美国会很快出台联邦数据隐私法案吗？与GDPR相等或超过GDPR的东西？

《美国数据隐私保护法》（ADPPA）在联邦立法过程中比美国的任何其他数据隐私法规都更加完善。虽然这项法案还有很长的路要走，其可能性也不确定，但它已经走得够远了，并且得到了足够的支持，值得进一步研究。众议院和参议院的共和党人和民主党人都支持该法案，该法案的通过将从根本上改变美国的隐私状况。

为了准备好它成为法律的可能性，我们将深入研究ADPPA的显著特点、当前修正案、批评、下一步以及参众两院的总体机会。

目前法案上有什么？

ADPPA与其他现代数据隐私法（如CPRA）具有许多相同的组成部分。（有关现代数据隐私法基本组成部分的概述，请参阅我们的博客“数据隐私法剖析”）。当然，该法案在某些细节上有所不同，如果ADPPA成为法律，其中一些变化可能会对企业产生重大影响。让我们来看看该法案的一些显著特点和迄今为止所做的修正。

显著特征

定义的变化

与其他数据隐私法相比，ADPPA以不同的术语和范围提及业务和数据。主要区别包括：

“涵盖实体”（“Covered entities")是指收集、处理或传输数据并受《联邦贸易委员会法》约束的任何实体或个人，是《通信法》下的公共载体，或是非营利组织。这一定义涵盖了绝大多数企业。

“覆盖数据”(“Covered data”)，包括识别、链接或可合理链接到个人或设备的任何信息。它还包括从此类信息导出的任何数据或唯一标识符，如IP地址、目标广告标识符等。

“儿童”，定义为17岁以下的任何人。这一点非常重要，因为数据隐私法通常要求企业以某种方式处理儿童数据。大多数其他数据隐私法将儿童定义为13或16岁以下的人。

“敏感数据”(Sensitive data)，包括其他州隐私法认为敏感的数据类别。大多数法律认为种族、种族、基因数据、儿童数据等信息是敏感的；加利福尼亚州还包括工会会员和身份识别码，如社会保险号码；ADPPA包括所有这些以及任何设备的登录凭据。还有其他一些小偏差，但列出每一个都超出了本文的范围。

先占权

如果ADPPA签署成为法律，它将优先于所有其他州数据隐私法。因此，例如，目前受康涅狄格州CTDPA约束的企业需要遵守ADPPA。

优先购买权是该法案的一大症结所在。许多州-尤其是加利福尼亚州-不希望自己的法律被ADPPA取代。

然而，ADPPA确实对其优先购买权做出了一些例外。更具体的数据隐私法，如《儿童在线隐私保护法》（COPPA），以及加利福尼亚州《公民权利和政治权利法》（CPRA）的某些内容（稍后将详细介绍）仍将适用

私人诉讼权

私人诉权是指个人起诉企业违规行为的能力。美国大多数数据隐私法都没有私人诉讼权，但ADPPA有。

然而，在起诉之前，个人需要通知联邦贸易委员会或其州总检察长。然后，联邦贸易委员会和/或州总检察长有60天时间决定是否介入诉讼。此外，个人必须让企业知道他们打算起诉，并且在联系联邦贸易委员会/总检察长之前，他们必须给企业45天时间纠正违规行为。

大数据持有者的特殊类别

ADPPA对待处理大量数据的业务与其他业务不同。要成为大型数据持有者，企业必须：

• 年总收入超过2.5亿美元，以及
• 处理超过500万个人的数据，或
• 每年处理200000人的敏感数据。

这些是你的facebook和谷歌世界。根据ADPPA，他们将有各种额外的披露、认证和审计要求。

小企业特殊类别

ADPPA将小企业定义为：

• 不是数据代理，
• 年总收入低于4100万美元，以及
• 每年处理少于200000人的数据。

最值得注意的是，它没有更低的门槛-其他州隐私法通常不限制处理少于100000个人数据的企业。因此，几乎每一种业务都以某种方式受制于ADPPA。虽然在ADPPA下适用于小企业的规定有一些例外，但其大部分要求仍然有效。

选择退出数据传输的权利

与其他州数据隐私法一样，ADPPA赋予消费者各种权利。只有它和CPRA提供的另一项权利是消费者有权选择不将其数据传输给第三方。其他州法律允许个人选择不出售自己的数据，但只有CPRA和ADPPA允许个人选择放弃转账，无论资金是否易手。

修正案

在大多数情况下，我们上述的特点自法案开始以来就一直存在。在撰写本文时，ADPPA刚刚从众议院委员会中脱颖而出，在众议院委员会中，它以某种方式进行了修订，以提高其在众议院和参议院投票中的胜算。以下是委员会的变化。

CPPA开始在加利福尼亚州实施ADPPA

执法一直是对该法案的主要批评。加利福尼亚州的代表们对ADPPA可能先于他们的CPRA感到不满，因为CPRA通常更强大，牙齿也更多。由于加利福尼亚州在美国立法机构中有很大的影响力，因此做出了一项修正案，使加利福尼亚州隐私保护局（CPPA）负责在加利福尼亚州执行ADPPA。对于其他州，联邦贸易委员会和/或总检察长将执行ADPPA。

私人诉讼权在两年内成为可能

最初的法案将允许私人诉讼权在颁布四年后被允许；这项修正案允许两种情况。

小企业不受私人行动的约束

这项修正案将小企业排除在私人诉讼之外，如果它们的年收入低于2500万美元，拥有的个人覆盖数据少于50000，并且通过传输覆盖数据获得的收入不到其收入的一半。

对员工数据的更多排除

与其他隐私法一样，ADPPA对待员工数据与消费者数据的方式不同。该修正案通过包括其他数据类别扩展了员工数据的分离。

对消费者未满17岁的“知识”构成的分层方法

儿童数据的处理方式不同于成人消费者的数据，但企业只能在知道消费者未满17岁的情况下，才能对数据进行不同的处理。这项修正案根据企业的规模，对消费者未满18岁的“知识”做出了不同的定义。

国家失踪和受剥削儿童中心被排除在外

这项修正案确保了国家失踪和受剥削儿童中心能够合法处理儿童数据。如果没有这些数据，该中心将无法完成打击贩卖、虐待和绑架儿童的任务。

批评

ADPPA远非完美，但也总比没有好。立法者们自然会在关注其缺陷还是优势上有所不同。

批评人士主要关注该法案的执行情况。

虽然ADPPA允许通过其私人诉讼权进行民事强制执行，但它没有重大的行政强制执行。例如，GDPR有专门的数据保护机构来进行处罚；根据ADPPA，执法将由联邦贸易委员会或州检察长负责，这两个机构的任务都不仅仅是数据隐私执法。

此外，它还优先于其他州法律，其执行和覆盖范围或多或少。允许CPPA成为加利福尼亚州ADPA的执行者的修正案是一种妥协，以确保如果由ADPA取代CPRA，该州不会受到执法不力的影响。但ADPPA也将先于犹他州制定更利于商业的数据隐私法。这反过来又让更具商业头脑的国会议员感到不安。

ADPPA的下一步是什么？

截至撰写本文时，ADPPA已成功通过内务委员会，并在内务委员会收到上述修正案。现在，它必须在众议院通过投票。

如果投票通过，该法案将提交参议院，并提交参议院商业、科学和交通委员会进行研究。如果委员会批准了该法案，那么它将在参议院进行表决，然后再到拜登总统的办公桌上。

它的机会有多大？

虽然这是迄今为止联邦数据隐私法案中距离最远的一项，但在成为法律之前，它还有很长的路要走，在立法过程结束时可能会看起来非常不同。

主要挑战之一是来自参议员坎特韦尔（华盛顿州民主党人）的反对。坎特韦尔参议员批评该法案缺乏执行力，她是参议院商业、科学和交通委员会主席，该委员会将在将该法案提交参议院之前对其进行研究。

然而，如果该法案被修改为具有更强的执行力（特别是如果私人诉讼权被扩大），那幺它可能会危及该法案的两党支持，没有这一点，ADPPA几乎没有机会。目前，要么该法案需要改变，要么其批评者需要改变主意。

尽管如此，研究该法案的细节对于隐私专业人士和企业来说仍然是一项有用的工作。该法案仍有大量支持，很可能成为法律；即使没有，未来的任何联邦数据隐私立法都可能与ADPPA有很大的相似之处。

无论ADPPA是否成为该国的法律，未来的法案是否取而代之，或者数据隐私仍然是一个国家问题，奥萨诺都将随时准备让您的企业遵守。我们将继续跟踪ADPPA在立法过程中的进展，以及可能影响您业务的隐私领域的任何发展。要了解更多信息，请订阅我们的时事通讯。

本文: https://cioctocdo.com/what-adppa