立法背景
2024 年 4 月 7 日,美国众议员凯茜·罗杰斯和美国参议员玛丽亚·坎特韦尔共同公布了《2024 年美国隐私权法案》(American Privacy Rights Act, APRA)。罗杰斯和坎特维尔表示:“这项两党两院制立法草案是我们几十年来建立国家数据隐私和安全标准的最佳机会,该标准赋予人们控制其个人信息的权利。”罗杰斯表示,这项具有里程碑意义的立法赋予美国公民控制其信息去向和谁可以出售的权利,它通过禁止公司在人们不知情和未同意的情况下跟踪、预测和操纵人们的盈利行为来控制大型科技公司。
该法案将建立美国全国范围的用户数据隐私权,并制定数据安全标准。此前,欧盟颁布的 GDPR 法案在全球范围内有重大影响,而美国作为世界科技巨头当然不能接受 GDPR 一家独大,因此急需出台一部与其旗鼓相当的隐私保护法案,并进一步将其推向全球,确立更符合美国利益的隐私保护体系。特朗普的技术、电信和网络政策特别助理 Gail Slater 曾表示,美国政府将制定一部能抗衡 GDPR 的法律,以超越 GDPR,成为隐私保护的全球性标准。
该法案还要求受监管的实体在使用用户数据时保持透明,并给予用户访问、纠正、删除和导出数据的权利,以及选择退出定向广告和数据传输的权利。该法案将制定数据最小化标准,要求公司仅出于必要和有限的事由收集和使用数据,并禁止在未经用户明确同意的情况下向第三方转让敏感数据和生物信息。该法案消除了各州综合数据隐私法的拼凑现状,建立了基本且统一的国家数据隐私权。法案还禁止利用受监管数据对用户进行歧视,并赋予用户选择退出使用算法进行重大决策的权利。联邦贸易委员会(FTC)、各州检察长都可以对违反该法案的行为进行执法,并赋予了个人诉讼权。可点击”2022年美国数据隐私和保护法“获取详情。
在大家关注这个“新法规”同时,需留意它实际上是对 2022 年草案的修订版。因此,我们对 APRA 的背景信息和内容解读该考虑到原始草案以及现版 APRA 对其的修改。在 2022 年草案中曾明确指出要严防隐私数据被传输给中国、俄罗斯等国家,正式法案中修改为对手国家,这说明 APRA 法案的一项重要目的是建立美国国内数据安全和保护机制,减少美国在国际竞争中的数据泄露,维护国家数据安全。
与 2022 年《数据隐私和保护法草案》对比
总体来看,APRA 法案相较于 2022 年草案并没有太多实质性修改,而是在体系设计上有了较大变动,APRA 法案放弃了章节式划分,而将联系更紧密的定义和相关规定组合在一起形成小节。用户权利和实体义务是相辅相成的,按草案的章节划分,对实体的忠诚义务(duty of loyalty)规定得十分浅薄,但修订后的 APRA 法案将忠诚义务拆分并融入每一小节,在相应的用户权利下同时规定实体的义务,相对丰富了义务内涵,完成了法案的清晰化、精简化、逻辑化。
从内容上看,法案总体上按照实体义务、用户权利和监管执法的顺序编纂,新增了“干涉用户权利”“禁止报复”等实体的隐私保护义务,“决策性算法的退出机制”等用户隐私权利,以及“隐私增强技术试点计划”等政府隐私保护措施。此外,新法案还在具体的小节中补充了一些例外性规定和解释性规定,弥补了先前内容和逻辑上的漏洞。本文也将在新增及变更的内容前以【新增】【变更】的字眼对其进行标记,突出重点。
基础定义
APRA 法案是为了保护企业或组织提供商品和服务时产生的存储于线上或线下的隐私数据而发布,其中涉及到许多与隐私保护相关的基础概念,需要厘清其定义以理解 APRA 法案。
1.实体:具有任何收集、处理、保留或传输受监管数据的事由和方式并受《联邦贸易委员会法》监管的实体,包括普通运营商和某些非营利组织。但小型企业、政府、代表政府工作的实体、全国失踪和受剥削儿童中心(NCMEC)以及(除数据安全义务外)打击欺诈的非营利组织被排除在外。(文中的受监管实体、相关实体意义相同)
小型企业是指 3 年内的年均总收入不超过 4000 万美元;平均每年收集、处理、保留或传输的个人数据不超过 20 万条(不包括信用卡刷卡和其他临时数据);且不从向第三方转让的数据中获取收入。小企业不受本法案的要求约束。
2.数据:本法所称的数据是指可单独或结合其他信息识别或关联或可合理关联到个人或设备的信息,该设备可识别或关联到一个或多个个人。
例外:本法所称的数据不包括去标识化数据、员工数据、公开信息、从多个来源的公开可用信息中得出的不符合个人敏感数据定义且未与本法所称数据结合的信息,以及受特定限制的图书馆、档案馆或博物馆馆藏中的信息。(文中的受监管数据、相关数据、数据等意义相同。)
3.设备上数据:仅限于存储在个人单独控制下的,未被相关实体或服务提供商处理或传输的数据。
4.公开可用信息:依法向公众公开的信息。不包括揭示敏感数据的衍生数据、生物特征或遗传信息、与公开可用信息结合的数据或淫秽或未经同意的私密图像。
5.敏感数据:包括政府标识符;健康信息;生物特征信息;遗传信息;金融账户和支付数据;精确的地理位置信息;登录凭证;私人通信;暴露个人性行为的信息;日历或通讯簿数据、通话记录、私人使用的照片和录音;展示个人裸露或私密部位的任何媒介;视频节目观看信息;以违反合理预期的方式呈现对个人种族、民族、国籍、宗教或性别类信息;跨第三方网站或高影响力社交媒体网站上的在线活动记录;未成年人信息;以及联邦贸易委员会(FTC)通过法规定义为敏感数据的其他数据。
6.大型数据持有者:受监管实体,年收入达到或超过 2.5 亿美元;收集、处理、保留或传输超过 500 万名个人(或 1500 万台可携带设备或 3500 万台与个人关联的联网设备)的受监管数据或超过 20 万名个人(或 30 万台可携带设备或 70 万台联网设备)的敏感数据。
例外:上述实体或服务提供商不因仅仅收集、处理、保留或转让以下数据而被视为大型数据持有者:个人邮寄地址或电子邮件地址、个人电话号码、允许个人或设备登录到相关实体管理的账户信息或因销售商品而获得的必要移动支付信息。
年度总收入:是指相关实体或服务提供商以任何形式从所有来源获得的不扣除任何成本或费用的总收入,也包括捐款、礼品、赠款、会费或其他摊款、投资收入以及出售不动产或个人财产的收益。
7.实质性隐私损害:不少于 10,000 美元的经济损失或受到了精神损害、身体伤害、隐私严重侵犯或基于种族、肤色、宗教、民族血统、性别或残疾等歧视。
8.定向广告:根据与唯一标识符识别的个人或设备相关的已知或预见的偏好或兴趣显示在线广告。定向广告不包括对个人的特定信息请求的广告、第一方广告、上下文广告或用于决策的处理数据。
9.暗黑模式:指用户界面的设计或操作具有颠覆或损害用户自主权、决策权或选择权的实质性效果。
10.健康信息:描述或揭示个人过去、现在或将来的身体健康、精神健康、残疾、诊断信息或健康状况或治疗经历的信息,包括这些治疗的精确地理位置信息。
APRA 的主要内容
一.数据最小化
1.实体提供产品或服务的事由的限制
APRA 法案对实体进行数据收集、处理、保留或转移的事由进行了严格的封闭性的规定。实体只能基于以下事由在必要、适度和有限的范围内提供特定产品或服务:
(1)保护数据安全,阻止垃圾邮件,诊断、调试和维修网络和系统;
(2)遵守未被 APRA 法案取代的联邦、州、地方或部落法律;
(3)为实体自身进行法律索赔;
(4)根据合法授权令、行政传票或其他的合法程序,将数据传输给联邦、州、地方或部落执法机构;
(5)根据州或联邦法律执行产品召回或保修;
(6)开展市场调研;
(7)将数据去标识化,比如为改进产品或服务而进行内部研究或分析,开展合法且公开的科学、历史或统计研究项目;
(8)在合并、收购、破产或类似交易中,将资产转让给第三方之前,实体需提前通知受影响的个人并提供相关信息,包括接收个人数据的其他实体名称和隐私政策,以及撤销同意和删除个人数据的机会;
(9)提供呼叫位置信息的电信运营商或移动服务、(非)互联 VoIP 服务;
(10)预防、侦查、防范调查或应对欺诈或骚扰行为,但不包括向政府出售相关数据;
(11)预防、检测、防范或应对正在发生或即将发生的网络安全或现实安全事件,包括入侵、医疗警报、火灾警报或访问控制;
(12)预防、检测、防范或应对迫在眉睫或正在发生的公共安全事件(如大规模伤亡事件、自然灾害或国家安全事件),但不包括向政府出售相关数据;
(13)预防、侦查、防范、调查或应对犯罪活动,但不包括向政府出售除健康信息外的数据;
(14)为个人处理第一方或上下文广告的相关数据,但不包括敏感数据和先前依法收集的数据;
(15)处理或转移没有退出定向广告服务的个人的用于提供定向广告的数据,但不包括敏感数据和先前依法收集的数据。
2.【新增】敏感数据和生物信息
APRA 法案在 2022 年草案的基础上新增了敏感数据和生物信息保护的额外规定。在符合“最小化必要原则”的前提下,任何的对敏感数据或生物信息的转移,还需要事前获得个人的明确同意。此外,法案将未成年人数据纳入敏感数据中,加强了对未成年人的隐私保护。
对于敏感数据的定义,加州隐私局提出了异议,其认为 APRA 法案应当将性取向和工会会员资格信息也纳入敏感信息范围。值得注意的是,欧盟的 GDPR 条例将性取向和工会会员资格信息规定为一般禁止处理的数据类型。
(1)个人明确同意:对于敏感信息,只有经个人明确同意才能转移。对于生物识别信息和遗传信息,存在无需个人同意的法定可转移例外,即上述的第 2、3、4、8、9、11、12 项事由;
(2)可撤回:个人应当可以轻松撤回这两类信息的转移同意;
(3)生物信息的保留期限:实体应当遵守生物信息的法定保留期限,即个人明确同意中确定的期限或实体与个人最后一次互动后的 3 年中更靠前的期限。
二.政策的透明性
1.隐私政策的内容
APRA 法案要求实体和服务提供商以清晰、醒目、无误导性、易读和易获取的方式公开隐私政策,并详细准确地说明数据收集、处理、保留和传输活动。隐私政策必须包括法定责任人的身份和联系方式、数据的收集、处理和保留、服务提供商、第三方或数据经纪人的名称以及传输数据的事由、数据保留的时长,以及关于个人如何行使法律规定的隐私权利的说明。此外,政策还需包含实体数据安全措施的概述、隐私政策的生效日期以及数据是否被对手国家获取的信息。
2.隐私政策的访问和退出
隐私政策应考虑到残疾人的可访问性,使其易于理解和获取信息。
对于实质性变更或重大变更,实体应提前以清晰醒目的方式通知受影响个人,并提供选择退出服务的途径。对于选择退出的个人,实体应停止处理或传输其非必要的个人数据。此外,实体应采取一切合理的电子措施,直接以可用的每种语言通知受影响个人。
3.大型数据持有者的额外透明度要求
APRA 法案对大型数据持有者规定了比一般实体更严格的隐私政策透明度要求:
(1)大型数据持有者应当保存并公布 10 年间的隐私政策和重大变更日志;
(2)大型数据持有者应向用户发送简洁、清晰、醒目、不误导、可随时访问、披露个人权利、引人注意、不超过 500 字的通知。最低数据披露程度和通知模板由委员会发布指引。
三.实体应保障的用户权利
1.用户的个人数据控制权
(1)APRA 法案赋予用户对个人数据的控制权,包括访问、删除、更正和导出个人数据的权利。在用户请求行使这些权利之前,实体需验证请求人的身份,以确保请求人是数据的相关个人或其授权代表;
(2)频率和费用:个人在 12 个月内可免费行权 3 次,超过次数实体可向个人收取合理费用;
(3)【变更】时间:大型数据持有者或数据经纪人回复请求的期限从草案的 45 天变成了 15 天,非大型数据持有者的回复期限从草案的 60 天变成 30 天。考虑到个人请求的数量和复杂性,在合理情形下,实体的答复期限可以延长一次,但需要在首次答复期限内通知个人延长及原因;
(4)无障碍通道:实体必须确保残疾人和不同语言用户能正常访问和使用数据。
2.【变更】实体应当或可以拒绝个人行权请求的例外
APRA 法案将草案中的例外情况进行了调整,部分例外原因从可能的例外中转移到了必要的例外和解释性例外中,同时还新增了设备中数据的例外的规定。
(1)必要的例外——在下列情况下,实体应当拒绝或部分拒绝个人的请求:
a)无法通过验证;
b)行使权利需要查阅他人敏感数据;
c)行使权利涉及实体被颁发的搜查令、传票、诉讼保全通知等执行的数据;
d)违反实体的职业道德义务;
e)以欺诈为目的的请求;
f)以促进犯罪为目的的请求;
g)同意该请求会威胁数据安全。
(2)可能的例外——提供充分解释后,实体可以拒绝或部分拒绝个人的请求:
a)技术或费用原因导致的不可能实现,但请求数量大不属于技术不可能;
b)请求的内容是删除实体与个人之间合同履行的必要数据;
c)要求访问或出口实体的商业秘密;
d)阻止实体留存个人选择退出的保密记录;
e)涉及删除学校等教育机构正常运作的数据。
(3)解释规则——本节规定不要求实体:
a)保留一次性交易收集的数据;
b)重新识别已被识别的数据;
c)收集或保留将个人请求和请求下的相关数据相关联的任何数据。
(4)设备中数据的例外——请求涉及的数据完全是设备中的数据且个人可通过设备直接行权,此时实体可拒绝实体对该数据的访问、更正、删除权的请求。
3.用户的选择退出权
(1)用户有选择不接受数据传输的权利和选择退出定向广告的权利;
(2)【新增】APRA 法案相比于 2022 年草案,新增了用户集中同意和退出机制的规定:
a)确定退出偏好信号:用户界面友好、描述清晰、提供相关语言版本、保证残疾人无障碍使用、不与个人其他隐私设置冲突;
b)建立合理机制:使个人可选择性退出某实体而不影响其他实体的偏好设置;
c)中立的退出偏好设置:个人界面最多设置两个退出偏好信号选项,确保退出偏好设置的中立性。
4.【新增】后果性决策的选择退出(CONSEQUENTIAL DECISION OPT OUT)
从法条来看,APRA 法案新增了一项个人开启或关闭类似于国内“个性化推荐”功能的选择权。“后果性决策”是指使用的数据涉及影响用户以下方面的决定或要约,包括通过广告作出的决定或要约:一是个人或某类个人获得或平等享有住房、就业、教育机会、医疗保健、保险或信贷机会;二是使用或限制使用任何公共场所。提供这类数据的实体应当通知个人并让其选择是否使用该算法,同时尊重个人选择退出使用的权利。上述通知应当清晰、醒目、无误导性,确保内容明确、易懂,不引发误解,并提供有意义的信息,解释算法如何作出或促进相应决策,包括潜在的可能结果。通知应以实体使用的所有语言版本提供,并确保残疾人能够合理地了解通知内容。
5.禁止实体使用“暗黑模式”或对用户进行报复
APRA 法案在草案的基础上,新增了禁止实体采用“暗黑模式”分散用户对隐私政策、变更通知等内容的注意力的要求,阻止实体在提供服务时对用户进行诱导决断或妨碍行权。同时法案新增了实体在进行用户自愿的市场调研时可对其提供不同的服务和定价。
(1)【新增】禁止暗黑模式
相关实体禁止使用“暗黑模式”来分散个人对本法案要求的通知的注意力,妨碍个人行使本法案下的任何请求或退出权利,或直接获取、推断、引导个人同意在本法案下需个人自主同意的任何行动。
(2)个人自主权:相关实体不得通过使用任何虚假、虚构、欺诈或重大误导性陈述或表示来限制个人行使本法规定的权利。
(3)禁止通过服务或定价对用户进行报复
a)相关实体禁止通过拒绝提供产品或服务、对产品或服务收取不同的价格或费率或提供不同质量水平的产品或服务对行使本法权利的个人进行报复;
b)【新增】例外:非高影响力社交媒体公司或数据经纪人的相关实体可以向个人提供善意忠诚度计划或市场调研激励,且在必要时可拒绝提供产品或服务。
四.实体的数据安全和数据保护责任
APRA 法案要求相关实体采取数据安全措施,以保护数据的保密性、完整性、可访问性,并防止未经授权的访问。这些措施需要考虑以下因素:实体的规模和复杂程度、数据收集、处理、保留或传输的性质和范围,以及业务运营的变化;数据的数量、性质和敏感程度;以及保护数据的管理、技术和物理保障措施的先进性和局限性。
数据安全措施至少应包括以下系统操作:定期识别和评估内外部的漏洞并及时采取保护措施;采取预防和纠正措施以减少漏洞,并建立相应的评估机制;处理信息保留和处置问题,如销毁、永久删除或以其他方式修改法律要求删除的数据,确保数据不可恢复;对员工进行数据保护培训;建立数据安全事故的响应程序。
在内部管理责任方面,所有受监管实体必须指定一名或多名员工担任隐私或数据安全官。大型数据持有者需要指定一名隐私官和一名数据安全官,并向 FTC 提交年度指标报告。该报告包括访问请求数量、删除请求数量、个人选择拒绝数据传输的申请数量、个人要求退出定向广告的申请数量、大型数据持有者同意的请求数量,以及对个人请求作出实质性答复的平均天数。这些指标应每年在 7 月 1 日前公开披露在隐私政策或可公开访问的网站上。大型数据持有者还必须每两年进行一次隐私影响评估。
五.第三方特殊实体
1.服务提供商和第三方
(1)服务提供商责任
a)服务提供商必须遵守相关实体的指示并协助其履行 APRA 法案下的义务;
b)在知悉相关实体违反法案的情况下,服务提供商应停止数据实践;
c)转聘其他服务提供商代表实体处理或保留数据时,服务提供商必须选择得当并提供书面通知,且要根据合法的书面合同;
d)服务提供商必须维护受监管数据的安全性和机密性,并接受独立评估者的评估。
(2)服务提供商和其代表的实体之间的合同内容
a)合同应管理服务提供商代表实体进行的收集、处理、保留或传输数据的程序;
b)合同应明确规定收集、处理、保留和或传输数据的指令、性质和目的、数据类型、期限,以及双方的权利和义务;
c)合同禁止免除双方的法定义务;
d)合同应当禁止不法数据实践行为;
e)除法律规定外,合同应禁止服务提供商将数据与其从其他实体或服务提供商或个人处收集的数据混合。
(3)第三方责任
a)第三方只能处理、保留和传输从其他实体收到的第三方非敏感数据;或在个人明确同意转移敏感数据的情况下才能处理、保留或传输第三方敏感数据;
b)第三方进行尽职调查后,可以合理相信转让数据的实体对数据披露作出的符合期待的陈述,从而免除本法规定的隐私政策的义务。
(4)【新增】APRA 法案新增了两条解释性规则,规定了善意实体的违法性阻断情形。
a)连续违法行为(后行为人违法行为):
对于服务提供商或第三方的违法行为,在遵守要求且没有实际知悉或合理怀疑服务提供商或第三方有意违反本法的情况下,相关实体不会因将数据转移至服务提供商或第三方而被视为违反本法。如果实体实际知晓并有理由相信服务提供商或第三方将违反本法,应立即停止向其传输数据。
b)前行为人违法行为:
按照本法要求收集、处理、保留或传输数据的实体,不会因其接收数据或代表其收集、处理、保存或转移数据的实体违反本法而被视为违法。
(5)尽职调查:相关实体在选择服务提供商和决定将数据转移给第三方时必须进行尽职调查, FTC 将在两年内将发布尽职调查指导意见。
2.数据经纪人
【变更】APRA 将草案的第三方收集实体称为数据经纪人,但实质内容和草案没有区别。
(1)通知:数据经纪人应建立并维护一个可供公众访问的网站,在该网站和其他移动应用程序上放置清晰醒目的通知,并提供数据经纪人注册登记处网站的链接。
(2)禁止:数据经纪人禁止以跟踪骚扰、欺诈盗窃、歪曲行业的商业惯例为目的访问或传输数据。
(3)注册登记:每年影响 5000 名或以上个人的数据对数据经纪人,应在下一年的 1 月 31 日前注册登记,并在注册时向用户提供“请勿收集”机制。数据经纪人需向委员会缴纳 100 美元的注册费,并提供法定名称、主要地址、电子邮件地址、互联网地址、数据类型、联系人姓名、监控电话、监控电子邮件地址、网站和实际邮寄地址等信息。数据经纪人还需在网站附上链接,以方便个人行使权利。
(4)“请勿收集”机制:委员会将在公开网站上建立并维护一个可被搜索发现的登记册,登记数据经纪人的注册信息。该登记处允许公众搜索和识别数据经纪人,并包含机制让个人向非用户报告机构的注册数据经纪商提交请求,或在第三方收集实体不作为用户报告机构的情况下,提交"请勿收集"指令,以确保在未经个人明确同意的情况下,数据经纪商不再收集与该个人相关的数据,但数据经纪商作为服务提供商的情况除外。
收到“请勿收集”请求的数据经纪人应在收到请求后的 30 天内同意请求,除非数据经纪人实际知道该个人被判犯有与诱拐或性侵儿童有关的罪行,或收集的数据是进行全国性或州立性犯罪者登记或作为国会制定的非营利性国家资源中心和信息交流中心,为受害者、家庭、儿童服务专业人员和公众提供失踪和受侵害儿童相关援助所必要的数据。
(5)处罚:违反规定的数据经纪人将受到《联邦贸易委员会法案》第 5 编 subsections(l)和(m)的民事处罚。数据经纪人未按要求进行登记的,将被处以每天 100 美元的罚款,年罚款总额不超过 10,000 美元。未按规定提供通知的数据经纪人将被处以每天 100 美元的罚款,年罚款总额也不超过 10,000 美元。
六.【新增】隐私增强技术试点计划
APRA 法案相较于 2022 年草案,新增了一项最长可达十年的隐私增强技术试点计划,由实体自愿选择是否加入该计划,加入计划的实体将由 FTC 监管其执行,最后由政府机构对此计划进行研究和评估,形成计划实施情况报告,从而提出改进隐私权保护的新方案,推动隐私保护技术的快速发展。
1.隐私增强技术的定义:指在不危及信息隐私和安全的情况下提取信息价值的任何软件或硬件解决方案、加密算法或其他技术,包括具有类似同态加密、差分隐私、零知识证明、合成数据生成、联合学习和安全多方计算功能的技术。
2.一般情况下,委员会应在本法案颁布之日起 1 年内制定并实施一项试点计划,鼓励私营部门使用隐私增强技术,以推进本法的适用。
3.申请程序:想要参与试点计划的相关实体应当按照委员会要求的时间、形式和方法向委员会提交一份申请,证明该实体有能力使用隐私增强技术进行符合或超过本法要求的数据安全实践。
4.责任限制:任何参与试点计划的实体应当
(1)对于依据本法对违反数据安全的行为采取的任何行动,将被视为符合有关隐私增强技术的规定;
(2)对于被指控违反数据安全导致数据泄露的个人诉讼,有权获得可反驳的合规推定。
5.委员会应当持续审计参与试点计划的每个实体,以确定实体是否坚持使用和实施隐私增强技术,确保数据安全
(1)如果委员会在任何时候认定参与实体不再坚持使用隐私增强技术,委员会应当取消实体参与试点计划的资格和上述责任限制,并将该决定通知该实体;
(2)补救机会:实体在收到通知的 180 天内,可以进行补救,并应向委员会提交补救建议,如果委员会认为上述补救措施弥补了缺陷,就不能据此取消资格。
6.协调:实施试点计划时,委员会应当征求私人、公共和学术界利益相关者的意见,并与商务部长协商,发展公共和私营部门的持续参与,传播自愿的、基于共识的资源,以增加公共和私营部门在数据收集、共享和分析中对隐私增强技术的整合。
7.美国政府问责局的研究和报告:
(1)研究:美国总审计长(在本分节中称为"总审计长")应在本法颁布之日起 3 年内开展一项研究,以便评估试点计划的进展情况,评估委员会对隐私增强技术的使用情况,支持对实体数据安全做法的监督,提出改进和促进保护隐私权工作的建议,提出改善实体与委员会之间的沟通和协调的技术;
(2)初步简报:在本法颁布之日起一年内,总审计长应向参议院商业、科学和运输委员会以及众议院能源和商业委员会简报进行的研究的初步结果;
(3)最后报告:进行初步情况介绍后的 240 天内,总审计长应向参议院商业科学和运输委员会以及众议院能源和商业委员会提交一份最后报告,介绍研究的结果。
8.终止:委员会应在试点计划开始之日起 10 年内终止该计划。
法规分析
一.企业(本法所称实体)相对于 2022 年草案有哪些新增义务?
APRA 法案规定了企业在收集、处理、保留或转移数据时需要遵循严格且封闭性的事由,并要求在转移敏感信息和生物信息之前必须取得个人同意。特别值得注意的是,法规将未成年人的信息规定为敏感信息,不可在未获得其同意的情况下进行转移。APRA 法案将“适用未成年”年龄设定为 17 岁以下,这一规定较当前美国大多数企业对 13 岁以下儿童隐私合规的关注要更为严格。如果 APRA 法案生效,企业将需要扩大并调整这部分的合规方案。
APRA 法案要求企业为用户提供渠道,使其能够行使访问、删除、变更和导出信息等权利。此外,企业必须提供可选择性的退出机制,让用户能够行使退出涉及“后果性决策”算法的权利。企业不得使用“暗黑模式”干扰用户的权利,也不得对用户进行报复。
二.企业隐私合规:企业需要做些什么?
根据 APRA 法案的规定,企业需要公开隐私政策,并在发生重大变更时提前通知用户,以确保隐私政策的透明性。企业应建立数据安全风险预防和纠正机制,并定期对其进行评估和改进。此外,企业还必须设置隐私数据安全官,以确保数据处理过程的合规性。
大型数据持有者在隐私政策透明度、验证并配合用户行使权利、内部管理责任和提交指标报告等方面承担更严格的要求。这些要求包括发布过去 10 年的隐私政策和年度透明度报告,任命一名隐私官和一名数据安全官并进行指标报告。大型数据持有者还需要每两年进行一次审计和隐私影响评估;当人工智能对特定群体造成重大伤害风险时,应向 FTC 提交年度算法影响评估。此外,高影响力社交媒体、数据经纪人、服务商和第三方也有一些特别的义务需要遵守。
Kaamel 的应对
Kaamel 始终站在隐私保护的前沿,我们坚信通过技术驱动的方式帮助企业识别和解决隐私合规风险。
创新的 Kaamel AI 检测引擎 依托主流法规和监管判例,可以帮助企业快速、全面识别自身的隐私合规风险。Kaamel 也为企业提供全方位的隐私合规解决方案。助力企业在出海业务经营中更加有效地应对监管和用户需求,减轻隐私风险与合规隐患,在国际化市场建立隐私信任。