【美国隐私保护】评估美国隐私法现状

执行摘要

• 在缺乏联邦数据隐私框架的情况下，许多州出台或通过了针对各州的立法，通常采纳了欧盟严格的《通用数据保护条例》（GDPR）的理念。
• 这些不同的州法律，加上特定行业的联邦法规，为美国企业创造了一个复杂而昂贵的环境，增加了初创公司和小公司的进入壁垒，却没有为消费者带来切实的利益。
• 随着国会开始制定国家数据隐私框架，它应该仔细考虑效仿GDPR等过于繁重的立法对美国企业的影响，GDPR已经对欧洲技术创新产生了寒蝉效应，并推高了美国企业的监管成本。

简介：

美国缺乏国家数据隐私框架，这促使各州制定了自己的数据隐私法。这些不同的州法律，加上特定行业的联邦法规，为美国企业创造了一个成本高昂且复杂的监管拼凑。

由于没有全面的联邦数据隐私保护，五个州通过了自己独特的隐私立法版本，其中许多部分基于欧盟《通用数据保护条例》（GDPR）中的原则。自2018年颁布以来，GDPR一直被认为是“世界上最严厉的隐私和安全法”。事实上，这项法律对创新和竞争产生了寒蝉效应，尤其是因为它可能会被处以高达公司全球收入4%的罚款，合规成本不断上升。随着各州以拼凑的方式将《通用数据保护条例》的原则纳入自己的法律，企业在试图应对日益增多的州法律以及监管领域中存在的不同且往往相互冲突的条款时，面临着巨大的合规成本。

随着国会制定一项全面的隐私法，它应该注意到欧盟《通用数据保护条例》对欧洲公司和效仿欧洲的国家的负面影响，也许应该选择更轻松的方式。

其中一项立法可以提供一种更为慎重的方法，那就是之前推出的《美国数据隐私和保护法案》，这是两党妥协的产物，该法案试图在保护用户在线隐私和追究企业责任之间取得平衡，而不会让企业负担过重。

美国联邦隐私立法现状

在过去的50年里，美国实施了许多针对特定行业的法律，以规范敏感信息的收集和处理。这些法规针对广泛的基本部门，包括医疗保健、信用报告、教育和金融服务。美国还实施了《儿童在线隐私保护法》，该法限制在未经父母同意的情况下收集13岁以下儿童的数据。虽然这些法律为特定行业的数据提供了保护，但隐私倡导者认为，消费者的在线数据存在重大差距，应通过全面立法加以解决。关键数据存在这些差距：手机位置、基因组、社交媒体和网络浏览目前尚未涵盖。

国会在过去几届会议上一直致力于隐私立法，但各种提案都没有达到要求。最有希望的努力出现在2022年的《美国数据和隐私保护法》中，这是双方妥协的产物。

国家分裂与GDPR的影响

在缺乏联邦全面隐私法的情况下，一些州实施了自己的隐私法，其中许多州将GDPR的部分内容作为范本。《加利福尼亚州消费者隐私法》、《弗吉尼亚州消费者数据保护法》以及其他州提出的法案与《通用数据保护条例》有几个相似之处，例如对违法行为提起诉讼的私人诉讼权，以及包括删除权、知情权和透明度义务等消费者权利。美国行动论坛此前的工作分析了GDPR的具体条款及其对商业和创新的负面影响。GDPR继续对全球商业产生长期影响；61个国家的受监管公司的利润下降了8%，销售额下降了2%。随着各州将类似GDPR的条款纳入各州的具体立法，这些成本将继续增长，损害美国科技行业的增长和创新。

此外，各州法律之间的微小差异也会推高合规成本。具体而言，各州对“个人数据”和执法政策等术语的定义存在差异，这会造成监管的不确定性，从而增加企业的成本。信息技术与创新基金会最近的一项研究发现，“与数据隐私法相关的成本对小企业产生了不利影响，通常比大企业更大”，在10年内高达2000亿美元。在接下来的三年里，还有五个州的数据保护立法将生效，另外九个州目前正在审议法案。

更好的美国模式

两党一致认为，美国需要全面的隐私立法来保护美国人的网络，但在立法内容上存在重大政策分歧。国会面临的挑战是制定一个避免欧洲反竞争影响的美国框架。虽然第118届国会尚未提出全面的立法，但两党议员都将其列为优先事项。在第117届国会中，能源和商业委员会（53-2）通过了《美国数据隐私保护法案》，但从未获得众议院的全体投票。

ADPPA是两党围绕关键问题达成妥协的产物。关于实施优先购买权的协议——允许联邦法律取代类似性质的州法律的条款——将在全国范围内协调数据保护立法。该立法还包括私人诉讼权的驯服版本，允许个人起诉违反ADPPA政策的企业。值得注意的是，有三项关键政策可以减少法律诉讼的数量：45天的“治愈权”、强制仲裁协议，以及要求原告在起诉前通知州检察长。这些政策是对可能出现的无休止诉讼的潜在补救措施，同时也允许美国人追究企业侵犯其隐私权的责任。

ADPPA试图避免隐私制度可能给大大小小的企业带来的重大监管负担，并寻求平衡这些成本与国家隐私法将提供的消费者利益。随着立法者继续致力于隐私立法，GDPR提供了一个方便的灵感来源，尽管存在重大缺陷。具体而言，国会应该注意初创公司的负担，以及这些监管成本如何通过抑制新的市场进入者来伤害消费者，从而减少技术和数据驱动服务市场的竞争和创新。以消费者为中心的立法可以解决广大美国人对数据的担忧，同时也可以制定有分寸的妥协方案来解决对两党都很重要的问题。

结论

由于缺乏联邦数据隐私框架，多个州已经实施了自己版本的隐私立法，以配合一系列针对国家部门的法律。这一复杂的系统将继续使合规性变得既有挑战性又昂贵，尤其是对小企业来说。尽管一些立法者将欧盟的GDPR视为美国框架的典范，但研究表明，过于繁重的法律已经在损害欧洲的创新和竞争。相反，国会应该在ADPPA中制定的框架下工作，这将使消费者受益，并降低企业成本。