《美国隐私权利法》即将通过？走出重要一步的最新草案到底改了什么

AITrust社区

文末扫码订阅，AI+数据合规专题

CAIM报名

点击

CAIL报名

点击

美国立法者发布了《美国隐私权利法案》（American Privacy Rights Act，简称APRA）的最新草案版本。更新后的草案文本已扩展至184页，与早期草案相比有几个关键变化。

更新后的APRA不再包含有关“人权和算法”的部分，也不再包含“重大决策的退出权”部分。
在与精准广告相关的定义方面也发生了重大变化，现在包括了上下文广告、直邮针对性广告、电子邮件针对性广告和第一方广告的定义。在敏感覆盖数据下，原本表述为“在第三方网站上的在线活动随时间推移，或在高影响力社交媒体网站上随时间推移”的语言被“在线活动档案”所取代。
在新草案中，强大的数据最小化标准依然重要，包括一些小幅更新，包括在允许目的部分增加了医学研究，尽管这仍然需要明确的明确同意。
增加了关于隐私设计的措辞，指出“覆盖实体和服务提供商应建立、实施和维护合理的政策、实践和程序，这些应反映覆盖实体或服务提供商在收集、处理、保留和转移覆盖数据方面的角色。”
该法案保留了其关于执行责任的部分，通过将一个“或”改为“和”，进行了轻微的澄清，强调了隐私和安全的重要性，意味着覆盖实体仍需要指定一名或多名员工担任隐私和数据安全官员。
预先排除（preemption），在现代联邦隐私法的立法历史中，一直是立法者的一个主要争议点，在草案文本中也经历了一些变化，最明显的是涉及儿童和青少年的州法律。关于《格拉姆-利奇-布莱利法案》（Gramm-Leach Bliley Act）和遵守《健康保险便携性和责任法案》（Health Insurance Portability and Accountability Act）的措辞已从文本中删除。
APRA的另一个重大变化涉及未成年人的数据保护和《儿童在线隐私保护法案》（Children's Online Privacy Protection Act，简称COPPA），它还将修订COPPA的第二章。

以下是《2024年美国隐私权法案》详细解析

《2024年美国隐私权法案》是为了在数字时代保障个人隐私权利而制定的全面法律框架。该法案分为两个主要部分：美国隐私权利和儿童在线隐私保护法2.0。以下将详细解析每个部分及其关键条款。

第一部分：美国隐私权利

1. 定义

本法案提供了多个关键术语的定义，以确保法律的清晰和准确。主要定义包括：

明确的同意（Affirmative Express Consent）：指个人通过明确的行为或动作授权某种数据处理活动，而不是默示或被动同意。
数据主体（Data Subject）：指被收集、处理或储存其数据的个人。
数据控制者（Data Controller）：负责确定数据处理目的和方法的实体。
数据处理者（Data Processor）：代表数据控制者处理数据的实体。

2. 数据最小化

数据最小化原则旨在限制数据收集和处理的范围，减少不必要的数据处理行为。具体要求包括：

限制数据收集：只允许收集为实现特定目的所必要的数据。
限制数据使用：收集的数据仅能用于明确说明的目的，不得超出原本预期的范围。
限制数据保留：数据保留时间不得超过实现其收集目的所需的时间。

3. 隐私设计

隐私设计（Privacy by Design）是一种将隐私保护融入系统开发和运营全过程的理念。具体措施包括：

默认隐私设置：产品和服务应默认启用最严格的隐私保护设置，用户无需进行额外操作。
隐私影响评估：在产品开发和重大更新前，企业需进行隐私影响评估，以识别和降低潜在的隐私风险。
持续改进：企业需持续监控和改进其隐私保护措施，以应对不断变化的隐私威胁和技术环境。

4. 透明度

透明度要求企业向用户清晰披露其数据处理实践。具体包括：

隐私政策：企业需发布详细的隐私政策，解释数据收集、使用、共享和保护措施。
数据主体权利：企业需告知用户其在数据隐私方面的权利，包括访问、更正、删除和数据携带权。
数据泄露通知：在发生数据泄露时，企业需及时通知受影响的用户和相关监管机构。

5. 数据主体权利

数据主体享有多项权利，以确保其对个人数据的控制权。主要权利包括：

访问权：数据主体有权请求访问其个人数据，了解数据的来源、处理目的和接收方。
更正权：数据主体有权要求更正其不准确或不完整的个人数据。
删除权：在特定情况下，数据主体有权要求删除其个人数据，例如数据已不再需要或数据主体撤回同意。
数据携带权：数据主体有权将其个人数据从一个数据控制者转移到另一个数据控制者。
反对权：数据主体有权反对其个人数据的处理，尤其是在数据处理涉及直接营销目的时。

6. 执行和罚则

为了确保法律的有效实施，本法案设置了严格的执行机制和罚则：

监管机构：指定专门的监管机构负责监督和执行隐私保护法律。
处罚措施：对违反隐私保护规定的企业，监管机构有权施加严厉的罚款和其他制裁措施。
投诉机制：数据主体可以向监管机构投诉其隐私权受到侵犯的情况，监管机构需及时处理和回应投诉。

第二部分：儿童在线隐私保护法2.0

为了更好地保护未成年人的在线隐私，第二部分对原有的《儿童在线隐私保护法》（COPPA）进行了更新和扩展。主要内容包括：

1. 扩展保护年龄范围

新的隐私保护法将保护年龄范围从原来的13岁以下扩展到16岁以下。这一扩展旨在涵盖更多的未成年用户，适应当前互联网环境下的实际需求。

2. 强化家长同意

在收集未成年用户的数据之前，企业必须获得家长或监护人的明确同意。具体措施包括：

验证家长身份：企业需采取合理措施验证家长的身份，以确保同意的真实性。
提供选择退出机制：家长应有权选择退出或撤回同意，以控制和保护其子女的数据隐私。

3. 数据删除权

赋予未成年用户及其家长删除已收集数据的权利。这一权利包括：

删除请求：未成年用户或其家长可以随时请求删除其个人数据，企业需在合理时间内回应并执行删除请求。
通知义务：企业需告知未成年用户及其家长其数据删除权，以及如何行使这一权利。

4. 加强执法力度

为了确保儿童隐私保护规定的有效执行，法案增加了对违反规定的处罚力度。具体措施包括：

高额罚款：对违反隐私保护规定的企业，监管机构可以施加高额罚款，以提高法律的震慑力。
公众通报：对于严重违反规定的企业，监管机构需向公众通报违法行为及处罚结果，以提高透明度和公众意识。

5. 教育和意识提升

为了提高公众对儿童隐私保护的意识，法案规定：

教育计划：政府需开展教育计划，向家长、教育工作者和儿童普及隐私保护知识。
企业培训：企业需对员工进行隐私保护培训，以确保其在处理未成年用户数据时遵守法律规定。

总结

《2024年美国隐私权法案》通过全面的隐私保护原则和详细的执行机制，旨在提升个人数据隐私的保护水平。标题 I 通过数据最小化、隐私设计、透明度和数据主体权利等措施，全面保障个人隐私权利。标题 II 则通过扩展保护年龄范围、强化家长同意、数据删除权和加强执法力度等措施，进一步保护未成年人的在线隐私。

这一法案的实施，将显著提升企业的数据处理标准，增强公众对隐私保护的信任，并在数字时代为个人隐私提供坚实的法律保障。这不仅对美国的隐私保护具有重要意义，也为全球隐私保护立法提供了有价值的参考和借鉴。

草案全文链接：

https://punchbowl.news/wp-content/uploads/PRIVACY_05_xml-005.pdf

全文共 2935 字

新会员订阅即读AI专题；老会员直接读

关于AI Trust

AI Trust是一个聚焦AI治理的高端开放平台，一个整合法律、技术及管理的AI治理专家共同体，一个制造干货、相互赋能及塑造职业品牌的AI治理生态体。AI Trust将持续举办沙龙、读书会、论坛、年度大会等开放性活动，并同时提供首席人工智能官CCAIO系列培训、ISO/IEC42001人工智能管理体系认证、欧盟人工智能法合规咨询、AI安全及技术落地等前沿服务。现招募“AI Trust×”共建活动的合作单位及AI大咖！

联系人：徐博士

138 1664 6268 [email protected]