近来,美国众议院动力和商业委员会主席Cathy McMorris Rodgers和参议院商业、科学和运送委员会主席Maria Cantwell达成了一项协议——《美国隐私权法(草案)》(The American Privacy Rights Act,没有彻底成法,以下简称 APRA)可以初次颁发一切美国人数字隐私的基本权力,并拟定一项国家法令,规范公司怎么搜集、同享和运用美国人的在线数据。假如成功,该提案可以树立比美欧盟具有里程碑含义的隐私法——《通用数据维护法令》(GDPR)。
行将推出的新法案
依据法案草案,APRA将在美国创立一个新的以数据隐私为要点的共同法案。其宣称将答应美国人挑选退出定向广告,并最小化公司持有的个人数据。他们可以要求公司供给他们的数据拜访权限,进行更正或删去,并要求供给一个可下载的数据版别,以便他们可以将其搬运到竞争对手的服务供给商。公司无法在未经主体清晰赞同的情况下传递灵敏个人数据,而且被制止在用户挑选隐私偏好的页面上运用“暗方式”来耳濡目染地搬运他们行使新权力的注意力。
顾客将取得挑选退出公司在工作、住宅和教育等要害范畴对他们进行算法决议方案的权力。公司将不得不恪守更强壮的数据安全规范,以维护人们的数据——虽然履行人负有终究职责,但值得注意的是,收入低于4000万美元且不搜集很多数据的小企业将不受该法案条款的束缚。该法令将经过美国联邦交易委员会(FTC)履行,并答应受害者提起私家诉讼。
当然,这其间的许多权力现已对美国人敞开,但仅限于某些州。缺少全面的联邦数据隐私法导致州法令日益紊乱的凑集。例如,加利福尼亚州、科罗拉多州、康涅狄格州、犹他州和弗吉尼亚州都答应人们挑选退出定向广告,但只要加利福尼亚州有要求退出广告的清晰说法,并要求退出链接出现在服务的主页上。这仅仅是现已施行此类法令的州——在未来两年内,特拉华州、印第安纳州、爱荷华州、蒙大拿州、新罕布什尔州、新泽西州、俄勒冈州、田纳西州和德克萨斯州都将看到其本身对全面隐私法的解读收效。
除了在包含民权、顾客维护和合同在内的特定法令范畴,APRA将经过预先扫除一切州的隐私法来简直彻底共同这一范畴。这对科技公司来说是一件大事,由于这意味着可猜测性(GDPR在大约六年前收效时也为欧盟供给了相同的优点)。
但是,这对APRA在国会的远景来说也是一件大事。上一次这种类型的严重推进是2022年的《美国数据隐私和维护法案》(ADPPA),这也是Rodgers的著作,但由于Cantwell以为它没有预先扫除州法令,而且将给予美国人比加利福尼亚人更弱的维护,所以没了下文。因而新提案的支持者许诺它将比任何州法令都“更强”。
Rodgers和Cantwell表明:“这项两党两院制立法草案是咱们几十年来树立国家数据隐私和安全规范的最佳时机,该规范赋予人们操控其个人信息的权力……这项具有里程碑含义的立法代表了众议院和参议院多年来真挚尽力的总和。它在对经过国会推进全面数据隐私立法至关重要的问题上取得了有含义的平衡。美国人应该有权操控他们的数据,咱们期望咱们众议院和参议院的搭档能参加咱们,让这项立法签署成为法令。”
“这项具有里程碑含义的立法赋予美国人操控其信息去向和谁可以出售的权力,它经过制止他们在人们不知情和赞同的情况下盯梢、猜测和操作人们的盈余行为来操控大型科技公司,美国人十分想要这些权力。”Rodgers说,“我感谢我的搭档Cantwell以两党的办法与我协作拟定这项重要立法,并等待本月经过关于动力和商业的惯例指令来推进该法案。”
Cantwell以为:“联邦数据隐私法有必要做两件事:它有必要使隐私成为顾客的权力,而且有必要赋予顾客履行该权力的才能。”“与众议员McMorris Rodgers协作,咱们的法案便是这样做的。这项两党协议是美国人在信息时代应得的维护。”
逐步看齐欧盟
美国传统上对搜集和运用个人数据的公司采纳一种不干涉的情绪,将个人数据用于商业意图超过了数据隐私的重要性。哈佛大学肯尼迪学院讲师、暗码和隐私安全专家布鲁斯·施奈尔(Bruce Schneier)对数据隐私法案的经过表明欢迎,但一起以为这种全面的立法“不太可能”终究成法。“在美国,咱们不会经过亿万富翁不喜欢的法令。”报导称,施奈尔提到了脸书、谷歌和收买了交际媒体渠道X(原推特)的亿万富翁埃隆·马斯克,这些公司都依靠数据搜集作为其商业方式的一部分。
近年来,跟着数据走漏持续形成严重破坏,人们的心态有所改变,倾向于更好地维护个人,但潜在的文化差异将需求更多的时刻来消除,并使美国与欧盟的心态和法令愈加共同。
2018 年 5 月出台的GDPR为欧盟成员国的个人隐私维护设置了高门槛。GDPR作为一部全面的数据隐私法,适用于在欧盟成员国搜集、存储或持有归于欧盟居民的个人数据的安排。欧盟委员会将个人数据界说为与已辨认或可辨认的自然人(数据主体)相关的数据处理中触及的任何信息。在欧盟国家运营的安排,向欧盟公民出售产品或服务的安排,或监控数据主体行为的安排,都有必要恪守GDPR。
而美国立法与欧盟最显着的差异在于缺少一部适用于一切类型数据和一切美国公司的全面的数据隐私法。相反,美国法令采纳了更涣散的办法,对不同部分和不同类型的数据拟定了各种法规。
比方美国《健康稳妥带着和职责法案》(HIPAA),这项联邦法令经过规矩医疗服务供给者有必要怎么维护这些数据免遭诈骗和偷盗来维护灵敏的患者医疗信息。该法令还对安排怎么运用或发表受维护的健康信息做出了约束。《格拉姆-莱奇-比利雷法》(GLBA)则适用于金融组织,并规矩了维护顾客非公开个人信息的保密性和安全性的职责和规范。美国联邦交易委员会宣告2022年GLBA保证规矩的重要改变,详细说明晰金融组织需求采纳更多规范性的数据安全措施来维护客户数据。再比方《联邦信息安全管理法》(FISMA),这是联邦法令要求联邦组织拟定、记载和施行的一个供给信息安全的组织规模的方案,以保证联邦IT体系可以更好地预备和应对当今要挟联邦信息和信息体系的未经授权的拜访,运用和发表的网络应战。
当今的企业有必要应对杂乱的数据经济,越来越多的法规要求企业在搜集、存储和处理个人数据时十分慎重。与欧洲比较,美国数据隐私法的规模和力度存在显着距离,但跟着美国现行法令的修订和新法令的收效,局势持续产生改变。
科技媒体The Verge称,与TikTok法案不同,数据隐私法案未点名详细的公司,但对“数据经纪人”(即生意个人信息的第三方实体)经过出售、租借、转让等方式向所谓“外国对手”供给美国公民“个人灵敏数据”的才能施加了广泛的约束,并赋予FTC履行该立法的权力。
结语
实际上,皮尤研究中心的民调一向显现,绝大多数美国成年人期望对顾客数据进行更多监管,无论是民主党人仍是共和党人。大型科技公司也一向巴望树立一个恰当的联邦隐私法令。曩昔几年,Meta的马克·扎克伯格、微软的萨提亚·纳德拉和苹果的蒂姆·库克都呼吁拟定某种方式的“美国GDPR”。微软的隐私主管朱莉·布里尔对APRA提案供给了该职业的第一个反响。“美国早就应该学习国际其他国家,树立全面的隐私立法。”布里尔(前FTC专员)在X上发帖说,并为Cantwell和Rodgers点赞。
即使每个人都期望有一个可猜测的、协调共同的监管环境,不过,并不是每个人都期望美国顾客取得全面的欧盟级隐私权力,约束公司怎么处理他们持有的个人数据,特别是跟着人工智能的迸发,使这些资源比以往任何时候都更有价值。