智能家居企业出海美国的数据合规要点

一、美国数据保护相关立法

企业在美国开展业务时应当遵守联邦层面与州层面的数据保护相关法律。虽然美国众议院与参议院已发布了《美国数据隐私和保护法案》（American Data Privacy and Protection Act,“ADPPA” ）讨论稿，但美国在联邦层面暂无统一的数据保护立法，主要针对特定领域的数据保护进行立法与规范，例如《儿童在线隐私保护法》（Children's Online Privacy Protection Act,“COPPA”）规范在互联网上收集、使用和/或披露儿童个人信息的行为、《电话销售规则 》（Telemarketing Sales Rule，“TSR”）规定了企业开展电话营销所应当遵守的要求。

联邦层面的数据保护法律法规主要如下：

除了联邦层面的法律法规，美国已有多个州制定了综合性的隐私保护法规，以集中性规范消费者个人信息的收集、使用、共享等处理行为。自2018年以来，美国在州层面逐步加快统一性的隐私保护立法。根据国际隐私专业人员协会（International Association of Privacy Professionals，“IAPP”）的统计，截至2024年7月22日，包括加利福尼亚州、科罗拉多州、康涅狄格州等在内的19个州已颁布综合性的隐私保护法规，部分法规已生效（如加州的《加州消费者隐私法》（the California Consumer Privacy Act，“CCPA”）《加州隐私权法案》（ the California Privacy Rights Act，“CPRA”）），部分法规将于2025年、2026年陆续生效[1]。

除了综合性的隐私保护法规，不少州针对特定行业、领域也有隐私保护相关规定，例如加利福尼亚州、俄勒冈州均就物联网设备的隐私保护与安全颁布了专门的法规。因此企业除了关注综合性的隐私保护法规外，也要根据所处行业、开展的个人信息处理活动特点等识别与梳理应当遵守的隐私保护法规规定。

二、智能家居企业出海美国的数据合规要点

智能家居企业出海美国，在开展个人信息处理活动时应当兼顾联邦及州层面的法规要求。本文主要介绍智能家居企业在【关键业务环节】应当关注的重点合规要求。在州层面，特别关注影响力较大的加利福尼亚州CCPA与CPRA的重点合规要求。

（一）个人信息的收集

1、隐私政策与告知同意

几乎所有的联邦及州层面的数据保护法律法规均要求企业在处理个人信息时应遵守通知/透明度原则，即企业在收集个人信息前应将法律法规所明确要求的内容如实告知消费者，这些内容一般包括：

（1）所有收集个人信息的运营者（例如广告网络或社交网络插件）信息；

（2）企业收集的所有个人信息种类以及使用个人信息的所有目的；

（3）企业所收集的敏感个人信息类别及这些类别的敏感个人信息的收集或使用目的；

（4）企业如何在通过线上及线下手段收集、使用、共享、出售消费者的个人信息（敏感个人信息）；

（5）消费者享有哪些隐私法下的权利以及行使这些权利的方法。

根据CCPA的要求，如果企业出售消费者的个人信息，还应当在面向消费者的隐私通知中增加“勿出售或共享链接”，即允许消费者自主选择是否允许企业出售或共享其个人信息。

如果企业提供金融激励（financial incentive）（与个人信息的收集、删除或销售相关的计划、福利或其他优惠，例如使用会员的个人信息运营积分计划并为会员提供折扣、优惠等福利）或向消费者支付补偿金，以换取个人信息的收集、销售、共享或保留个人信息的，应当向消费者提供与金融激励相关的主要条款并在事前取得消费者的明确同意。与金融激励相关的条款包括企业如何使用基于金融激励收集的消费者个人信息，例如用于销售、消费者画像或个性化优惠及其他营销活动的目的。根据加州总检察长办公室公布的CCPA执法案例示例，多个企业因为实施金融激励换取消费者的个人信息但未向消费者披露金融激励相关主要条款被要求整改[1]。

除了一些特殊场景下（例如CCPA下实施金融激励）需要取得消费者事前同意才可以处理个人信息外，包括CCPA在内的多数隐私保护法规对于个人信息的处理采用的是Opt-out模式。但如企业处理儿童（13岁以下）的个人信息，则应当按照联邦《儿童网络隐私保护法》（COPPA）的要求就收集、使用、披露儿童个人信息的行为取得可验证的父母的同意（Verifiable Parental Consent）。《儿童网络隐私保护法》要求网站和在线服务（包括移动应用程序和物联网设备，如智能玩具）的运营者选择一种根据可用技术合理设计的方法，以确保给予同意的人是儿童的父母。FTC（COPPA的主要执法机构）认为可让父母作出以下行为来取得父母的同意[2]：

（1）签署同意书，并通过传真、邮件或电子扫描发送回运营者；

（2）使用信用卡、借记卡或其他在线支付系统，该系统会向账户持有人发送每个独立交易的通知；

（3）拨打由经过培训的人员接听的免费电话号码；

（4）通过视频会议与经过培训的人员联系；

（5）提供一份政府签发的身份证件的复印件，运营者可以将其与数据库进行核对，只要在完成验证过程后从记录中删除该身份证件；

（6）回答一系列基于知识的挑战性问题，这些问题对非父母者来说很难回答；

（7）使用面部识别技术验证父母提交的驾驶执照或其他带照片的身份证的照片，并将该照片与父母提交的另一张照片进行比对。

FTC在其合规指南中明确指出网站和在线服务包括连接的玩具或其他物联网设备[3]，因此智能家居企业面向13岁以下儿童提供产品或服务的（包括专门为13岁以下儿童提供服务或产品，或虽然向大众提供服务但实际知晓会收集、使用、披露儿童的个人信息），应当在收集儿童个人信息前直接通知父母有关儿童的信息处理实践并以可验证的手段取得父母的同意。

2、数据最小化

CCPA等法规要求企业对消费者个人信息的收集、使用、保留和共享应合理必要且与收集或处理个人信息的目的相称，或者与个人信息收集的背景兼容的其他披露目的，并且不得以与这些目的不符的方式进一步处理。

根据CCPA，企业收集、使用、保留和/或共享消费者个人信息是否合理必要且与识别的目的相称，应该基于以下几点[4]：

(1) 实现识别目的所需的最少个人信息。例如，为了完成一次在线购买并向消费者发送购买确认邮件，在线零售商可能需要消费者的订单信息、支付和配送信息以及电子邮件地址。

(2) 企业收集或处理个人信息可能对消费者造成的负面影响。例如，收集精确的地理位置信息的一个潜在负面影响是，它可能揭示有关消费者的其他敏感个人信息，例如基于就诊记录的健康信息。

(3) 针对个人信息的额外保护措施，以具体解决对消费者可能产生的负面影响。例如，企业可能考虑使用加密或在特定时间窗口内自动删除个人信息作为潜在的保护措施。

智能家居企业在研发设计、生产制造、销售、提供售后服务以及满足消费者行使个人权利的请求时收集个人信息均应遵循数据最小化原则。根据FTC发布的隐私与数据安全相关执法报告[5]，FTC近几年还重点关注企业在处理精确的位置信息是否存在过度收集、无限期保留或滥用消费者数据的行为。智能家居产品在联网、设备优化、用户互动等环节收集地理位置信息时应当特别注意遵守最小必要原则。

（二）个人信息的传输

1、个人信息的共享/出售/披露

根据CCPA的规定，如果企业收集消费者个人信息并将该信息出售给第三方、与第三方共享，或将其披露给服务提供商或承包商用于商业目的的企业，应当遵守的合规义务包括：

（1）与第三方、服务提供商或承包商签订符合CCPA要求的协议[6]；

（2）向消费者明确通知并提供退出（Opt-Out）共享/出售/披露其个人信息的方式。根据企业应当在其网站上提供一个清晰明显的“请勿出售或共享我的个人信息”链接，允许消费者提交选择退出请求，并且企业不得要求消费者创建账户才能提交请求或要求消费者验证身份（但可以询问消费者一些基本问题以识别与其相关的个人信息）[7]；

（3）如出售/共享儿童信息（16岁以下），企业应当取得儿童（13岁至16岁之间）或儿童（13岁以下）的父母或监护人对个人信息的出售或共享的明确授权；

企业在收到消费者的选择退出请求后，不能出售或共享消费者的个人信息，并且必须等待至少12个月，才能要求消费者重新选择同意出售或共享个人信息。企业可以选择向消费者提供全球隐私控制（Global Privacy Control (GPC)）来满足消费者行使退出请求的权利。

CCPA规定将唯一的个人标识符，如cookies、IP地址和移动广告ID，视为个人信息。由于cookies可以用来识别与消费者或家庭关联的设备，因此也属于个人信息。如智能家居企业其网站上使用追踪cookies使第三方可以跨网站追踪消费者的行踪轨迹，并据此向消费者投放定向广告，该行为构成个人信息的出售，企业应当遵守前述合规要求。

2、个人信息的跨境传输

美国隐私保护立法目前暂未对个人信息的跨境传输施加普遍性的限制，不过某些特定的法规可能对信息的传输存在一定的限制。不过智能家居企业应当关注自身所适用的相关法规是否对数据存在本地化存储的要求。

（三）营销

1、发送商业性电子邮件

智能家居企业营销环节在向消费者发送商业性电子邮件时，还应当遵守《控制非自愿色情和推销侵扰法》 (Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003，简称“《CAN SPAM 法案》”)的要求。根据《CAN SPAM 法案》的规定，企业在发送商业性电子邮件时应当遵守以下规定[8]：

1、商业性电子邮件不得包含虚假或误导性的头信息（Header Ininformation），电子邮件中的“发件人”、“收件人”、“回复至”和路由信息，包括发件域名和电子邮件地址，必须准确无误地识别发送消息的一方；

2、不得使用欺骗性的主题标题，电子邮件消息中的主题标题信息不得对邮件内容进行误导；

3、商业性电子邮件中应当包括退回地址或类似机制，消费者可以使用该退回地址或类似的机制（30天内有效）来拒收此类商业性电子邮件消息。企业可以给消费者提供列表来选择希望接收或不希望接收的特定类型的商业电子邮件，但该列表必须包括一个可以让消费者选择不接收任何来自该发送者的商业电子邮件的选项。

4、消费者拒绝后不得再发送商业电子邮件，除消费者拒绝后又作出明确同意以外，消费者在拒收企业的某些或所有商业电子邮件后，企业不得在收到该请求后的10个工作日内向消费者发送属于请求范围的商业电子邮件。

5、商业电子邮件中的标识符、选择退出和实体地址，企业应当在商业电子邮件中清晰地标识该电子邮件是广告，消费者享有的拒收机制以及企业的实体地址。

2、开展电话营销

智能家居企业以电信方式（包括语音电话、传真、VoIP电话和短信）开展营销，应当遵守《电话营销销售规则》（Telemarketing Sales Rule，“TSR”）《电话消费者保护法》（Telephone Consumer Protection Act ，“TCPA”）的相关规定。

TCPA规范在电话通信中使用自动电话拨号系统（ATDS）和人工或预录声音（“预录消息”）的行为。除了明确规定的例外情形，TCPA 禁止使用 ATDS 或预录消息联系手机，禁止使用预录的电话营销消息联系住宅电话，除非接收者已经提供并未撤回“同意”接受电话或短信。TCPA要求企业使用自动电话拨号系统（ATDS）或预录声音（包括合成声音）向手机拨打的电话，或通过预录声音拨打住宅线路的广告电话，需要事先明确的书面同意（PEWC）。所有电话营销的预录消息必须包含多个身份和目的声明，提供一个用于“勿打扰”请求的电话号码，并具备自动互动语音或按键操作的选择退出机制。2024年2月8日，联邦通信委员会（FCC）发布声明性裁决，明确TCPA对使用“人工或预录声音”拨打电话的限制“涵盖了当前生成真人声音的AI技术”。智能家居企业开展AI外呼同样应当按照要求获得接听方的事先明确书面同意。

TSR更加侧重于规范电话营销中的不正当与欺骗性行为，相较TCPA，TSR处罚更为严厉，如企业违反TSR，可能面临每次违规最高51,744美元的民事处罚。此外，企业还可能会面临禁止某些行为的全国性禁令，并可能被要求向受害消费者支付赔偿。根据TSR的规定，智能家居企业开展电话营销时，应当遵守以下规定[9]：

（1）直接或间接提交消费者的账单信息用于付款、获取消费者的账户信息前必须获得消费者的明确知情同意（指消费者明确表示同意购买商品或服务（或进行慈善捐赠），并且知道费用将被计入特定账户）；

（2）不得从事以下侵犯消费者隐私的行为[10]：

①　拨打国家“谢绝来电”登记表（National Do Not Call Registry，地址：https://www.donotcall.gov/）上的号码或消费者已明确表示拒绝；

②　滥用“谢绝来电”名单（ Do Not Call list）；

③　拒绝或干扰他人行使“谢绝来电”权利；

④　在非允许的时间（除消费者事前明确同意外，一般为当地时间上午8点至晚上9点 外的时间）；

⑤　放弃任何外拨电话（如果消费者接听电话后，电话推销员没有在该人完成问候后的两秒内将电话接通给销售代表，那么该外拨电话被视为“放弃”。主要是基于企业为提升外呼效率一次性同时拨打多个消费者的电话这一场景）；

⑥　未经消费者书面同意拨打预先录制的外拨电话（无论该电话由消费者接听还是其电话答录机或语音邮件服务接收），并且没有提供自动互动的选择退出机制；

⑦　未传输来电显示信息；

⑧　使用威胁、恐吓或粗鲁、猥亵的语言；

⑨　反复或持续地拨打电话或与任何人通话，意图骚扰、虐待或骚扰；

⑩　披露或接收消费者未加密的账户号码以获取报酬。

企业在向消费者拨打预先录制的外拨电话时，必须获得消费者的书面同意，该书面同意的内容必须包括：（1）清晰的证据表明接电话的人愿意接收由特定销售方或其代表拨打的录音消息电话；（2）可以接收这些消息的电话号码；以及（3）接电话的人的签名。以下是FTC给出的一个参考模板：

“我希望接收来自 [ABC 公司] 的电话，这些电话将播放预录的消息，提供如 ____________ 的特别促销优惠，请拨打以下电话号码：(_)________。”

（3）保存以下关于销售的信息：

①每位客户的姓名和最后已知地址；

②购买的商品或服务；

③商品或服务的发货或提供日期；

④客户为商品或服务支付的金额。

⑤所有直接参与电话销售的现任和前任员工的记录。这些记录包括员工的姓名（以及使用的任何虚假姓名）、最后已知的家庭地址和电话号码，以及职位名称。

FTC负责违反TSR的执法。而TCPA的执法主要由美国联邦通讯委员会（the Federal Communications Commission, “FCC”）负责。

（四）个人信息的安全

智能家居企业应当采取合理的技术、物理和组织方面的措施保障所处理的个人信息的安全。CCPA要求收集消费者个人信息的企业应实施与处理的个人信息的性质相适应的合理的安全程序和实践，以保护个人信息免受未经授权或非法的访问、破坏、使用和修改[11]。COPPA要求运营者必须建立并维持合理的程序，以保护从儿童那里收集的个人信息的保密性、安全性和完整性。运营者还必须采取合理措施，仅将儿童的个人信息提供给能够维护该信息的保密性、安全性和完整性的服务提供商和第三方，并确保他们承诺以这种方式维护信息。

美国的立法机构非常关注物联网设备的安全性，智能家居企业生产制造物联网设备的应当关注这方面的规定。在联邦层面，2020年美国通过了《2020美国物联网网络安全改进法》（IoT Cybersecurity Improvement Act of 2020），该法案要求国家标准与技术研究院（NIST）和管理与预算办公室（OMB）采取特定步骤，以提高物联网（IoT）设备的网络安全。在州层面，加利福尼亚州在2019年签署了参议院法案327（（the Security Connected Devices Act (SB 327)），又称为《加州物联网（IoT）安全法》），要求物联网设备制造商采取措施保障物联网设备的安全性。FTC等执法机构也非常关注物联网设备的安全性，并发布了相关指南告知物联网设备制造商如何保障其设备的安全性。以《加州物联网（IoT）安全法》的规定为例，物联网设备制造商应当为设备配备合理的安全功能，这些功能应符合以下所有要求[12]：

(1) 适合设备的性质和功能。

(2) 适合设备可能收集、包含或传输的信息。

(3) 旨在保护设备及其包含的信息免受未经授权的访问、破坏、使用、修改或泄露。

在符合(1)~（3）项所有要求的前提下，如果连接设备配备了一个用于局域网外的认证手段，满足以下任一要求则该认证手段应被视为(a)项下的合理安全功能，：

(1) 预设密码对每个制造的设备是唯一的；

(2) 设备包含一个安全功能，该功能要求用户在首次访问设备之前生成新的认证手段。

智能家居企业除了采取措施确保所处理的个人信息的安全之外，如作为物联网设备制造商，还需要满足物联网设备安全性的特殊要求。

（五）消费者的权利

CCPA赋予了消费者一系列的权利来增强消费者对于个人信息的控制。除了法律法规明确规定的例外情形，智能家居企业应当采取合理的措施告知消费者享有的权利并保障消费者在实践中享有并可以便捷的方式行使这些权利。消费者享有的权利包括[13]：

1、删除个人信息的权利

消费者有权要求企业删除企业从消费者处收集的关于该消费者的任何个人信息。企业收到消费者提出的可验证的删除请求后，除了法律明确规定的不需要遵守删除请求的情形外，应从记录中删除消费者的个人信息，通知任何服务提供者或承包商从其记录中删除消费者的个人信息，并通知所有与企业分享或出售过消费者个人信息的第三方删除该个人信息。

2、纠正不准确的信息

考虑到个人信息的性质和处理个人信息的目的，消费者有权要求企业纠正有关消费者的不准确信息。企业在收到可验证的消费者纠正不准确信息的请求后，应尽商业上合理的努力，根据消费者的指示纠正不准确信息。

3、知晓个人信息收集情况的权利及访问个人信息的权利

消费者有权要求收集其个人信息的企业向其披露以下内容：

(1) 企业已收集的关于该消费者的个人信息类别。

(2) 收集这些个人信息的来源类别。

(3) 收集、销售或共享个人信息的商业或经营目的。

(4) 企业向哪些第三方披露了个人信息的类别。

(5) 企业已收集的关于该消费者的具体个人信息。

企业应当提供消费者请求前12个月期间的信息，并且应当免费提供这些信息[14]。

4、知晓个人信息销售或共享情况及其对象的权利

消费者有权要求销售或共享其个人信息的企业，或将个人信息用于商业目的的企业向其披露以下内容：

(1) 企业收集的关于消费者的个人信息类别。

(2) 企业销售或共享的关于消费者的个人信息类别，以及这些个人信息销售或共享给的第三方类别，按每类第三方披露个人信息的类别。

(3) 企业为商业目的披露的关于消费者的个人信息类别，以及这些信息被披露给的人员类别。

5、选择退出个人信息销售或共享的权利

消费者有权在任何时候指示企业停止出售或共享关于消费者的个人信息给第三方。企业在收到消费者的指示后，应当尽快回应消费者的请求，最迟不得超过从收到消费者的选择退出请求之日起的15个工作日。

5、限制敏感个人信息使用和披露的权利

消费者有权在任何时候指示收集其敏感个人信息的企业，限制对其敏感个人信息的使用。企业在收到消费者的指示后，不得使用或披露消费者的敏感个人信息

6、不受歧视的权利

企业不得因消费者行使权利而对消费者进行歧视，包括但不限于：

(A) 拒绝向消费者提供商品或服务。

(B) 对商品或服务收取不同的价格或费用，包括通过使用折扣或其他福利或施加处罚。

(C) 向消费者提供不同水平或质量的商品或服务。

(D) 提示消费者将获得不同的商品或服务价格或费率，或不同水平或质量的商品或服务。

(E) 对行使权利的员工、求职者或独立承包商进行报复。

在提供的经济奖励与消费者的个人信息的价值合理相关的情况下，企业也可以通过提供促销、折扣和其他优惠来换取收集、保留或出售消费者的个人信息。但企业提供经济奖励应取得消费者同意，且用户应拥有随时撤回的权利。如果消费者拒绝，在接下来的 12 个月内，企业不得再次邀请消费者加入激励计划。

智能家居企业应当向消费者提供行使隐私法规定的权利的方法，并在内部建立完善的工作机制和流程保障企业及时接收、处理消费者行使权利的请求。

（六）员工个人信息保护

美国隐私法规要求企业基于非歧视性和合法的商业目的处理员工个人信息，暂未对员工个人信息的收集与使用施加特殊限制。不过如果企业在员工招聘、监控等环节使用人工智能、自动化决策等技术处理员工的个人信息，应当注意FTC及一些州发布的特殊规定。例如纽约市消费者和工人保护部门（DCWP）于2023年7月5日实施了关于自动化就业决策工具（AEDT）的新规。禁止雇主和招聘机构使用AEDT工具，除非该工具在使用前一年内已进行过偏见审计，偏见审计信息公开可用，并且向员工或求职者提供了相关通知。

-END-

脚注：

[1] Loyalty Programs Posted Notices of Financial Incentives That Disclosed Material Terms and Obtained Opt-In Consent https://oag.ca.gov/privacy/ccpa/enforcement

[2] Step 4: Get Parents’ Verifiable Consent Before Collecting Personal Information from Their Kids.

https://www.ftc.gov/business-guidance/resources/childrens-online-privacy-protection-rule-six-step-compliance-plan-your-business#step4

[3]https://www.ftc.gov/business-guidance/resources/childrens-online-privacy-protection-rule-six-step-compliance-plan-your-business#step4

[4] https://cppa.ca.gov/pdf/enfadvisory202401.pdf

[5]https://www.ftc.gov/system/files/ftc_gov/pdf/2024.03.21-PrivacyandDataSecurityUpdate-508.pdf

[6] 1798.100.  General Duties of Businesses that Collect Personal Information https://leginfo.legislature.c.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5

[7] https://oag.ca.gov/privacy/ccpa#sectionb

[8] §7704. Other protections for users of commercial electronic mail https://uscode.house.gov/view.xhtml?req=granuleid%3AUSC-prelim-title15-chapter103&edition=prelim

[9]§310.3Deceptive telemarketing acts or practices. https://www.ecfr.gov/current/title-16/section-310.3

[10] § 310.4 Abusive telemarketing acts or practices. https://www.ecfr.gov/current/title-16/section-310.4 Citation16 CFR 310.4

[11] 1798.100.  General Duties of Businesses that Collect Personal Information [1] https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5

[12]https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB327

[13]https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5

[14]1798.130. Notice, Disclosure, Correction, and Deletion Requirements https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5

-END-

本文仅代表作者个人观点。本文谨作学习交流之用，非任何商业性目的。如有侵权，敬请联系编者。所有事实描述、精确数字等素材均来自公开信息，包括但不限于招股书、网络新闻、法律法规等。任何仅依照本文的全部或部分内容而做出的行为或不行为而造成任何后果的，皆由行为人自行负担。若需要专业法律意见或其他专家建议的，应当向具有相关资质的专业人士寻求咨询或帮助。