跳转到主要内容

文章分类

The State of Consumer Data Privacy Laws in the US (And Why It Matters)

随着人们购买的东西越来越多地与互联网连接,Wirecutter的更多评论和建议包括详细介绍此类产品隐私和安全功能的冗长章节,从智能恒温器到健身跟踪器。随着这些设备收集的数据被出售、共享和黑客攻击,决定哪些风险是做出明智选择的必要部分。这些风险差异很大,部分原因是没有单一、全面的联邦法律规范大多数公司如何收集、存储或共享客户数据。

大多数支撑普通产品和服务的数据经济对购物者来说是看不见的。随着您的数据在无数第三方之间传递,不仅有更多的公司从您的数据中获利,而且您的数据有更多可能被泄露或破坏,从而造成真正的伤害。就在过去的一年里,我们看到一家新闻媒体使用假名应用程序数据,据称这些数据是从与约会应用程序Grindr相关的广告客户那里泄露出来的。我们了解到美国政府从祈祷应用程序购买位置数据。研究人员发现,阿片类成瘾治疗应用程序共享敏感数据。T-Mobile最近遭遇了一次数据泄露,影响了至少4000万人,其中一些人甚至从未拥有过T-Mobile帐户。

美国公民自由联盟(American Civil Liberties Union)第一修正案和消费者隐私高级法律顾问凯特·鲁恩(Kate Ruane)说:“我们这些公司每天都在收集我们每个人的大量数据。”。Ruane还指出,数据最终如何被有意或无意地以令人惊讶的方式使用,例如在定向广告或基于种族调整利率时。“您的数据正在被获取,并以有害的方式使用。”

消费者数据隐私法可以赋予个人控制其数据的权利,但如果执行不力,这些法律也可能维持现状。“我们可以阻止它,”鲁恩继续说道。“我们可以创造一个更好的互联网,一个更美好的世界,更能保护隐私。”

当前的国家隐私法(没有)做什么

目前,隐私法是一堆杂乱的不同部门规则。“从历史上看,在美国,我们有一系列不同的联邦(和州)法律,”科罗拉多州法律学院硅扁铁中心执行主任阿米·斯捷帕诺维奇(Amie Stepanovich)说。斯捷潘诺维奇说:“(这些)要么关注特定类型的数据,如信用数据或健康信息,要么关注特定人群,如儿童,并在这些领域内进行监管。”

美国没有一项单一的法律涵盖所有类型数据的隐私。相反,它有一系列法律,这些法律的首字母缩写为HIPAA、FCRA、FERPA、GLBA、ECPA、COPPA和VPPA

人们每天使用的绝大多数产品收集的数据都不受监管。由于没有联邦隐私法监管许多公司,他们几乎可以自由地处理数据,除非一个州有自己的数据隐私法(详情见下文)。

  • 在大多数州,公司可以使用、共享或出售他们收集的关于您的任何数据,而不通知您他们正在这样做。
  • 如果您的数据被违反或暴露给未经授权的第三方,公司必须通知您的时间(或如果)没有国家法律标准化。
  • 如果公司与第三方(如数据代理)共享您的数据,包括您的健康或位置等敏感信息,这些第三方可以在不通知您的情况下进一步出售或共享。

大多数人认为他们受到了保护,直到他们没有受到保护,”独立研究员、前联邦贸易委员会首席技术专家阿什坎·索尔塔尼(Ashkan Soltani)说。“可悲的是,由于这个生态系统主要是隐藏在视线之外,不透明,消费者无法看到和理解信息流。”

欧洲全面的隐私法《通用数据保护条例》(GDPR)要求公司申请共享数据的某些许可,并赋予个人访问、删除或控制数据使用的权利。相比之下,美国没有一项涵盖所有类型数据隐私的单一法律。相反,它有一系列法律,这些法律的首字母缩写为HIPAA、FCRA、FERPA、GLBA、ECPA、COPPA和VPPA,旨在仅针对特殊(通常已过时)情况下的特定数据类型。

  • 《健康保险可携带性和责任法案》(HIPAA)与隐私无关,仅涵盖您与“受保实体”之间的通信,包括医生、医院、药房、保险公司和其他类似企业。人们倾向于认为HIPAA涵盖所有健康数据,但事实并非如此。例如,您的Fitbit数据不受保护,法律也没有限制谁可以要求您的新冠肺炎疫苗接种状态。
  • 公平信用报告法(FCRA)涵盖您的信用报告中的信息。它限制了谁可以查看信用报告,信用局可以收集什么,以及如何获取信息。
  • 《家庭教育权利和隐私法》(FERPA)详细说明了谁可以申请学生教育记录。这包括让家长、合格学生和其他学校有权检查学校保存的教育记录。
  • 《格拉姆-利奇-布莱利法案》(GLBA)要求消费金融产品,如贷款服务或投资咨询服务,解释它们如何共享数据,以及客户选择退出的权利。法律没有限制公司如何使用他们收集的数据,只要他们事先披露这种使用。它至少试图为某些个人数据的安全设置护栏。
  • 《电子通信隐私法》(ECPA)限制政府对电话和其他电子信号的窃听(尽管《美国爱国者法》重新定义了其中的大部分内容)。它还就雇主如何监控员工沟通制定了广泛的规则。批评者经常指出,1986年通过的ECPA已经过时。由于ECPA是在现代互联网出现之前编写的,因此它无法抵御现代监控策略,例如执法部门访问存储在服务器、云存储文档和搜索查询中的旧数据。
  • 儿童在线隐私保护规则(COPPA)对公司收集13岁以下儿童的数据施加了一定限制。
  • 《视频隐私保护法》(VPPA)禁止披露VHS租赁记录。这项法律现在听起来可能很傻,但它是在一名记者从最高法院提名人罗伯特·博克的视频租赁记录中提取出来的。不过,VPPA并没有反对流媒体公司。
  • 联邦贸易委员会法案(FTC法案)授权FTC追查违反其隐私政策的应用程序或网站。联邦贸易委员会还可以调查与隐私相关的违反营销语言的行为,正如它在对Zoom提出投诉时所做的那样,Zoom声称视频聊天是端到端加密的,以此欺骗用户。一些团体最近还呼吁联邦贸易委员会将这一权力扩大到滥用数据行为。

由于各种不同的法律,很容易看到人们对自己拥有和没有什么权利感到困惑。除此之外,除了这些联邦法律之外,还有一些州法律。

只有三个州有全面的数据隐私法

A map of the U.S.A. by states, color-coded by privacy laws, with colors varying from "none" to "introduced" to "signed".

目前,美国有三个州有三项不同的综合消费者隐私法:加利福尼亚州(CCPA及其修正案)、弗吉尼亚州(VCDPA)和科罗拉多州(ColoPA)。无论公司位于哪个州,法律规定的权利仅适用于居住在这些州的人。

“许多条款都是商业模式的肯定。[VCDPA]本质上允许大数据收集公司继续做他们一直在做的事情。”-美国公民自由联盟高级法律顾问Kate Ruane

这些法律有类似的规定,倾向于在控制您的数据时给予您某种类型的通知和选择。本质上,按照这些规定运营的公司必须告诉你它是否在出售你的数据;您还可以选择是否同意,并且您有权访问、删除、更正或移动您的数据。这些法律在其他方面略有不同,例如在允许的补救期(公司必须纠正错误的时间)、法律适用的企业规模或收入水平,以及您是否可以使用工具或“授权代理”进行选择退出请求(例如,您的web浏览器中的设置自动选择您退出网页上的数据销售,或其他人为您提出选择退出请求的服务)。

我们采访过的专家称,加州的隐私保护是美国最强的,因为该法规包括有限的“私人诉讼权”-即针对某些类型的数据泄露起诉公司的能力加利福尼亚州还要求“全局选择退出”,以将个人从设备或浏览器的数据共享中移除,而不是被迫在每个网站上单独退出。相反,我们采访的一些专家对弗吉尼亚州的消费者数据保护法案持怀疑态度。“我会认为(VCDPA)是一个相当脆弱的法案,”美国公民自由联盟的鲁恩说。“它基于选择退出同意。没有民事权利保护。没有私人诉讼权。许多条款都是商业模式确认。它本质上允许大数据收集公司继续做他们一直在做的事情。”考虑到弗吉尼亚州的法律是在亚马逊的大力支持下制定的,这一切都不应该太令人惊讶。

至少其他四个州,马萨诸塞州、纽约州、北卡罗莱纳州和宾夕法尼亚州目前在委员会中提出了严肃而全面的消费者数据隐私提案。其他州在早期阶段有不同的法律。跟踪所有这些提案的状态可能很困难,但国际隐私专业人士协会有一个跟踪系统,显示哪些州正在制定隐私立法,哪些州正在实施这些法案。根据Markup的研究,至少有14项提案与弗吉尼亚州较弱的法律相似。

与国家法律一样,州一级的法律也涵盖了数据隐私的各个方面。密苏里州有电子书隐私规则。伊利诺伊州生物特征信息隐私法(BIPA)赋予人们对其生物特征数据的隐私权,如指纹或面部扫描。当涉及到数据泄露通知时,尤其难以了解您的权利,因为至少有54种不同的法律因地区而异。

硅扁铁中心的阿米·斯捷帕诺维奇指出,这样的州法律仍然是有用的,即使它们可能会令人困惑。“你可以把它们看作是提高了水位,”她说,并补充说,当法律标准提高时,公司通常会选择“对每个人都适用更严格、更具保护性的标准”。

还有一个风险是,太多的州法律可能会导致混乱,无论是对公司还是对消费者都是如此。隐私律师和数据保护官员惠特尼·梅里尔(Whitney Merrill)表示,联邦法律将使每个人的事情变得更容易。“我们需要一部联邦法律,以更加一致的方式思考问题,”美林说,“以确保消费者理解并对其数据中的权利抱有正确的期望。”

隐私专家认为,四个领域应该得到基本保护

与我们交谈的每个人都将潜在的消费者数据隐私法描述为“底线”,在未来随着新技术的涌现,有可能在这一基础上进一步完善。该层通常包括几个基本保护:

  • 数据收集和共享权利:法律应赋予人们查看不同公司收集的数据的权利,要求公司删除他们收集的任何数据,以及从一项服务轻松地将数据转移到另一项服务的权利。这还包括告诉公司不要向第三方出售(或共享)您的数据的权利。为了了解这种监管在实践中是如何运作的,我们研究了在加利福尼亚州根据CCPA请求信息的情况,CCPA往往要求您在与之互动的每个网站上至少点击一个表单(对于某些第三方,您甚至可能不知道存在)。
  • 选择加入同意:公司应询问您是否可以向第三方共享或出售您的数据。您不必花费数小时选择不通过您使用的每一项服务收集您的私人数据。
  • 数据最小化:公司应该只收集提供您使用的服务所需的数据。
  • 无歧视和无数据使用歧视:公司不应歧视行使隐私权的人;例如,公司不能向保护隐私的人收取更多费用,公司也不能向放弃更多数据的客户提供折扣。该条例还应包括对公民权利保护的澄清,例如防止广告商歧视某些特征。

美林还希望看到一部更全面的数据泄露通知法,或许是一部独立法案。“我认为这是一件很容易通过的事情,”她说。“谁会收到通知?共同标准是什么?让我们简单一点,让每个人都在同一页上。”

“特别是在那些不允许私人权利(起诉)的州,这样也会为公共执法提供资金不足,这只是一种侮辱和伤害。”-海利·茨卡山,电子前沿基金会立法活动家

没有执行机制,监管就没有多大意义。说客们也对“私人诉讼权”提出了质疑,即允许个人以侵犯隐私为由起诉公司。加利福尼亚州法律对与数据泄露相关的疏忽有有限的私人诉讼权。科罗拉多州和弗吉尼亚州的法律甚至没有这样的规定。包括康涅狄格州、佛罗里达州、俄克拉荷马州和华盛顿州在内的几项法案未能成为法律,因为它们包含了私人诉讼权。2021年初,北达科他州的立法者提出了一项法案,其中包括私人行动权和选择加入同意,作为回应,一组广告公司(PDF)声称:“这种做法将创造美国最严格的隐私法。”该法案在州议会失败。

电子前沿基金会(Electronic Frontier Foundation)的立法活动家海利·茨卡山(Hayley Tsukayama)直截了当地描述了这种情况。“我们希望在隐私立法中看到充分的私人诉讼权,”她说。“我们只是认为,如果一家公司侵犯了你的隐私,你应该能够起诉他们。”

斯捷帕诺维奇说:“从历史上看,边缘化社区一直无法依靠公共机构来维护自己的权利。”。“因此,为黑人社区和其他非白人社区提供私人诉讼权,可以确保他们在出现问题时能够行使自己的权利或诉诸法庭。”

相反,索尔塔尼看到了一条没有私人诉讼权的前进道路:“我认为强制执行是一个非常重要的方面。如果有足够的强制执行法律保护和监管资源,我不认为放弃私人诉讼权是破坏交易的行为。”

这些资源很重要。Tsukayama说:“特别是在那些不允许私人(诉讼)权利的州,这样也会为公共执法提供资金不足,这只是对伤害的侮辱。”。加州为此成立了一个名为“加州隐私保护局”的执法小组,每年将获得1000万美元的资金。维吉尼亚州总检察长办公室负责执法,提供40万美元资金,并辅以罚款和处罚

向执法机构投入资金或要求公司适应新规则也需要人来做这项工作,而这些人并不总是随时可用。“我对州法律的一个担忧是,需要学习的东西越来越多,”梅里尔指出,“我担心隐私社区的工作倦怠,因为这是不可能的,而且风险太高。”

代表包括亚马逊、Facebook和谷歌在内的几家大型科技公司的行业组织互联网协会(Internet Association)向我们指出了一封致新泽西州立法机构的信和证词,该信和证词侧重于两点:同意和私人诉讼权。该协会正在推动目前的选择退出同意模式,以维持现状,在这种模式下,消费者必须不遗余力地获得法律规定的隐私保护。该协会还包括美国商会下属机构法律改革研究所(Institute for Legal Reform)的一篇论文,该研究所倡导商业友好型法律改革,声称私人诉讼会阻碍创新,耗费太多资金,并导致裁决不一致。

更严格的隐私法将如何改变您的日常体验

如果你曾经点击过那些烦人的“cookie”通知,或者在使用软件之前被迫滚动到隐私政策的末尾,那么你已经了解了这些法律是如何对你的日常体验产生有害影响的。

不必这样。斯捷帕诺维奇说,如果隐私法写得好,大多数人的生活就不会改变。“隐私不是不使用技术,而是能够参与社会,知道你的数据不会被滥用,或者你不会因此而受到伤害,”她说。如果做得好,像剑桥分析公司(Cambridge Analytica)或Grindr这样的丑闻所带来的后果可以最小化。而且你会看到更少的个性化广告和更多的上下文广告,这些广告可以说不那么令人毛骨悚然(阅读文章需要订阅)。

一部完善的数据隐私法将使您更容易购买许多您感兴趣的产品,而无需担心这样做的隐私问题。也许Wirecutter评论和指南不需要对跑步手表、智能秤或机器人吸尘器的隐私政策进行深入比较,因为它们都有隐私基线,以及清晰、易于理解的共享数据选择规则。如果一家公司搞砸了并滥用了这些隐私权,该公司将被追究改变的责任。

即使是最新的法律也忽略了所有其他数据问题,如算法透明度或政府对面部识别的使用

当前选择退出系统的一个关键点是通知疲劳。当每一个应用程序和网站都要求你获得几十个权限时,接受现状比手动退出每一项跟踪技术更容易。2015年《科学》(PDF)上的一篇评论文章强调了大多数人在应对隐私风险方面的表现有多差,2019年的一篇论文将人人都习惯的“通知和选择”同意描述为“一种隐私监管方法,承诺透明和代理,但两者都不能实现。”

与我们交谈的所有专家都倾向于选择同意模式和“默认隐私”概念。这样的安排将使账户最初成为私人账户,应用程序将没有任何权限。您可以选择这些设置。事实证明,除了起诉公司的权利外,选择加入同意也是隐私法中最难的一件事。取而代之的是,专家们正在推动使用浏览器扩展或其他自动退出的工具。

联邦贸易委员会前首席技术专家阿什坎·索尔塔尼(Ashkan Soltani)提出了一项全球隐私控制(GPC)技术解决方案,该方案提供了一种在浏览器或设备层面选择不出售数据的方法,这比在每个网站或每项服务上选择不出售的需要有所改进。GPC目前包含在少数浏览器中,并受到包括《纽约时报》在内的多家出版物的尊重。加州将更明确地要求企业在其“全球选择退出”规则于2023年生效后遵守GPC。

Amie Stepanovich指出,这些法律的影响甚至可能扭转许多人感到的“隐私已死”的绝望情绪。“你希望这种绝望感消失,让人们知道:你在做这项活动时受到了保护。”

倡导、提议和有时通过的基本隐私法不能也不会解决所有问题。考虑到目前存在的数据经济的复杂性,还有很多事情可以做,也可以说应该做。即使是最新的法律也忽略了所有其他数据问题,如算法透明度或政府对面部识别的使用。有几部国家隐私法处于不同的立法阶段,但没有一部在短期内有可能通过。

但新的法律至少可以鼓励减少对隐私不利的产品和服务,并且可以针对最有害的数据挖掘类型提供基本保护(和强制执行),并为未来更多的隐私保护奠定基础。在最好的情况下,数据隐私法可以让你购买具有有趣新功能的最新产品,而不必担心该公司收集的数据比你意识到的要多,并将其出售给你从未听说过的公司,供广告商向你推销。

来源

  • 1.Whitney Merrill,隐私律师和数据保护官员,电话采访,2021 7月26日
  • 2.Ashkan Soltani,独立研究员,联邦贸易委员会前首席技术专家,电话采访,2021 7月21日
  • 3.Kate Ruane,美国公民自由联盟第一修正案和消费者隐私高级立法顾问,电话采访,2021 7月21日
  • 4.Amie Stepanovich,科罗拉多州法律硅扁铁中心执行董事,电话采访,2021 7月15日
  • 5.Hayley Tsukayama,电子前沿基金会立法活动家,电话采访,2021 7月14日

本文:https://cioctocdo.com/state-consumer-data-privacy-laws-us-and-why-it-ma…

文章链接