【美国隐私保护】美国隐私法展望：2024年的前景

在经历了多事之秋的2023年之后，我们预计最近的许多立法和执法趋势将持续下去，使2024年成为美国隐私法发展中同样具有影响力的一年。这些趋势包括但不限于，基于《弗吉尼亚州消费者数据保护法》（VCDPA）的全面州隐私法的激增，对从事敏感个人信息处理的企业的监管审查增加，搁置了通过一项全面的联邦隐私法的努力，并根据现有的部门隐私法加强了联邦隐私执法。

除了为即将到来的合规截止日期做准备外，企业还为新的立法以及州和联邦层面监管执法水平的提高做好准备。在这篇文章中，我们概述了最近的隐私趋势，并简要介绍了2024年的预期。

州活动

立法活动

截至2024年1月30日，美国已有14个州颁布了全面的州级隐私法。在这十四项法律中，有五项目前有效：加利福尼亚州、康涅狄格州、科罗拉多州、弗吉尼亚州和犹他州。蒙大拿州、俄勒冈州和得克萨斯州的法律将于2024年生效；新泽西州、田纳西州、爱荷华州、印第安纳州和特拉华州的法律将于2025年生效；印第安纳州将于2026年生效。随着这一趋势在州一级的立法势头似乎越来越大，预计会有更多的州通过法律。自2023年初以来，已有九个州颁布了隐私法，包括北卡罗来纳州在内的其他几个州也考虑了未来几年可能以类似形式重新提出的法案。

值得注意的州隐私法

今年生效的三项全面的州隐私法都是以VCDPA为基础的。

《德克萨斯州数据隐私和安全法案》（TDPSA）

TDPSA将于2024年7月1日生效，由德克萨斯州总检察长独家执行。值得注意的是，与科罗拉多州和康涅狄格州的隐私法不同，TDPSA包括一项不日落的治疗权。在短期内，企业必须对TDPSA的新范围界定方法和其他实质性要求进行评估，以确保在今年夏天的最后期限之前合规。

俄勒冈州消费者隐私法（OCPA）

OCPA于2023年7月18日签署成为法律，并于2024年7月1日生效。OCPA对个人数据的定义与其他州隐私法不同，因为它包括从俄勒冈州居民的个人数据“衍生”而来的数据。OCPA的另一个独特元素是法律对“敏感数据”的定义，它延伸到跨性别或非二元身份和受害者身份。OCPA的《Gramm-Leach-Bliley法案》（GLBA）和《健康保险便携性和责任法案》（HIPAA）豁免与《加州消费者隐私法》（CCPA）非常相似，因为它们仅对涵盖的数据而非涵盖的实体进行了狭义豁免。

蒙大拿州消费者数据隐私法案（MCDPA）

MCDPA于2023年5月19日签署成为法律，并于2024年10月1日生效。在将于今年生效的三项已颁布的州隐私法中，MCDPA最符合VCDPA模式。MCDPA确实包括治愈权；然而，这右边的日落时间是2026年4月1日。

除上述法律外，针对特定类型数据和/或数据主体的值得注意的非全面隐私法将于今年在佛罗里达州、华盛顿州和内华达州生效。

《华盛顿我的健康我的数据法案》（MHMDA）

MHMDA于2023年4月27日签署成为法律，并将于2024年3月31日生效。MHMDA的许多实质性要求与上述全面的州法律有些相似。例如，MHMDA要求企业提供数据主体权利，并提供有关其处理活动的某些披露。

MHMDA适用于“消费者健康数据”，它被定义为“与消费者链接或可合理链接的个人信息，用于识别消费者过去、现在或未来的身体或心理健康状况。”在实践中，该定义包括根据其他法律不被视为健康数据的数据属性。例如，在某些情况下，MHMDA对消费者健康数据的定义扩展到在线浏览历史数据和地理位置信息。在没有“既定必要性”的情况下，只有在消费者同意的情况下才能处理消费者健康数据。

MHMDA广泛适用于以下实体：

• （a）在华盛顿开展业务或提供针对华盛顿消费者的产品或服务；
• 以及（b）单独或与他人共同确定处理消费者健康数据的目的和手段。MHMDA包括对低于某些处理阈值的“小企业”延迟三个月执行。

根据华盛顿现行的《消费者保护法》（CPA），违反MHMDA的行为可能会被视为欺骗性和/或不公平行为。除了AG强制执行外，CPA还包括一项私人诉讼权，消费者有权通过该权利寻求禁令救济、实际损害赔偿和三倍损害赔偿（上限为25000美元）。虽然实质性要求值得注意，但MHMDA对消费者健康数据和私人诉讼权的广泛定义可能使其成为美国最具影响力的隐私法之一。

内华达州消费者健康数据隐私法

内华达州消费者健康数据隐私法以华盛顿的MHMDA为基础，将于当天生效。值得注意的是，《内华达州消费者健康数据隐私法》不包括私人权利诉讼。

佛罗里达数字权利法案（FDBR）

2024年7月1日，《佛罗里达数字权利法案》将生效。与上述全面的隐私法相比，该法律的范围有限，因为FDBR的许多要求仅适用于全球年收入超过10亿美元的企业。根据这项法律，相关企业将被要求为消费者提供选择不使用语音识别或面部识别功能收集数据的能力。FDBR还包括针对提供面向儿童的服务、游戏或产品的在线平台的具体要求。

现行国家隐私法的发展

今年将是《联合国气候变化框架公约》通过六周年，也是执行的第四年。尽管CCPA“年事已高”，但即将到来的生效日期、新的规则制定和不断增长的执法活动应该会让加州在2024年成为企业的首要考虑。

2024年3月29日，CCPA的最终规定将生效。这些法规执行《加利福尼亚州隐私权法案》（CPRA）的要求。与此同时，CCPA法定文本的修订章节和相应的2020年法规继续适用。上述最终法规将由加州隐私保护局（CPPA）发布的额外一波特定问题法规进行补充。

CPPA于2023年12月1日公布了最新一轮拟议法规。这些拟议法规中值得注意的发展包括：

• 移动隐私政策：拟议的法规要求在应用程序的设置页面上发布移动应用程序隐私政策。目前，在应用程序的下载平台上发布该政策就足够了（例如，苹果应用商店或谷歌Play商店）。
• 敏感信息的定义：除了现有的敏感数据属性外，拟议条例还将扩大敏感个人信息的定义，将16岁以下消费者的所有个人信息包括在内。
• 投诉权：在数据主体请求被拒绝后，拟议的法规将要求企业通知消费者他们有权提出投诉。

到目前为止，CPPA的执法活动范围有限。在最终规定于3月29日生效后，这一活动可能会增加。加利福尼亚州总检察长也有权执行CCPA，并于2023年根据加利福尼亚州的《不正当竞争法》采取了多项与隐私相关的执法行动。其中包括针对谷歌的执法行动，AG声称“谷歌误导用户，让他们相信自己可以控制谷歌对其位置数据的收集和使用。”值得注意的是，CCPA的“治愈权”条款于2023年1月1日失效。

在其他州，我们预计执法的范围和影响将在未来几年大幅扩大。这一扩张可归因于法律数量的增加以及国家执法资源和专业知识的发展。随着“治愈权”条款将于明年年底在四个州落下帷幕，强制执行的风险也将变得更加重大。我们还预计，各州在执法时可能会相互协调，并与联邦贸易委员会（FTC）协调。

联邦活动

联邦立法

长期以来，越来越多的全面的州隐私法被视为联邦隐私立法的可能催化剂。尽管已经出台了许多联邦法案，但迄今为止，两党合作的《美国数据隐私和保护法案》（ADPPA）获得了最大的吸引力。ADPPA于2022年首次推出，并于2023年10月16日由众议院能源和商业委员会全票通过。有人猜测，众议院能源和商业委员会主席、众议员凯西·麦克莫里斯·罗杰斯可能会更新这项立法，以包括解决与先进人工智能技术相关的法律问题的新条款。鉴于当前社会对人工智能的关注，在一项法案中同时解决隐私和人工智能问题可能是联邦隐私立法的最有利途径。话虽如此，更广泛的政治僵局和今年的选举将成为所有联邦立法的主要阻力。

联邦贸易委员会执法

2023年，联邦贸易委员会采取了多项与敏感健康信息处理不当有关的执法行动。例如，去年2月，联邦贸易委员会指控GoodRx Holdings，股份有限公司在与广告商和其他第三方的数据共享行为上欺骗客户，违反了联邦贸易委员会法案第5条。联邦贸易委员会还指控GoodRx的第三方披露违反了HIPAA健康违约通知规则（HBNR）。本案是联邦贸易委员会首次强制执行HBNR。

联邦贸易委员会最近的另一个重点是执行《儿童在线隐私保护法》。2023年7月21日，联邦贸易委员会和司法部对亚马逊提起诉讼，指控其在删除/保留Alexa音频数据方面欺骗家长和用户。联邦贸易委员会和微软去年还宣布了一项和解协议，涉及Xbox游戏系统上违反COPPA同意的行为。如下文所述，联邦贸易委员会正在发布最新的COPPA条例。

联邦规则制定的发展(Federal Rulemaking Developments)

2023年12月20日，联邦贸易委员会发布了一份关于《联合国气候变化框架公约》拟议修改的拟议规则制定通知。具体而言，拟议的规则制定将（i）要求对定向广告进行单独的选择加入同意，（ii）禁止将个人信息披露作为使用/参与的先决条件，（iii）对数据保留进行新的限制，以及（iv）加强联邦贸易委员会的COPPA数据安全要求。联邦贸易委员会提议的修改还包括对“个人信息”的更广泛定义，其中包括“可用于自动或半自动识别个人的生物识别标识符”。对这一拟议规则制定的评论可能会在2024年3月11日前提交。

2023年10月27日，联邦贸易委员会通过了对GLBA保障规则违反通知要求的修正案。根据修正案，非银行金融机构将被要求在发现涉及至少500名消费者非公开个人信息的数据泄露后30天内通知联邦贸易委员会。在这项修正案之前，所涉实体被要求执行安全要求；然而，没有具体的违约通知要求。该修正案将于2024年5月14日生效。

人工智能的影响

最近先进的生成人工智能平台的激增可能是我们对2023年记忆最深的一年。为了应对人工智能技术的快速采用，各级政府当局已采取初步措施，旨在解决与人工智能相关的感知风险。

2023年10月30日，拜登政府发布了一项关于人工智能安全、可靠和值得信赖的开发和使用的行政命令。这份117页的命令包括一系列指令，其中许多旨在促进人工智能技术的国内发展，同时也解决感知到的风险。该命令要求联邦执行机构进行研究并实施其他措施，为人工智能技术的进一步扩散做好准备，为进一步行动奠定了基础。该命令是在政府先前就生成人工智能技术最近的扩散发表声明之后发布的。2022年10月，科技政策办公室发布了“人工智能权利法案蓝图”，今年早些时候，国家标准与技术研究所发布了“AI风险管理框架”

联邦贸易委员会的领导层还表示，人工智能监管将是该机构今后的主要重点。今年，联邦贸易委员会已经发布了一篇题为“人工智能公司：维护您的隐私和保密承诺”的博客文章，并宣布了一项与“人工智能开发商和主要云服务提供商之间正在形成的投资和合作伙伴关系”有关的第6（b）条调查与人工智能相关的调查。这一预授权将持续10年，并将使联邦贸易委员会更容易发布人工智能相关调查的发现要求。