附全文及摘要 | 美国两党两院首次提议联邦统一隐私立法草案
欢迎点击上方 TMT法律论坛 关注我们
导读
Law
★
NEWS
★
当地时间6月3日,美国众议院和参议院商务委员会的主要成员联合发布《美国数据隐私和保护法(American Data Privacy and Protection Act)》(以下简称为“《法案》”)草案文本,这是首份获得两党、两院支持的美国综合隐私立法草案。
《法案》有如下值得重点关注的内容:
适用数据不包括员工数据;
敏感数据包括17岁以下个人数据,及为识别敏感数据而处理的数据;
隐私政策中必须明确数据是否会向中国提供;
为规模不同的实体配置不同的义务,如中小型企业享有实现可携权的豁免,大型数据持有者有向美国联邦贸易委员会(Federal Trade Commission, FTC)提交年度算法影响评估报告的义务等;
禁止向17岁以下个人提供定向广告;
FTC具有宣传《法案》、制定《法案》配套规制的义务,包括建立机制以便利个人向第三方收集实体请求删除个人数据等;
个人在提起民事诉讼前,须以书面形式通知FTC和个人居住地所在州的总检察长,若FTC或州检察长决定独立提起民事诉讼,则个人不应当再向适用实体发送任何要求支付金钱的书面信息;
在法案颁布后180日内,FTC将修改美国《儿童在线隐私保护法》 (Children’s Online Privacy Protection Act,COPPA)。
根据美国国会立法程序,法案提出后一般需经众议院、参议院两院审议表决通过,并经总统签署后方可生效。
目前,各方对《法案》中的诸多内容还存争议,如“忠诚义务”应包含的内容等。当地时间6月14日,美国众议院能源和商业委员会的消费者保护和商业小组委员会将就《法案》举行听证会。《法案》未来能否正式落地仍有待观察。
点击文末“阅读原文”,获取《法案》草案全文。
《美国数据隐私和保护法案(草案)》章节内容摘要
第1节 简称及目录
明确法案标题为《美国数据隐私和保护法案》。
第2节 定义
适用实体(covered entity):收集、处理或传输适用数据(covered data)并受FTC管辖的任何实体,包括非营利组织和电信公共运营商。
适用数据:可识别、链接或合理链接至个人的信息或设备(指设计供个人使用的能够发送或接收数据的电子设备),包括衍生数据(derived data)和唯一标识符,不包括去标识化数据、员工数据或公开可用的信息。
去标识化数据(de-identified data):无论信息是否聚合,均无法识别、链接或合理链接至个人或设备的信息。
适用敏感数据(sensitive covered data):医疗信息,金融信息,生物识别信息,遗传信息,精确地理位置,私人通信信息,账户设备登录凭证信息,种族民族宗教国籍等身份信息,性取向或违反个人合理披露预期的性行为等信息,在线活动信息,设备上供私人使用的日历、通讯录、音视频、文本等信息,在私人区域裸体或穿着内衣的图像或视频,每天观看记录,17岁以下个人的信息,以及任何为识别前述适用敏感数据而处理的适用数据。
大型数据持有者(large data holders):总收入超过2.5亿美元和/或在最近一个自然年内处理超过500万人/设备的适用数据或10万人/设备的适用敏感数据。
第三方收集实体(third-party collecting entity):以处理或转让非直接面向个人收集的数据为主要收入来源的实体。
此外,该节还对“正面明示同意(affirmative express consent)”“算法”“生物识别信息”“共用品牌(common branding)”“控制”“去标识化数据”“衍生数据”“遗传信息”“个人”“处理目的”“公开信息”“服务提供商”“定向广告”“第三方”“第三方数据”“转让”“唯一标识符””大众传媒(widely distributed media)”等词语进行了定义。
第一编 忠诚义务
第101节 数据最小化
禁止适用实体收集、处理或传输超出向个人提供特定产品和服务所合理必要、适当、有限度的(reasonably necessary, proportionate, and limited)范围的数据。
FTC将会发布相关指南,帮助明确合理必要、适当、有限度的内容。
第102节 忠诚义务
禁止或严格限制适用实体从事与特定类型适用数据相关联的某些数据处理活动。如收集、处理或转让生物识别信息、遗传信息、聚合互联网浏览和搜索信息、身体活动信息(physical activity information),或向第三方传输精确地理位置信息时,需基于响应正当理由进行(responding to a warrant)或在取得个人明确肯定同意方面满足更高的条件。
第103节 隐私设计(PbD)
适用实体应在综合考虑实体规模、复杂性、数据处理活动、处理数据类型和数量、风险与成本相适应、17岁以下个人数据处理的特殊风险等的基础上,采取合理的政策、做法和程序,进行隐私设计。
FTC应当在法案颁布后一年内发布“合理的政策、做法和程序”的指南。
第104节 在定价方面对个人忠诚
禁止适用实体对向个人提供服务或产品施加条件实际上施加条件使得个人放弃《法案》中的任何隐私权利。
允许适用实体根据个人在请求使用产品时所提供的支付所必要的财务信息区分服务的价格或水平;允许适用实体在遵守《法案》的前提下,通过忠诚度计划换取与个人的业务延续。
第二编 消费者的数据权利
第201节 消费者意识
FTC必须在《法案》颁布后90天内,通过公共网页以简洁语言帮助个人了解《法案》所有条款内容及个人在《法案》下的权利和义务。
第202节 透明度
适用实体必须以易于获取和理解的方式向个人提供详细说明其数据收集、处理、传输和安全活动,数据存储时间,以及个人在《法案》下享有的权利及行使方式等内容的隐私政策。隐私政策中必须明确数据是否会向中国、俄罗斯、伊朗和朝鲜提供。
该隐私政策必须以相关业务所使用的所有语言提供,且在发生重大变化时重新通知个人并允许个人撤回对变更前隐私政策所披露的处理活动的同意。
第203节 个人对数据的所有权和控制权
个人有权访问、更正、删除和转移与其相关的数据。在技术可行的范围内,个人也有权以便携式格式导出其数据。权利响应时间与适用实体是否为大型数据持有者或中小企业相关。
FTC需颁布必要的法规,考虑不同实体的特征和不同数据处理活动,建立遵守本节的流程。
第204节 同意和反对的权利
未经相关个人明确同意,不得收集、处理敏感数据或将其转让给第三方。
必须以同样清晰、明显和易于使用的方式向个人提供同意和撤回同意的方式。
个人有权不向第三方传输任何数据。
适用实体应在任何时候为个人提供明确和明显的退出定向广告的方式。
第205节 对儿童和未成年人的数据保护
在知悉个人年龄的情形下,禁止向17岁以下个人提供定向广告;未经明确同意,不得将13至17岁个人数据转让给第三方。
FTC内将设立少年隐私和营销部门(Youth Privacy and Marketing Division)负责相关事务。
第206节 第三方收集实体
第三方收集实体必须在其网站和/或移动应用程序上通过清晰醒目的通知告知个人其为第三方收集实体。
FTC必须建立并维护一个在线、公开、可搜索的注册第三方收集实体登记册,允许个人查找有关第三方收集实体的信息、指向第三方收集实体的链接和联系信息。同时,FTC需提供一个链接和机制,使得个人可以向所有注册的第三方收集实体提交请求,要求其在30天内删除与个人相关的所有数据。
第207节 公民权利和算法
不得以基于种族、肤色、宗教、国籍、性别、性取向或残疾的歧视方式收集、处理或传输数据。使用算法的大型数据持有者应每年评估其算法,并向FTC提交年度算法影响评估报告。
FTC必须发布与本节有关的指南。
第208节 数据安全和数据保护
适用实体必须开展和维持保护数据安全的做法和程序,防止未经授权的使用和获取。
FTC可颁布相关规范明确合规程序。
第209节 一般例外情况
在合理必要、适当且仅限于特定目的的情况下,适用实体可以为特定目的收集、处理或传输数据。
特定目的包括:
为发起或完成交易或个人特别要求的订单或服务;
为执行系统维护、诊断或内部研究等处理在《法案》出台前收集的数据,
为监测、处置安全事件或履行保修;
为防范非法活动和欺诈;
为遵守法律义务;
为防止个人死亡或严重人身伤害;
为依法实施产品召回;
为公共利益开展符合人体研究特定要求的研究。
此外,满足如下条件的中小企业无需履行实现数据可携权等义务,并可在个人提出更正数据请求时,自行决定以删除代替更正:
在数据处理期间,年平均总收入不超过4.1千万美元;
在数据处理期间,平均每年收集或处理数据不超过10万人(处理付款和为及时删除数据所处理的数据除外);
在数据处理期间,任意一年从数据传输中获得的收入不超过总收入的50%。
第210节 统一的退出机制
在评估确定可行性的前提下,FTC需建立统一的退出机制供实体使用,以便于个人行使其退出定向广告等的权利。
第三编 公司责任
第301节 行政责任
所有实体必须指定一名或多名隐私和数据安全官员实施隐私和数据安全计划,确保持续遵守《法案》。
大型数据持有者还必须:
指定向首席执行官(或同等人员)报告的隐私官员,首席执行官(或同等人员)和隐私官员必须每年证明其公司保持合理的内部控制和报告结构,以遵守《法案》;
每两年进行一次隐私影响评估。
第302节 服务提供商和第三方
服务提供商和第三方都需承担数据保护责任。
服务提供商只能在向其提供数据的实体所指示的目的范围内收集或处理数据,未经相关个人明确同意,不得将此类数据传输给其他实体;协助向其提供数据的实体响应个人行权请求。
第三方不得基于超出合理个人预期的目的处理数据。
所有实体必须在选择服务提供商和决定将数据传输给第三方时进行适当的尽职调查。
FTC必须发布指南,帮助实体遵守本节规定,包括帮助减轻本节可能对小型实体施加的不合理合规负担。
第303节 技术合规计划
FTC需在《法案》颁布后120天内,颁布相关规则以明确实体提交技术合规计划供审批的流程
第304节 委员会批准的合规指南
一个或一组符合特定条件的非第三方收集实体可向FTC申请批准一套或多套合规指南,以管理其数据处理活动。
第305节 数字内容伪造
在《法案》颁布后的一年内及此后的每一年,美国商务部必须发布一份关于数字内容伪造的报告。
第四编 执行、适用性和其他
包括“第401节 FTC执法”“第402节 州总检察长执法”“第403节 个人诉讼”“第404节 与联邦和州法律的关系”“第405节 可分割性”“第406节 COPPA”“第407节 拨款授权”“第408节 生效日期”。
在第403节中,《法案》明确自其生效之日起四年,因适用实体违反《法案》及其配套规则而遭受侵害的个人或集体可以在具有管辖权的联邦法院提起民事诉讼,但在提起诉讼之前,个人或集体必须以书面形式通知FTC和个人居住地所在州的总检察长,概述他们提起民事诉讼的意愿。联邦贸易委员会和州检察长需在收到通知后60日内作出决定,并对其是否将独立采取行动作出答复。个人或集体在60日结束前,或在FTC或州检察长决定独立提起民事诉讼后,向适用实体发送要求支付金钱的书面信息的行为系恶意行为(bad faith)。
在第404节和第406节中,《法案》明确除非《法案》中有特别规定,否则州立法的相关隐私规则仍需被遵守;同时,FTC将在《法案》颁布的180天内修改COPPA,使其与《法案》相适应。
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 林婉琪