北美观察 | 美国:CFPB拟议个人金融数据权利规则
文/ 王捷律师团队
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
互联网前沿领域法律服务:
W&W国际法律团队深耕出海法律实务的同时,也紧跟互联网前沿动态,可以为互联网企业提供前沿领域的法律服务,为企业开拓新的业务领域保驾护航,比如AIGC产品全链路合规法律服务,包括AI与数据合规, AIGC与知识产权布局、侵权风险防范,内容审核标准制定等。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01
美国:CFPB拟议个人金融数据权利规则
2023年10月19日,美国金融消费者保护局(CFPB)发布了一项关于个人金融数据权利的拟议规则。该拟议规则将实施2010年《金融消费者保护法》(CFPA)第1033条。由于金融消费的数字化和去中心化,消费者在金融机构之间的无缝切换的可能性增大。尽管共享个人财务数据是必要的,但由于其商业价值,也可能导致被滥用或误用。CFPB认识到第三方数据访问是常见的,并通常通过屏幕抓取(screen scraping)的方法启用(消费者界面凭证被分享给第三方或其服务提供商)或者开发者界面(例如无需消费者凭证访问的应用程序编程接口(API))。
根据CFPA的第1033(a)和1033(b)条款,适用该规则的主体必须应消费者要求,提供其控制或持有的消费者金融产品或服务有关的信息。此外,适用该规则的主体必须通过安全、可靠的专用数字界面,免费为消费者提供个人财务数据。该规定还建议消费者有合法权利允许第三方访问与其信用卡和数字账户等相关信息。值得注意的是,为确保第三方只为提供消费者要求的产品或服务而收集、使用和保留数据,该规则规定某些活动(包括有针对性的广告、跨销其他产品或服务或销售覆盖数据)不属于金融机构产品或服务的一部分,也不是提供任何其他产品或服务的合理必要条件。
根据该规则,消费者也有权撤销对其数据的访问权限,要求撤销访问时,数据访问立即结束,并默认删除。未经消费者重新授权,访问权限的保留时间不得超过一年。此外,撤销方法不能干扰、阻止或实质性地妨碍消费者访问或使用数据。拟议规则还概述了数据安全要求,包括对数据的收集、使用和保留要以提供消费者所要求的产品或服务所合理需要的数据为限。
垦丁W&W简评
该拟议规则激活了美国国会十多年前颁布的一项休眠法律条款。它将禁止金融机构囤积个人数据,并要求公司按照个人的指示与其他公司共享数据。根据拟议的个人金融数据权利规则,个人将有权分享有关其使用支票和预付账户、信用卡和数字钱包的数据,进而能够更轻松地将数据转移到提供更好或更低价格的产品和服务的竞争对手。对于小型或新兴机构而言,此项规则通过保障数据流转,能够有效增加它们与现有机构竞争的能力。同时,企业应当慎重适用通过屏幕抓取来访问消费者数据,远离有风险的数据收集方式。
02
美国:夏威夷参议员提出两党人工智能标签法案
2023年10月24日,美国参议员布莱恩-沙茨宣布,他们与美国参议员约翰-肯尼迪共同提出了一项两党法案,即《2023 年人工智能标签法案》(AI Labeling Act of 2023)。该法案将提高人工智能生成内容的透明度,并通过明确的标签和披露,确保人们知道自己何时在浏览人工智能制作的内容或与人工智能聊天机器人进行互动。
该法案还要求:
生成式人工智能系统的开发者必须完成清晰醒目的披露,以识别人工智能生成的内容和人工智能聊天机器人;
开发者和第三方被许可人应采取合理措施,防止在未披露的情况下系统地发布内容;
建立一个工作组来创建非约束性技术标准,以便社交媒体平台能够自动识别人工智能生成的内容。
垦丁W&W简评
该法案旨在要求开发者和社交媒体平台明确披露和识别人工智能生成的内容,以遏制虚假信息传播的风险。出海美国的企业若涉及人工智能或相关业务,可以考虑遵循该法案的指导,设计和实施相应的机制来确保在内容发布之前进行适当的披露。确保人工智能生成的所有内容都有明确、醒目的标签;如果是聊天机器人或其他交互式AI应用,则需要在用户开始互动之前明确告知。在与第三方签订的许可或合同中,明确说明相关的披露要求和责任。
03
加拿大:创新、科学和工业部长发布 C-27 法案拟议修正案
2023年10月20日,创新、科学和工业部部长发布了《2022 年数字宪章实施法案》(Digital Charter Implementation Act 2022)C-27 法案的修正草案。部长在出席委员会会议时提到了潜在的改进领域,特别是针对C-27 法案的第1部分——消费者隐私保护法(Consumer Privacy Protection Act)。修正草案包括:
承认基本隐私权;
承认并加强对儿童的保护;
增加隐私专员办公室(OPC)与组织达成合规协议的灵活性。
垦丁W&W简评
本次C-27法案的修正重点关注保护和促进加拿大人的基本隐私权,包括人工智能方面的隐私权。根据该法案,包括人工智能在内的高风险活动需要进行隐私影响评估,以确保主动排查和解决隐私风险。企业需要解释使用人工智能等自动化决策系统对个人做出的预测、建议或决策的方式具有适当的透明度。如果发生违法行为,OPC有权利使用合规协议来纠正隐私行为,包括使用经济处罚;并允许监管机构之间加强合作。人工智能领域的出海企业应当密切关注加拿大这一加强隐私权保护的趋势,积极履行合规义务,必要时可以考虑进行隐私影响评估,以确保识别并减轻隐私风险。
04
美国:AGs联盟起诉Meta违反 COPPA 和其他针对儿童的有害做法
2023年10月24日,纽约州总检察长(AG)与32名总检察长组成的两党联盟对Meta Platforms, Inc. 提起联邦诉讼,指控其设计和部署对成瘾儿童和青少年有害的功能,并收集未经事先通知并获得父母同意的情况下收集 13 岁以下儿童的个人数据。该诉讼向美国加利福尼亚州北区地方法院提起,指控 Meta 违反了1998年《儿童在线隐私保护法》(COPPA),在未获取或试图获取可验证的父母信息的情况下非法收集 13 岁以下用户的个人数据。AG还强调尽管 Meta 已向年轻用户推销其平台,但是Meta 公开否认儿童是其用户群的一部分。
此外,诉讼称 Meta 通过使用操纵功能让儿童沉迷于其 Facebook 和 Instagram 平台,从而从年轻用户中获利。一些功能包括:旨在推荐内容的算法、"点赞 "和社交比较功能、不间断的提醒、会助长年轻用户身体畸形的视觉过滤器以及无限滚动等,被认为会针对用户的弱点并引导强迫性使用,从而对用户的心理健康造成危害。
垦丁W&W简评
本次执法明确指出了网络平台的某些特定功能可能会被判断为伤害年轻用户的有害和操纵性功能,包括推荐算法,引导强迫性使用的算法;“点赞”和社交比较功能;视觉过滤功能以及持续提醒功能等。出海美国的企业在进行平台功能设计时,应当充分考虑到推荐内容可能引起的争议,尤其是针对年轻用户,应当确保算法是透明的,并且提供用户对推荐内容的控制权。加强年轻用户的保护,如果产品或服务可能吸引儿童用户,确保在未经其父母或监护人明确同意下,不收集任何儿童数据。积极回应公众和监管机构关切,及时并积极地回应负面反馈,并考虑做出必要的改变,保障自身产品在法律框架内的正常运作。
主编介绍
王 捷 律师
垦丁国际业务部负责人、广州执行主任
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
要点分析 | 中国《生成式人工智能服务管理办法(征求意见稿)》解读
重榜发布 | 《AIGC产业发展与法律合规实务手册》(第一版)
重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布
2023年中重磅 | V4.0版《个人信息保护与数据合规法律汇编》如期而至