在参议院还没有得到两党的支持。

而且，如果国会两院没有达成两党协议，该立法将无法向前推进。如果要在消费者联邦隐私法方面取得进展，重要的是审查那些最难达成妥协的关键问题。

一、ADPPA的 "忠诚义务”

首先看第一篇中法案草案的主要条款--"忠诚义务"--第101条首先详细说明了对数据最小化的要求。一般来说，这些要求覆盖实体将其收集、处理和转让的内容限制在他们为提供或维持个人所要求的特定产品或服务而需要的 "合理必要、相称和有限 "的信息。

第102条涉及有关处理各类敏感信息的限制和禁止的数据实践。被禁止的处理活动包括收集、处理或转让社会安全号码、生物识别信息、未经同意的私密图像和遗传信息。转让个人的精确地理位置信息、密码、汇总的互联网搜索或浏览历史，或他们的 "身体活动信息"（来自智能手机或可穿戴设备）也受到限制。

第103条将重点转移到设计隐私上。

在这方面，ADPPA要求实施有关数据收集、处理和转移的 "合理的政策、做法和程序"。也就是说，这些政策必须 "考虑 "减轻与未成年人（17岁以下）有关的隐私风险，以及与实体的产品/服务的 "设计、开发和实施 "有关的隐私风险。然而，该法案为这些政策留下了灵活性，因为它们需要根据以下因素进行调整：实体的规模和其活动的复杂性、其处理的数据量和敏感性、其业务所涉及的个人/设备的数量，以及这种实施的成本。

此外，在法案颁布的一年内，联邦贸易委员会将负责发布指导意见，说明什么是相对于数据最小化准则而言的 "合理必要、相称和有限"，以及什么是其隐私设计原则的 "合理的政策、做法和程序"。

最后，ADPPA的这一标题还包括有关定价的限制。该部分禁止企业拒绝提供、收取不同的价格，或以个人同意放弃ADPPA所保障的隐私权为条件提供商品/服务。这条规则有两个例外：

(1) 价格或服务水平与个人提供的 "财务信息 "有关，这些信息对于启动、提供、开具账单或收取付款是必要的；以及

(2) 忠诚计划。

- 联邦法案中 "忠诚义务 "的模糊性

然而，ADPPA似乎是基于对 "忠诚义务 "一词的不同理解，与坎特维尔和夏威夷州参议员布莱恩-沙茨（Brian Schatz）提出的法案所使用的理解不同，在后者中，该词类似于医生或律师的信托责任，即不伤害向他们泄露个人信息的人。忠诚义务也与 "数据管理 "的原则密切相关。弗雷德-凯特这样描述这一概念。"如果你收集了我的数据，或使用了我的数据，那么出了问题，造成了伤害，你应该对此负责。"

在坎特韦尔的《消费者在线隐私权法案》第101条（也题为 "忠诚义务"）中，规定 "受保护的实体不得从事欺骗性的数据实践或有害的数据实践"。有害的数据实践被定义为 "以导致或可能导致......对个人的财务、身体或声誉的伤害，对个人的孤独或隐居或个人的私人事务或关注进行物理或其他攻击性侵扰，而这种侵扰对一个合理的人来说是冒犯的，[或]对个人的其他实质性伤害的方式处理或转移涵盖的数据。"

坎特韦尔法案中对防止伤害的关注与沙茨的《2021年数据保护法》中 "忠诚义务 "的含义密切相关，该法案包括三个不同的义务：谨慎、忠诚和保密。其忠诚义务禁止在线服务提供商以如下方式使用个人的识别数据：

对在线服务提供者有利而对终端用户不利。
将导致 "可合理预见的重大身体或财务损害"；或
将是 "出乎意料的，对一个合理的最终用户来说是非常令人反感的"。

与Cantwell和Schatz的法案中的忠诚义务不同。ADPPA中的忠诚义务包括对数据最小化、隐私设计和反价格歧视等要求。虽然这些要求可能会产生影响，但ADPPA的第一篇并没有明确规定公司有义务 "以公开其数据的人的最佳利益行事"，或禁止他们 "以与信任方的最佳利益相冲突的方式设计数字工具和处理数据"，这是学者Neil Richards和Woodrow Hartzog对隐私中忠诚义务概念的阐述。

此外，第102(a)条的 "忠诚义务 "似乎与第204(a)条关于敏感覆盖数据的同意规则相重复，后者禁止覆盖实体在未经个人肯定的明确同意下收集或处理敏感覆盖数据。敏感数据在草案中被定义为包括政府颁发的身份识别码；健康、财务、生物识别、基因和精确的地理位置信息；私人通信；登录凭证；与种族或性取向有关的信息；以及其他类别（例如，浏览历史）等。换句话说，第102(a)条和第204(a)条在围绕这些不同的敏感数据类型提出的要求方面似乎是重叠的。

因此，《ADPPA》草案中需要关注的一个实质性问题是立法者对 "忠诚义务 "应包含哪些内容存在分歧。忠诚义务，正如《ADPPA》所暗示的那样，是限制处理敏感个人信息、数据最小化和设计隐私的同义词吗？或者，如《消费者在线隐私权法案》和其他法案所假设的那样，它是一项原则，旨在防止数据控制者出于自身利益做出欺骗性的决定，或对他们收集、使用和重新使用其数据的个人带来伤害？

二、豁免权

ADPPA对州法律的优先权及其各种豁免的细节也有细微差别。广义上讲，它不优先于联邦隐私法，如《儿童在线隐私保护法》，但优先于州隐私法，如《加利福尼亚消费者隐私法》/《加利福尼亚隐私权利法》、《弗吉尼亚消费者数据保护法》、《科罗拉多隐私法》和其他法律。

对州法律的豁免有很多，包括伊利诺伊州的《生物识别信息隐私法》、任何 "仅规范面部识别 "的法律、CCPA关于数据泄露的私人诉讼权，以及州的不公平和欺骗性行为和做法法。William McGeveran教授将其描述为 "对现有规则的豁免障碍，但它将冻结未来大多数州的隐私立法"。

然而，ADPPA并不是第一个包含这样一个量身定做的豁免条款的联邦提案。例如，由肯尼迪州参议员杰里-莫兰（Jerry Moran）提出的2021年消费者数据隐私和安全法案也包含了一项豁免条款，该条款将保留州和地方关于数据泄露、学生隐私、健康信息、就业方面的信息以及反歧视和其他法律。

因此，ADPPA中最大的实质性的新豁免似乎是针对消费者保护法、面部识别法、伊利诺伊州的生物识别信息隐私法和遗传信息隐私法。

事实上，豁免的目标--以及行业推动豁免的动机--长期以来一直是各州消费者隐私法的新兴 "拼凑"，从加州到康涅狄格州都是如此。在CCPA通过之后，电子前沿基金会的Bennett Cyphers写道，在一项联邦法律中寻求豁免的运动正在寻求 "破坏全国各地在州一级的隐私方面取得的真正进展"。

从那时起，游说策略也发生了变化。隐私倡导者已经注意到行业的新 "隐私游戏"，即 "在国会犹豫不决时，在各州推动薄弱的隐私法案"。考虑到这一切，人们不应忘记，"大企业对隐私监管的支持掩盖了一个彻底放松监管的议程"，正如Chris Hoofnagle雄辩地论述的那样。

然而，即使有这些例外情况，ADPPA对州法律的豁免可能会抑制其在大多数民主党人中的支持。据报道，参议员Brian Schatz给众议院和参议院商务委员会发了一封信，说一个缺乏注意义务的联邦隐私法案 "绝对不应该排除各州采用消费者至上的在线隐私改革"。据《华盛顿邮报》报道，坎特维尔参议员表示同意，他说："沙茨参议员是对的--任何健全和全面的隐私法都必须保护消费者的个人数据，明确要求公司对这些数据的使用负责，并且必须以消费者的最佳利益行事。"

三、私人诉讼权和执行

在另一个有争议的问题上，《ADPPA》中的私人诉讼权是复杂的，难以落地。

第403节中概述的私人诉讼权将在颁布四年后生效，允许 "任何遭受可通过允许的救济解决的伤害的个人或个人的集体"在联邦法院提起民事诉讼。赔偿仅限于补偿性赔偿、禁令或宣告性救济以及法律费用。

然而，在提起诉讼之前，个人或集体将需要 "首先以书面形式通知委员会和个人居住地所在州的总检察长，概述他们希望开始民事诉讼"。然后，联邦贸易委员会和州检察长将作出决定（在60天内），并对个人或集体 "是否将独立寻求采取行动 "作出回应。如果个人或集体在这60天结束之前，或在联邦贸易委员会或州总检察长决定独立寻求民事诉讼之后，向企业发送 "任何要求支付金钱的书面通信"，则 "应被视为恶意发送，并应是非法的"。

此外，个人或集体如果向相关实体发送信件，声称有违法行为并要求支付金钱，必须包括具体的语言（"请访问联邦贸易委员会的网站，以了解您在此信中的权利"）以及委员会网页的超链接。如果信件不包括这种语言和超链接，个人或集体 "将丧失其权利"。

关于机构执法，《ADPPA》授权建立一个新的联邦贸易委员会的局，"在结构、规模、组织和权力上与委员会内现有的与消费者保护和竞争有关的局相当"，但除此之外没有像其他一些提案那样规定工作人员的数量或授权拨款。

然而，它确实授权联邦贸易委员会雇用 "足够的工作人员"，以履行第205节规定的职责，并建立一个 "青少年隐私和营销部门"，该部门的任务是处理该法案中规定的联邦贸易委员会在儿童和未成年人隐私方面的职责。

- 结语

有些人可能会把《美国数据隐私和保护法》的草案解读为在两个最有争议的问题上达成妥协的新的和令人鼓舞的证据：豁免权和私人诉讼权。

在上周五的一份声明中，坎特韦尔参议员暗示《ADPPA》"充满了执法漏洞"，并对私人诉讼权生效的四年等待期提出了特别质疑。关于豁免权，《ADPPA》也可能不是一个妥协，而是对以前的豁免权提案中已有的意图的澄清。

ADPPA的文本还显示了对隐私法中的核心概念的一些混淆，包括忠诚义务和照顾义务。进一步研究这些概念，同时试图解决对这些概念的分歧，对于包括这些概念的全面立法的推进是必要的。

ADPPA中还有许多额外的章节和要求--关于消费者的权利、隐私官员的任命和其他公司问责措施，关于透明度和隐私政策、个人数据所有权、关于敏感覆盖数据的同意、对儿童的保护和对目标广告的禁止、第三方收集实体、个人权利保护、数据安全要求、例外和统一退出机制的规定也都值得进一步研究和审查，总的来说要将ADPPA草案所产生的能量转化为有意义的立法结果，还需要艰苦的工作。

以下是《美国数据隐私和保护法》的全文：