文章分类
2022年6月3日,由美国参议院和美国众议院领导人组成的一个两党小组发布了一份关于联邦全面数据隐私法案《美国数据隐私和保护法案》(“讨论草案法案”)的讨论草案。值得注意的是,讨论法案草案是第一个获得两党和两院支持的综合性联邦隐私法案,随着联邦数据隐私法案的讨论正在进行,该法案将如何进展备受关注。在本文中,OneTrust数据指南研究概述了与消费者权利、企业的关键义务以及预期执行的主要规定。
介绍
目前的讨论草案分为四个主要标题。第一部分侧重于忠诚义务,并包含与相关原则相关的规定,如数据最小化、设计隐私以及围绕受限实践的某些其他忠诚义务。
第二个标题涉及消费者数据权利,除其他外,重点关注透明度、所有权和控制权、同意权和反对权、儿童和未成年人的数据保护、第三方收集实体、公民权利和算法,以及数据安全和覆盖数据的保护。
第三个标题侧重于公司问责制、解决行政责任和合规要求、指定安全和隐私官员以及进行影响评估。除其他外,第三标题还涉及服务提供商和第三方及其相关义务。
讨论草案的第四个也是最后一个标题涉及执行、适用性和任何其他杂项规定。更具体地说,关于其条款的执行,它涉及联邦贸易委员会(“FTC”)和州总检察长(“AGs”)的执行以及如何和何时处理,并概述了个人的私人诉讼权。
就其适用范围而言,讨论法案草案通篇提到“涵盖实体”,其广义定义包括:
- 收集、处理或传输覆盖数据的实体或个人,以及:
- 受联邦贸易委员会管辖;
- 是受1934年《通信法》第二编约束的公共承运人;或
- 不是为自身或其成员的利益而开展业务的组织;和
- 控制、受控于、与另一涵盖实体共同控制或共享共同品牌的实体或个人。
主要职责和原则
数据最小化
讨论草案法案明确禁止涵盖实体收集、处理或传输超出合理必要、比例和限制的涵盖数据,以提供或维护所要求的特定产品或服务、合理预期的通信或讨论草案法案可能明确允许的其他目的。然而,为了进一步明确这一要求并确定“合理必要、适度和有限”的内容,联邦贸易委员会将负责发布指南,同时考虑:
- 覆盖实体所从事活动的规模、性质、范围和复杂性,同时考虑覆盖实体是大型数据持有人还是第三方收集实体;
- 收集、处理或传输的覆盖数据的敏感性;
- 收集、处理或传输的覆盖数据量;和
- 覆盖实体收集、处理或传输的覆盖数据所涉及的个人和设备数量。
数据收集、处理和传输限制和限制
根据这些要求,讨论法案草案还概述了禁止的行为和做法。更具体地说,受保护实体不能收集、处理或转移社会保险号码、生物特征信息、非感官亲密图像或遗传信息,除非出于某些列出的目的。此外,除非获得明确同意,并向个人发出单独的醒目通知,否则禁止受保护实体将个人的精确地理位置信息传输给第三方,传输聚合的互联网搜索或浏览历史,以及从智能手机或可穿戴设备传输身体活动信息。
设计隐私
讨论法案草案规定的另一个关键要素是从一开始就考虑设计隐私。这涉及到需要制定和实施关于收集、处理和传输覆盖数据的合理政策、做法和程序的覆盖实体。他们还必须事先考虑适用的联邦、州或地方法律、规则或法规,以及任何相关的风险缓解策略(尤其是17岁以下的风险),并应实施合理的培训和保障措施,以促进遵守所有适用的隐私法。
在这样做的过程中,讨论法案草案概述的关于设计隐私的其他因素包括确保所涵盖的实体政策、实践和程序符合:
- 其规模及其所从事活动的性质、范围和复杂性;
- 覆盖数据的敏感性;
- 收集、处理或传输的覆盖数据量;
- 覆盖实体收集、处理或传输的覆盖数据所涉及的个人和设备数量;和
- 与覆盖数据的风险和性质相关的计划实施成本。
保护未成年人
讨论法案草案明确禁止任何针对儿童和未成年人的广告,如果相关实体实际知道该个人未满17岁。事实上,它还要求在联邦贸易委员会内设立青少年隐私和营销部门,负责处理儿童和未成年人的隐私和营销问题。
数据安全
与其他关键隐私法类似,将要求受保护实体建立、实施和维护合理的行政、技术和物理数据安全实践和程序,以保护和保护受保护数据免受任何未经授权的访问和获取。虽然这些数据安全实践和措施可以考虑到特定于所涵盖实体的某些情况,但讨论草案概述了一系列具体要求,这些要求必须至少包括在内。
具体而言,所涵盖的实体应包含以下最低实践:
- 评估脆弱性;
- 采取预防和纠正措施;
- 评估这些预防和纠正措施;
- 确保信息保留和处置做法到位;
- 培训员工;
- 事件响应;和
- 指定一名管理人员或员工维护和实施此类做法。
隐私政策
尽管在讨论草案中概述了有关消费者权利和知情权的条款,但讨论草案概述了涉及实体必须向个人提供的隐私政策的详细要求。
在提供隐私政策时,受保护实体必须以公开可用的方式,以清晰、明显和易于访问的方式提供,同时确保隐私政策对数据收集、处理和传输实践的详细和准确。隐私政策还必须以涵盖实体提供受隐私政策约束的产品或服务或开展与产品或服务相关活动的每种语言提供。
更具体地说,正如预期情况一样,隐私政策需要详细说明最低信息量,即:
- 覆盖实体和同一公司结构内任何其他实体的身份和联系信息,覆盖数据已经或可能转移到该实体;
- 收集或处理的涵盖数据类别;
- 各类覆盖数据的处理目的;
- 是否传输覆盖数据,如果是:
- 将覆盖数据传输到的各类服务提供商和第三方;和
- 将覆盖数据传输到的每个第三方收集实体的名称;以及向此类服务提供商和第三方或第三方收集实体传输覆盖数据的目的,但根据禁止覆盖实体披露此类传输的法院命令或法律向政府实体传输的除外;
- 覆盖实体打算保留各类覆盖数据(包括敏感覆盖数据)的时间长度,或者,如果无法确定该时间框架,则确定覆盖实体打算保存各类覆盖数据的时间长度的标准;
- 个人如何行使其权利;
- 数据安全实践的一般说明;
- 隐私政策的生效日期;和
- 无论收集到的任何涵盖数据是否转移到中华人民共和国、俄罗斯、伊朗或朝鲜,或以其他方式提供给其。
值得注意的是,讨论法案草案规定了大型数据持有人提供短格式通知的额外义务。
消费者数据权利
访问、更正、删除和可移植性
讨论法案草案规定个人有权访问、更正和删除其涵盖的数据,以及该数据的数据可移植性。一旦数据主体的请求得到验证,大数据持有人必须在验证后30天内遵守请求,其他不被视为大数据持有人的受保护实体或某些其他受保护实体必须在验证之后60天内遵守,讨论草案第209(c)节所述受保护实体须在验证之后90天内遵守。在12个月内,前两次请求将免费行使权利,随后的每一次请求将收取合理费用。
与其他关键的全球隐私法类似,讨论法案草案还概述了行使数据主体权利的例外情况。
同意和反对
讨论法案草案要求对敏感个人数据的收集或处理获得肯定的明示同意,定义为“个人的肯定行为,明确传达个人对某一行为或实践的自由、具体、知情和明确的授权,响应满足[某些]要求的覆盖实体的特定请求”。
在处理同意问题时,讨论法案草案还要求涵盖实体提供一种清晰、明显、易于执行的方式,以撤销个人先前提供的任何肯定的明示同意,该方式必须与提供同意的方式一样易于“由合理的个人”执行。
个人还将有权选择退出定向广告,并有权向第三方传输数据。
公司责任
隐私和数据安全官员
讨论法案草案要求相关实体指定一名或多名合格员工担任隐私专员,此外,还要求一名或多名合格员工担任数据安全专员。这些官员还必须至少实施数据隐私计划和数据安全计划,以保护受保护数据的隐私和安全,并促进受保护实体持续遵守其义务。
值得注意的是,讨论法案草案将对大型数据持有者提出额外要求,要求他们指定至少一名上述官员直接向最高官员报告,作为负有额外责任的隐私保护官员。
影响评估
讨论法案草案将要求大型数据持有人进行隐私影响评估,该评估在范围上合理且适当,考虑到涵盖实体的实践的某些标准,以书面形式记录,并予以保留,除非随后的评估已过时,并经隐私专员批准。
这适用于法案颁布一年后的所有大数据持有人,对于非大数据持有人的涵盖实体,适用于其符合“大数据持有人”定义之日或颁布之日后一年,以较早者为准。在这一初始时间框架之后,随后的影响评估必须每两年进行一次。
第三方和服务提供商
讨论法案草案详细说明了第三方和服务提供商的单独义务,同时概述了一般涵盖实体的额外义务。更具体地说,第三方有义务,如不出于与个人合理预期不一致的目的处理第三方数据。同时,服务提供商不能为非代表被覆盖实体或在其指示下执行的任何处理目的收集或处理服务提供商数据。他们也不能在未获得个人明确同意的情况下将服务提供商数据传输给第三方、其他受保护实体或其他服务提供商,该个人明确同意将由受保护实体直接获得,并在删除或取消识别某些数据方面承担额外义务。
执行
讨论法案草案中关于执行的一个值得注意的方面是向联邦贸易委员会、州AGs和个人本身提供权力。由于涉及公平贸易委员会,讨论法案草案将要求增设一个局,由公平贸易委员会对被视为不公平和欺骗性行为或做法的违规行为拥有执法权。
同时,AGs或国家首席消费者保护官将有权提起民事诉讼,以禁止该行为或做法;强制遵守;获得损害赔偿、民事处罚、恢复原状或其他补偿;或获得合理的律师费和其他诉讼费用。然而,在提起任何民事诉讼之前,AGs必须通知联邦贸易委员会。
有趣的是,讨论草案涉及个人的私人诉讼权,这是美国数据隐私立法中经常辩论的话题。然而,如果该法案获得通过,则只有在该法案生效之日起四年后,私人诉讼权才可用。然而,与AGs的行动类似,在对私人诉权采取行动之前,必须通知联邦贸易委员会和AGs,给予他们60天的时间,以决定他们是否也将采取单独或额外的行动。
结论
虽然上述条款仅涵盖讨论法案草案中规定的一小部分条款,但更多条款规定了涵盖实体的各种义务。如果讨论法案草案在美国国会的每个联邦议院提出并通过,它将在颁布180天后生效。
本文:
- 登录 发表评论