暂无
近日,美国两党、两院公布了《美国隐私权法》(The American Privacy Rights Act,以下简称“APRA”)的立法草案。这是自2021年《美国数据隐私和保护法》(The American Data Privacy and Protection Act,以下简称 “ADPPA”)之后,美国在联邦层面数据隐私立法的再次尝试。
不同于“遥遥无期”的ADPPA,美国各界对APRA的通过抱有很高期待。美国两党、两院共同发布的一份新闻稿表示,这项草案赋予人们控制其个人信息的权利,是几十年来建立国家数据隐私和安全标准的最佳机会。
APRA明确了国家层面的数据隐私权和保护措施,建立了强有力的执行机制以追究违法者的责任。而法案提及的数据最小化、消费者选择退出定向广告、数据安全等内容,对于定向广告、数据经纪人等行业的影响值得关注。
国家标准优先且更严格
据悉,APRA法案是由美国参议院商业、科学和交通委员会主席玛丽亚·坎特韦尔(Maria Cantwell)和美国众议院能源和商业委员会主席凯茜·麦克莫里斯·罗杰斯(Cathy McMorris Rodgers)联手推出。针对此项数据立法,两党两院共同发布了一份新闻稿。
新闻稿表示,此次全面数据隐私立法在至关重要的问题上取得了有意义的平衡。坎特韦尔表示,联邦数据隐私法必须做两件事:使隐私成为消费者的权利,并且必须赋予消费者执行该权利的能力。
2018年,美国通过了第一部全面的数据隐私法,即加州消费者隐私法 (CCPA)。这部法案的通过,标志着美国隐私法新时代的正式到来。截至目前,美国已经有16个州通过全面的隐私立法。然而各州的法律规定各不相同,仅就自动化决策或用户画像而言,并非所有州的隐私法都对该项内容予以规定。
具体而言,APRA为美国建立了基本统一的国家数据隐私权。APRA所体现的国家标准,比任何一个州此前制定的标准都要严格。法律适用层级方面,APRA将优先于州法律;同时也有例外,州法律层面对涉及财务、健康、员工和教育等特定领域数据的规定则不受影响。
私人诉讼权是联邦层面隐私立法各方关注的焦点之一。APRA规定,消费者可以对侵犯其权利的实体提起私人诉讼,起诉方可以获得实际损害赔偿、禁令救济等。同时规定,针对重大隐私损害或未成年人提起的诉讼,不得强制仲裁。
此外,APRA也确认了“数据最小化”原则,要求美国联邦贸易委员会(FTC)应就数据最小化的合理必要性和适当性发布指导。
数据收集方面,各实体、服务提供商不得收集、处理、保留或传输超出其提供业务、产品所必需、适当或有限的数据。数据传输方面,未经个人明确同意、没有允许的明确目的,不得收集生物识别信息或遗传信息,不得将相关信息传输给第三方。敏感数据在未获得个人明确同意亦不允许向第三方传输。
如何判断哪些情况属于允许的明确目的?APRA举例予以说明,如保护数据安全、遵守法律义务,防止欺诈和骚扰,应对正在发生或即将发生的安全事件或公共安全事件等。
赋予个人控制其信息去向的权利
赋予美国人控制其信息去向的权利,以及谁可以出售信息的权利,亦是APRA中的重要亮点。
法案中提到,消费者有权访问相关实体收集、处理或保留的数据,并了解数据所传输到的任何第三方或服务提供商的名称,以及数据传输、转移的目的。APRA赋予消费者纠正个人不准确、不完整数据的权利;个人申请之后,相关实体必须删除相关数据,以及相关实体必须在技术可行范围内导出个人相关数据。APRA对于实体可以拒绝请求的场景也在APRA中进行明确。
法案将监管的重点放在大型科技公司,小企业则不受该法案约束。
“这项具有里程碑意义的立法,禁止大型科技公司在未经人们知情和同意的情况下,跟踪、预测和操纵人们的行为,以获取利润来控制它们。”罗杰斯这样评价。
根据APRA定义,符合以下条件便可以认定为大型科技公司,涵盖年收入2.5亿美元或以上的实体,收集、处理、保留或传输超过500万人次(或1500万个便携式设备或3500万个可链接到个人的连接设备)的数据或超过20万人次(或30万个便携式设备或70万个连接设备)的敏感数据。
“目前,尽管草案对其规制的主体范围进行了规定,但是具体主体的范围仍然有待后续的明确。为进一步明确涉及主体,或可参照欧盟《数字服务法》分批公布受该法监管的大型企业名单。”北京理工大学智能科技法律研究中心研究员王磊在接受21记者采访时表示。
值得注意的是,APRA扩大了“敏感数据”的定义,“揭示个人在不同时间段、不同网站或不同在线服务上的在线活动的信息,这些网站或服务不具有共同的品牌,或揭示个人在所涵盖的高影响力社交媒体公司运营的任何网站或在线服务商的在线活动信息”也被纳入敏感信息范畴。这一规定可能会限制公司跨应用程序跟踪用户行为的能力,对于广告行业的影响值得关注。此外,根据APRA,消费者有权选择不传输非敏感相关数据,有权选择不将其个人信息用于定向广告。
AppsFlyer大中华区总经理王玮在接受记者采访时表示,该法案距离正式通过还有一段时间,暂时无法明确评估相关影响。
在他看来,某种意义上,草案对定向广告的相关规制,和iOS隐私新政对广告行业产生的影响有所类似。iOS隐私新政实施之后,广告行业格局有很大变化。以冲击最大的Facebook(现Meta)为例,其擅长对用户相关人群进行定向追踪。Facebook经历两年转型做了整体技术能力重构,适应相关变化,所以去年整个业绩有很大的回升。
“从区域的角度来讲,如果类似的事情发生,对于区域比较头部的广告平台肯定会是一个很大的冲击,同时也是行业后来者的新机会。冲击之后就看谁能在新的行业背景底下更快适应,并且重新找回自己份额。广告行业最终追求的还是高价值用户。”王玮说道。
数据主权争夺或成立法博弈新阵线
数据经纪人作为美国数据交易中的关键角色,其数据持有量大、数据获取渠道广、活动透明度低,在提升数据交易市场流通效率的同时,存在侵犯个人隐私、数据泄露等风险。
APRA要求建立一个国家数据经纪人登记处,要求数据经纪人按照每个日历年登记。禁止数据经纪人出于跟踪或欺诈目的宣传数据。
此前,佛蒙特州和加利福尼亚州颁布数据经纪人法案,规定了数据经纪人注册制度及消费者的选择退出政策,为在联邦层面增强数据经纪人产业进入-退出的灵活性提供了先行探索。
“《美国隐私权法案》增加数据经纪人登记制度,聚焦用户赋权、提升透明度和交易安全,若通过实施将为在联邦层面约束数据经纪人行为,加强行业监管提供法律依据。同时,法案对数据经纪人的数据收集和使用行为提出了更严格的要求,以保护个人隐私权。短期内增加了企业合规成本,长期来看有助于促进数据经纪人行业良性发展。”王磊说道。
数据经纪人登记表还包括供消费者使用的“不收集”机制。王磊提示,要重点关注两个方面内容:一是数据经纪人需提供透明的信息收集政策,二是给用户一个明确的选择权利,允许他们主动决定退出,即选择不让其信息被收集或分享(Opt-out)。
从媒体公开报道来看,相比较于2021年推出、难产至今的ADPPA,APRA获得通过的可能性更高。
具体流程方面,下一步,《美国隐私权法案》需通过两个立法委员会的审查,并在国会两院获得通过,才能送交总统签署。
王磊表示,总统可以签署草案成为法律,也可以否决它。如果总统否决了草案,那么众议院和参议院可以通过覆盖总统否决的方式,使草案成为法律;如果总统签署了草案或者众议院和参议院都通过了覆盖总统否决的草案,那么草案将成为正式法律,并开始执行。
一段时间以来,美国数据领域动态频频。从美国总统颁布行政令禁止或限制某些类别的数据交易,到《保护美国人免受外国对手控制应用程序侵害法》立法进程加速,再到APRA草案出台即将进入立法环节,美国数据领域相关政策风向似乎一改往日自由风格。
“一方面,美国数据和隐私保护立法呈统一趋势。APRA作为一部联邦层面的立法草案,主要目标之一在于构建基础的统一联邦数据隐私权,打破前述分散立法路径,弥合各州数据保护立法分歧。另一方面,此举意味着美国数据监管力度进一步加强。APRA旨在通过制定一致性数据保护法律,实施对数据主体权利的强力保护,进而维护国家安全和数据主权。为此,数据主权争夺或将成为网络立法博弈新阵线,数据保护监管加速收紧。”王磊说道。