x

《美国隐私权法案》可能会削弱各州的隐私努力

cioctocdo
17 April 2024
SEO Title
The American Privacy Rights Act could undercut state privacy efforts

文章分类

虽然一些隐私专家对拟议的联邦数据隐私法感到高兴,但其他人表示,该法与州法规的冲突可能弊大于利。

上周,联邦立法者公布了《美国隐私权法案》的初稿,该法案旨在为国家数据隐私保护立法。除了为美国人建立数据隐私权框架外,它还承诺消除在没有联邦授权的情况下通过的拼凑的州数据隐私法。

尽管一些数据隐私专家一再呼吁制定一项联邦法律来规范在线数据代理的做法,但一些人表示,取消拼凑的州隐私法可能弊大于利。

《2024年美国隐私权法案》(简称APRA)是2021年出台的《美国数据隐私和保护法案》(ADPPA)的继任者。新法案由华盛顿州民主党参议院商业委员会主席Maria Cantwell和华盛顿州共和党众议院能源和商业委员会主席Cathy McMorris Rodgers提出。


最新的提案是在ADPPA未能退出委员会之后提出的。国际隐私专业人士协会董事总经理Cobun Zweifel Keegan表示,立法的失败在数据隐私界造成了一些悲观情绪,认为有希望制定一项联邦法律。但是,随着两党和两院制的澳大利亚审慎监管局,Zweifel Keegan说,华盛顿的情绪可能正在改变。

他说:“总的来说,考虑到这背后的政治意愿,特别是两个委员会的主席都完全同意目前的草案,并已就这一问题进行了谈判,这一想法的温度正在升温。”。“因此,这可能意味着有一条通往通道的道路。要实现这一点,将有很多移动部件。”

对于数据收集,澳大利亚审慎监管局将一种称为数据最小化的做法作为其标准,即只收集完成某项任务所需的尽可能多的数据。未来隐私论坛美国立法团队主任Keir Lamont称,增加数据最小化标准是澳大利亚审慎监管局的“主要创新和最强属性”

拉蒙特将拟议的立法与失败的ADPPA进行了比较,他说:“这种方法试图淡化、选择加入或选择退出的权利,即个人同意,而是对可以收集的数据以及相关实体如何使用这些数据进行限制。”。

澳大利亚审慎监管局的其他关键补充包括选择退出“重大决策”自动化决策的权利,更强有力的私人行动权——个人对违法组织提起法律诉讼的权利——以及扩大“敏感数据”的定义,将跨站点跟踪数据和社交媒体跟踪数据包括在内,广告业在定向广告中严重依赖这两种数据。

但是,尽管《美国隐私权法案》为消费者提供了广泛的保护,但它并不涵盖联邦、州、部落、地区或地方政府实体的数据收集。

取消州级保护


尽管华盛顿受到了积极的欢迎,但一些隐私专家预计,澳大利亚审慎监管局的广泛权威及其包含的私人诉讼权将优先于或使许多州的隐私法失效。

Zweifel Keegan表示:“这项(法律)将取消对消费者的大部分州级保护。但它也试图取消和保留一些部门保护,包括与员工数据相关的保护和一些加强的生物识别保护。”他指出了《伊利诺伊州生物识别信息隐私法》和华盛顿的《我的健康我的数据法》等法律。

拉蒙特表示,拥有无数的州级保护令人困惑,像澳大利亚审慎监管局这样的联邦法律可以避免复杂化——为寻求理解和行使权利的个人和试图建立国家合规计划的组织制定的法律拼凑而成。根据IAPP的数据,截至本周,15个州至少有一项数据隐私法,而且在某种程度上都是独一无二的。

如果没有一个单一的消费者隐私联邦标准,一些研究表明,州隐私法在很大程度上是无效的。2月份发布的一份评估州数据隐私法的报告发现,大多数州都没有有效保护消费者的数据隐私,因为它们缺乏“数据最小化”义务。报告还指出,州隐私法通常缺乏私人行动权,专家认为这是阻止公司违反规定的最有效方法。

但澳大利亚审慎监管局的出台并没有阻止各州的努力。马里兰州立法者本周通过了一项数据隐私法案,其中强烈禁止出售敏感数据,并提出与澳大利亚审慎监管局类似的数据最小化要求。

尽管澳大利亚审慎监管局可能会使一些州的法律无效,但它仍将赋予各州及其指定的执法机构执行任何州或联邦数据隐私法的权力。

百搭的优点


国际法律与经济中心主席兼创始人杰弗里·曼恩表示,法律多样性有好处。在美国企业研究所上个月发表的一篇论文中,他建议通过联邦“法律选择”法规来保护这种多样性。

如果将“法律选择”法规添加到澳大利亚审慎监管局,将允许各州保留其隐私法,并防止联邦法律先发制人。企业可以选择必须遵守哪个州的隐私法。

该论文的作者、国际法律与经济中心创始人杰弗里·曼恩告诉StateScoop:“这一想法在很大程度上是以州公司法为蓝本的,在该法中,公司选择将要成立的州,其内部治理受该州法律管辖,无论其在全国各地的何处开展业务。”。
Manne说,该法规的另一个好处是,它鼓励各州在隐私法规方面的竞争,以及企业在隐私实践方面的竞争。这也将允许更具针对性的隐私法,如伊利诺伊州的BIPA或华盛顿州的《我的健康我的数据法案》,使在某些州的运营对所涵盖的企业更有吸引力。
曼恩表示,他不赞成取消各州监管数据隐私的努力,但他对联邦隐私法不够灵活,无法满足各州的不同需求持怀疑态度。
曼恩说:“无论是所有消费者还是所有企业,都没有同样的隐私风险和偏好。”。“实际上,很难制定出最适合3.3亿人的规则。所有法律都是如此。相反,你最终可能会有很多不同的、更具针对性的隐私制度,以及公司将其需求与所提供的隐私制度相匹配的机会。”