美洲观察 | 美国：《纽约儿童数据保护法案》提交议会

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

文/ 王捷律师团队

W&W国际法律团队

专注互联网出海法律实务：

W&W国际法律团队深耕海外多地区多条业务线，通过多年来积累的出海法律服务经验以及资源优势，结合本土化的合规经验与国际化的思维，致力于为出海互联网企业提供专业的一站式法律解决方案，为逐鹿海外的互联网企业提供优质及多元化的法律服务，为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。

互联网前沿领域法律服务：

W&W国际法律团队深耕出海法律实务的同时，也紧跟互联网前沿动态，可以为互联网企业提供前沿领域的法律服务，为企业开拓新的业务领域保驾护航，比如AIGC产品全链路合规法律服务，包括AI与数据合规， AIGC与知识产权布局、侵权风险防范，内容审核标准制定等。

覆盖以下行业领域：

物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。

（此处仅展示部分内容，如有任何需求，请尽管与我们联系。）

引言

鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势，W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块，跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向，提示企业合规要点，为企业开展出海业务、部署国内合规工作提供参考。

美国：《纽约儿童数据保护法案》提交议会

2023年10月13日，A8149 号众议院法案，《纽约儿童数据保护法案》被提交至纽约州众议院，随后该法案被提交至科学与技术委员会。该法案是先前提交给参议院的 S7695 法案的配套法案。

定义

该法案以保护18岁以下儿童为立法目的，针对运营商设置规则。该法案中的“运营商”被定义为运营或提供网站、在线服务、在线应用程序、移动应用程序或连接设备，且直接或间接收集和维护个人数据或者允许他人收集与用户有关的个人数据的组织。此外，法案还定义了其他术语，如 "涵盖用户"（covered user）、"个人数据"、"主要针对未成年人"、"出售"和"第三方"。

义务

该法案规定，运营商除非根据《儿童在线隐私保护法》（COPPA）获许，否则不得处理12岁以下用户的个人数据。对于13岁以上的用户，如果已获得知情同意，或出于以下活动的需要，运营商可以处理其个人数据：

提供或维护用户要求的特定产品或服务；
开展运营商的内部业务运营；
识别和修复有损现有或预期功能的技术错误；
防止恶意、欺诈或非法活动；
调查、起诉、准备起诉或应诉；
遵守联邦、州或地方的法律、法规或规章；
遵守联邦、州、地方或其他政府机构的民事、刑事或监管的询问、调查、传票或传唤；
侦查、应对或预防安全事件或威胁；
保护自然人的重要利益。

此外，该法案中还规定了获得知情同意的要求、禁止购买和出售用户个人数据，以及运营商与第三方之间处理协议的条件等。

处罚

法案规定的处罚为：每名涵盖用户每起事件最高获得5,000美元的损害赔偿或实际损害的赔偿，以数额较大者为准；法院可以实施禁令或宣告性救济或法院认为适当的任何其他救济。

垦丁W&W简评

该法案旨在保护儿童获得适合年龄的在线体验，除非运营商获得知情同意或有其他必要，否则禁止所有运营商收集、使用、共享或出售18岁以下任何人的个人数据。法案对于“运营商”的定义较为广泛，提供收集或管理用户个人数据的网站、在线服务、应用程序或连接设备的组织都落入该法案的管辖范围。该法案还概述了获得知情同意的要求，并规定了运营商与第三方之间处理协议的条件。该法规整体上对于企业如何设置针对儿童的信息处理规则做出了清晰明确的指导。

出海美国的企业若涉及向未成年人提供在线服务或产品，应当注意联邦层面COPPA的规定以及美国各州陆续发布、未来将生效的关于儿童个人数据保护的方面的规定（如《加州适龄设计规范法案》），目前仍然处于审议阶段的各州关于儿童个人数据保护的规定（如《纽约儿童数据保护法案》）。

美国：纽约州总检察长与Personal-Touch 就数据泄露问题达成35万美元的协议

2023 年 10 月 18 日，纽约州总检察长 (AG) 发布了一份《终止保证》，就医疗保健公司Personal-Touch Holding Corp. (Personal-Touch) 因为数据泄露违反《1996 年健康保险流通与责任法案》（HIPAA）的行为，与该公司达成了价值 35 万美元的和解协议。

和解背景

AG 特别指出，数据泄露发生在2021年1月20日，当时一名 Personal-Touch 员工打开了网络钓鱼电子邮件中附加的恶意文件，使得威胁者能够访问未加密服务器中包含员工和患者个人信息的文件。威胁者在窃取数据后使用勒索软件加密了 Personal-Touch 的服务器。AG 指出，此次攻击泄露了约316,845名纽约自然人的个人和医疗信息。

调查结果

总检察长办公室 (OAG) 的调查确定，Personal Touch 未能采取合理的数据安全保障措施来保护患者和员工数据。Personal Touch 的信息安全和风险管理计划是非正式且不成熟的。其员工的安全培训不足，访问控制不力，缺乏持续监控系统，并且未能对个人和医疗数据进行加密。结果上，由于 Personal-Touch 的失误，除了向纽约州支付 350,000 美元的罚款外，AG还表示，Personal-Touch 需要加强其数据安全程序。

垦丁W&W简评

OAG 认定 Personal-Touch 未能提供保障措施来阻止未经授权的个人数据访问，也未能采取合理的数据安全实践来保护私人信息，因此不符合 HIPAA 隐私规则要求的标准和程序规范和安全规则。对于企业的数据安全问题，纽约州司法部表现了严厉的执法态度。在此次事件之前，已经有多家企业因数据泄露问题而被司法部判处赔偿。此次协议延续了纽约州司法部在保护个人信息，要求公司承担数据安全责任方向所做的努力。

另外，纽约州在今年四月份发布了一份指南，帮助企业采取有效的数据安全措施，更好地保护个人信息。出海美国的企业若在业务开展中涉及对个人信息的处理，建议参考OAG在网络安全漏洞执法中对于企业加强其数据安全程序提出的建议，包括但不限于：

制定全面的信息安全计划，包括定期风险评估、定期测试和监控现有保障措施以及定期更新信息安全计划；
设置合理的访问控制和身份验证程序；
加密个人和健康信息；
持续实施日志记录和监控系统、反恶意软件保护和入侵检测
制定电子邮件过滤和网络钓鱼解决方案；
制定漏洞管理计划，包括定期漏洞扫描和渗透测试；
更新其数据收集、保留和处置做法，以确保个人和健康信息仅在实现合法商业目的所需的最低限度内得到维护；
每年进行员工安全培训；
建立合理的供应商管理程序。

主编介绍

王捷 律师

垦丁国际业务部负责人、广州执行主任

W&W国际法律团队创始人

荣登律商联讯（LexisNexis）2023「40位40岁以下的法律精英」榜单

业务领域：

个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全

王律师持有CIPP/E（国际信息隐私专家认证/欧盟）、区块链应用操作员资格证书、数据安全师、数据合规官资格证书，是联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士。

王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验，具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务，行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。

王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地，包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局，已为各类涉互联网企业拓展全球市场提供法律支持，尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。

同时，王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。

联系方式：jie.wang@kindinglaw.com

+86 13650790754

推荐阅读：

垦丁荣誉｜王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单

W&W国际法律团队 | 算法备案实务干货（二）：特殊八问Q&A

W&W国际法律团队 | 算法备案实务干货（一）：备案常见问题

挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布

合规实务 | AIGC非知识产权领域的法律风险与合规应对

合规实务 | AIGC知识产权领域的法律风险与合规应对

要点分析 | 欧盟Artificial Intelligence Act 解读（二）

要点分析 | 欧盟Artificial Intelligence Act 解读（一）

要点分析 | 中国《生成式人工智能服务管理办法（征求意见稿）》解读