美国个人信息保护制度简述
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:个人信息保护;美国;数据泄露通知;信息收集;信息使用;信息传输;非公共个人信息
本文约1375字,大概需要阅读 5 分钟。
美国没有专门制定一部法律来保护公民个人数据安全,但在联邦及各个州,均在不同领域设有多部法律法规来规范该领域涉及的公民个人数据的获取、传播及使用等行为。
比如在美国联邦层面,《联邦贸易委员会法》(the Federal Trade Commission Act) 授予美国联邦贸易委员会以广泛的执法权,执行联邦隐私和数据保护法规的规定以保护消费者免受不公平或欺骗。各州法律会对企业收集、使用、披露、保密或保留特殊类别的信息的行为进行限制,特殊类别信息如生物识别数据、医疗数据、财务记录、税务记录、保险信息、刑事司法信息等。
每个州都通过了适用于其居民的某类个人信息的数据泄露通知立法。即使一个企业在某个州没有设立营业点,当面临未经授权访问或获取其收集、持有、传输或处理的关于该州居民的个人信息时,该企业必须遵守这个州的法律。
在数据保护方面,各个州的法律约束的信息类别各有不同,规范力度也有所不同。
马萨诸塞州
以马萨诸塞州为例,该州的数据保护法规要求接收、存储、维护、处理或以其他方式访问马萨诸塞州居民与提供货物或服务或与就业有关的“个人信息”的企业,应当:
(a)执行和维持一个涉及10项核心标准的全面书面信息安全计划(WISP);
(b)建立和维持满足8项核心要求的正式信息安全方案,这些要求包括加密和信息安全培训。
在2019年,马萨诸塞州更新了其数据泄露通知法,要求企业披露他们是否确实维持了所需的WISP,并披露他们已经能采取或计划采取与该事件有关的步骤,包括更新WISP。
纽约州
2019年,纽约州扩大了其数据泄露通知法的范围,将明确要求企业制定、实施和维护“合理”的保障措施,以保护私人信息的安全、保密和完整性。值得注意的是,纽约州的SHIELD法案制定了一系列的行政、技术和实体保障措施,实施这些措施才会被认定为符合纽约州法律规定的合理性标准。
加利福尼亚州
加州在隐私权保护立法方面已较为成熟。2018年,加州颁布了《加州消费者隐私权法案》(CCPA),该法案于2020年1月1日生效。该法对企业规定了新的义务,包括要求披露企业收集的关于消费者的个人信息的类别、企业收集到的有关消费者具体个人信息、收集个人信息来源类别、收集或出售个人信息所涉企业或商业目的,以及企业与之分享个人信息的第三方类别。CCPA的规定可能会使企业的隐私政策和操作合规程序进行调整。
制定了保护公民个人数据法规的领域,涉及金融服务、医疗保健、电信和教育等。
金融服务领域
The Gramm Leach Bliley Acts (GLBA) 规范的是银行、保险公司等金融服务机构掌握的个人信息保护机制。该法规定了非公共个人信息(Non-Public Personal Information),包括了金融机构从客户那收集来的与提供服务有关的任何信息。该法要求金融机构应当确保非公共个人信息的安全,限制非公共个人信息的披露,使用及当非公共个人信息被不当泄露时通知客户的义务。
修订后的《公平信用报告法案》限制了与个人信誉、信用、个人特征或生活方式有关的信息的使用,限制以推销为目的的公司获得此类数据。而各信用卡公司在处理、存储或传输支付卡数据时必须符合《支付卡行业数据安全标准》。
卫生保健领域
修订后的《卫生信息可移植性和责任法案》要求各机构保护其所持有的与个人有关的健康状况、支付保健费用的信息等,其《隐私权规则》对收集和披露此类信息作出了规定。
美国也没有设立专门的个人数据保护监管机构,除了上述的联邦贸易委员会之外,货币监管部门、卫生和公众服务部门、联邦通信委员会、证券交易所、消费者金融保护局和商务部等,也在其监管领域内履行其保护公民个人信息的职责。
陆续更新,敬请期待
如认为本文侵犯版权,请及时联系闪涛律师团队。
关键词:区块链;人工智能;大数据;智能合约;涉外法
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
点一下在看再走吧