2022年6月21日，众议院能源和商业委员会正式提出了一项新的联邦隐私法案：《美国数据隐私和保护法》（“ADPPA”）。值得注意的是，ADPPA得到了国会两院和两党的不同支持。ADPPA的目标是建立一个国家框架，优先于许多但不是所有的州隐私法。

目前尚不清楚ADPPA是否有足够的支持成为法律，因为据报道它在参议院缺乏关键支持。此外，最高法院最近的Dobbs裁决的影响已经引起了对ADPPA条款的更仔细审查。批评者质疑是否对堕胎相关数据有足够的保护，以及立法者是否应该加强拟议的私人诉讼权。

尽管ADPPA成为法律的前景不确定，但企业应注意ADPPA提出的要求。即使未颁布，其条款也可能影响未来的联邦隐私法。而且，在许多方面，ADPPA可能会设定一个新的最低标准，以塑造任何通过的州法律，填补因缺乏联邦隐私法而留下的空白。

如书面所述，ADPPA将优先于许多州法律，同时明确保护其他州法律，如下所述。我们之前写过关于美国州隐私法的发展，包括对《加利福尼亚消费者隐私法》（“CCPA”）和《加利福尼亚隐私权法》（“CPRA”）、科罗拉多州保护个人数据隐私法（“ColoPA”）、康涅狄格州隐私法（“CTPA”）、弗吉尼亚州消费者数据保护法（“VCDPA”）的更新，以及犹他州消费者隐私法（“UCPA”）。

如果ADPPA颁布，除了某些不被优先考虑的豁免州法律要求外，公司还需要遵守其联邦标准。许多法定条款是自动执行的，而其他条款则需要监管机构（如联邦贸易委员会）采取行动才能生效。

这篇文章首先回顾了ADPPA的范围和适用性。然后重点介绍了关键权利和义务，包括人工智能（“AI”）评估义务，并详细介绍了ADPPA的执行方法。

范围和适用性

草案将“覆盖实体”定义为受《联邦贸易委员会法》约束的实体、1934年《通信法》规定的公共承运人或非营利组织，其确定收集、处理或传输覆盖数据的目的和方式，以及通过基于控制的关系与覆盖实体相关的实体。ADPPA第2（9）条。大型数据持有人面临更高的要求，而小型企业比其他受保实体承担的义务更少。

ADPPA采用了“涵盖数据”的广义定义，类似于欧盟的一般数据保护条例（“GDPR”）和CCPA。“覆盖数据”包括识别或链接到（1）个人或（2）识别个人的设备的信息。从个人或设备信息中获得的数据和技术上创建的标识符（如IP地址和客户号码）都可以包含在数据中。取消识别数据、员工数据和公开信息属于列举的豁免。ADPPA§2（8）。

ADPPA引入了一个新术语，“第三方收集实体”作为涵盖实体，其主要收入来源来自处理或传输该实体未直接收集的数据。ADPPA§2（32）。如果满足处理阈值，第三方收款实体必须向消费者提供其活动通知，并向联邦贸易委员会注册。ADPPA第206条。

与CCPA和其他州隐私法类似，ADPPA将“服务提供商”定义为“代表涵盖实体并在其指示下收集、处理或传输涵盖数据，并根据书面合同从涵盖实体或代表涵盖实体接收[]涵盖数据”的实体，前提是满足某些合同要求。ADPPA§2（25）。ADPPA对服务提供商规定了直接义务，包括其他州隐私法中未规定的义务，例如禁止在未经明确同意的情况下传输数据（向其他服务提供商传输数据除外）。ADPPA§302（a）。

州法律优先权，例外

ADPPA明确优先于一系列现有的州隐私法，以及某些监管覆盖数据的联邦法律。它包含一般法律类别的优先购买权豁免，如民权法和数据泄露通知法。此外，ADPPA明确豁免了特定的州法律，包括伊利诺伊州生物识别信息隐私法，以及经CPRA修订的CCPA中个人信息安全违规的私人诉讼权。ADPPA§404（b）（1）至（3）。

受某些联邦法律约束并符合这些法律规定的实体将被视为符合ADPPA规定，但ADPPA关于网络安全要求的规定除外。这些法律包括《健康保险可携带性和责任法案》（“HIPAA”）、《公平信用报告法案》和《格拉姆-里奇-布莱利法案》（“GLBA”）。ADPPA§404（a）（2）。

关键条款有哪些新内容？

ADPPA的大部分内容与现有的州隐私法相呼应（在许多情况下有其自身的扭曲），包括透明度要求、数据使用的目的限制、敏感数据的限制，以及某些权利的规定，如请求删除的权利和数据对消费者的可移植性。

与其他全面的州数据隐私法一样，ADPPA颠覆了美国隐私法的长期范式，即仅凭通知往往就足够了。相反，ADPPA要求对收集和使用覆盖数据的通知和目的限制、某些数据使用的选择退出权（如定向广告）以及在某些情况下的肯定同意，如向第三方转让敏感覆盖数据。

由于ADPPA与当前的州隐私法和即将出台的2023年法律有相似之处，如果ADPPA颁布，公司将有可能利用其正在进行的州隐私法律合规工作。公司应特别注意ADPPA涵盖的几个新地形区域，其中一些区域将在下文中介绍。

人工智能评估和评估

与先前的州隐私法不同，ADPPA将要求受保护实体和服务提供商进行算法设计评估。大型数据持有者需要对某些算法进行额外的影响评估。对于设计评估和影响评估，各实体必须尽可能使用外部独立研究人员或审计师。设计评估和影响评估必须在完成后30天内提交给联邦贸易委员会。

算法设计评估：任何有意开发算法以收集、处理或传输覆盖数据的覆盖实体或服务提供商必须进行算法设计评估。这些评估必须具体考虑用于开发算法以降低潜在危害风险的任何数据。ADPPA§207（c）（2）。

算法影响评估：大数据持有者还必须对（1）用于收集、处理或传输覆盖数据的任何算法进行年度影响评估，以及（2）可能对个人造成潜在伤害的任何算法。实体必须描述算法的设计过程、目的、可预见的用途、数据输入以及算法生成的输出。评估还必须描述为减轻潜在危害而采取的步骤。ADPPA§207（c）（1）。必须解决与以下领域相关的危害：

• 17岁以下的个人。
• 为住房、教育、就业、医疗、保险或信贷机会做广告。
• 进入或限制使用公共场所。
• 基于受保护特性的不同影响。

ADPPA § 207(c)(1)(B)(vi)(I)–(IV).。

ADPPA预计FTC可能会颁布规则，允许实体在其设计评估和影响评估中排除危害风险最小或较低的算法。ADPPA§207（c）（5）（B）。

民权

ADPPA将编纂一项禁止收集、处理、使用或转让受保护数据的法规，禁止以基于受保护特征的方式歧视或使商品或服务不可用。这项禁令不适用于：（1）防止歧视的自我测试；（2） 使申请人、参与者或客户群多样化；或（3）私人俱乐部或团体。ADPPA§207（a）。

忠实义务

ADPPA对受保护实体规定了忠实义务（一些学者提出了这一要求，FTC主席莉娜·汗（Lina Khan）对此提出了质疑），尽管ADPPA的规定在许多方面反映了现有数据隐私法的要求。除了数据最小化、设计隐私和在定价方面对个人的忠诚等一般义务外，ADPPA禁止受保护实体参与受限实践，除非有例外。ADPPA§101-04。四种限制性做法包括：

• 处理社会保险号码；
• 收集或处理敏感的覆盖数据；
• 向第三方传输敏感覆盖数据；和
• 收集、处理或传输聚合的互联网搜索或浏览历史记录。

ADPPA § 102(a)(1)–(4).

联邦和州执法

按照草案，ADPPA不仅赋予联邦贸易委员会和州检察长执行权，还引入了一项有争议的“私人诉讼权”，允许私人当事人执行该法规。

联邦贸易委员会

ADPPA将在联邦贸易委员会（FTC）设立一个隐私局来执行ADPPA，并为相关实体设立一个商业指导办公室。ADPPA§401（a）–（b）。任何违反ADPPA的行为都将被视为违反了《联邦贸易委员会法》第18节规定的定义不公平或欺骗性行为或做法的规则。ADPPA§401（c）（1）。如果联邦贸易委员会对受保护实体提起诉讼，在联邦贸易委员会诉讼未决期间，州检察长和首席消费者保护官不得对同一实体提起自己的民事诉讼。ADPPA§402（c）。

国家执法

ADPPA还授予州检察长和州首席消费者保护官通过联邦民事诉讼强制执行ADPPA的权力。州总检察长必须在提起民事诉讼之前通知联邦贸易委员会，以便联邦贸易委员会能够进行干预。ADPPA§402（a）–（b）。州检察长和首席消费者保护官可以寻求禁令救济，并追回损害赔偿金、民事处罚、赔偿金、其他赔偿金和合理的律师费。ADPPA§402（a）。

私人诉讼权

ADPPA包括一项延迟的私人诉讼权，该权利将在法律颁布四年后生效，这是一个有争议的特征。如果获得通过，则存在最全面的州隐私法未提出的私人诉讼风险。

ADPPA允许原告和各类原告就违反ADPPA某些条款的行为提起补偿性损害赔偿、禁令或声明性救济以及合理的律师费诉讼。ADPPA§403（a）（2）。没有规定法定损害赔偿。

ADPPA还以多种方式限制私人诉讼权。ADPPA第403条。

• 首先，如上所述，私人诉讼权要到《反腐败法》生效四年后才能获得。
• 其次，在提起民事诉讼之前，潜在原告必须通知联邦贸易委员会和相关州总检察长。届时，联邦贸易委员会和总检察长将有60天的时间决定是否介入诉讼。
• 第三，在提起禁令救济或针对小企业的诉讼之前，原告必须发出书面通知，并享有45天的补救权。
• 第四，虽然个人可以向受保实体发出要求付款的要求信，但该信必须注明“请访问联邦贸易委员会的网站，了解您根据该信享有的权利”，并带有FTC网站的超链接，否则该权利将被没收。ADPPA§403（d）。

***

ADPPA应促使尚未做好2023年合规准备的公司采取行动，因为很明显，联邦立法包含了现有州隐私法规定的许多义务。

公司应注意ADPPA或类似立法会给合规或运营带来哪些额外负担。即使ADPPA没有颁布，其条款也可能影响未来的联邦法律，以及在没有联邦标准的情况下通过的任何州法律。公司可能考虑的问题包括：

• 无论任何当前或计划中的业务实践是否受到ADPPA或其他生效的隐私法规的限制。
• 任何现有或计划的用户界面是否需要当前未获得的肯定同意。
• 在自动化决策中使用个人数据是否会伤害个人，如果会，可以采取哪些步骤来降低风险。

最后，随着隐私义务的增加，避免侵权的最简单方法是不拥有这么多敏感的个人数据。因此，ADPPA是公司映射其敏感个人数据、评估哪些收集是“合理必要的”以及删除出于法律或业务原因不需要的数据的另一个原因。

本文：https://cioctocdo.com/what-adppa-means-us-data-regulation