我的隐私 & 安全数据团队一直在追踪国会提出的以某种方式提到隐私的美国联邦法案. 它们要么完全涉及与隐私相关的问题,要么包括隐私保护, 匮乏, 或者考虑作为法案的一部分. 2022年到目前为止, 到7月17日, 美国联邦立法者至少提出了168项法案,在某种程度上提到并影响了隐私. 从这些提出的法案中, 其中只有少数被认为是“全面的”,这通常意味着他们对收集进行监管, 澳门赌场官方下载使用和披露个人信息,并为收集的数据提供一套明确确立的消费者/个人权利, 比如访问权, 正确的, 并删除澳门赌场官方下载收集的个人信息.
长期以来,人们一直希望在美国建立全面的隐私(或“数据保护”,如欧盟的《澳门赌场官方软件》(GDPR))监管,以取代目前庞大且不断扩大的州一级监管, 特定于行业的, 以及特定于数据项的法律, 法规和标准与一个简化和协调的美国法规. 早在2005年,我就与业内人士讨论过这种可能性, 之后,越来越多的州开始制定自己的违约通知法 加州SB 1386是美国第一个于2003年生效的法案. 现在有数百个当地的, 美国各州和联邦的隐私和网络安全法律法规. 这当然会带来安全, 隐私, 如果有一个适用于所有组织的总体规则,法规遵从性和审计专业人员的日子会轻松得多, 不是吗? 它还将有助于公众了解各类组织在保护个人数据和隐私方面的义务.
除了那些美国联邦全面隐私法案, 至少还有几个两党团体正在起草其他尚未正式提交的综合法案. 最近有很多新闻报道的是征兵 美国数据隐私和保护法案 (ADPPA). 这个特别的草案, 与其他已经正式提出的法案不同, 引起了一些商业协会的注意. 其中包括全球最大的商业协会,澳门赌场官方软件超过65人,000个成员, 美国商会(商会), 最近对ADPPA提出了反对意见. 他们挑出草案中两个他们称之为“不可行,应予以拒绝”的具体提议部分:
- 州法律的优先权
- 个人对违法行为提起诉讼的权利
鉴于对这些具体问题有足够的关注,他们应该写一封正式的信, 这是一个指标,分庭必须相信,尽管这仍是草案形式, 这很有可能成为一项最终被制定为法律的法案. 让我们在ADPPA草案中检查这两个主题, 看看为什么会有这样的反对和顺从, 安全, 隐私和审计专业人员应该考虑.
州法律的优先权
如目前起草的, 各州和“一个国家的政治分支”一般是无法建立的, 执行或“继续有效”ADPPA条款所涵盖的任何法律要求, 与异常. 当然也有很多例外! 例外情况包括以下类型的法律要求,这些要求将被允许在州和地方继续执行, 总结如下 两党讨论草案:
“generally applicable consumer protection laws; civil rights laws; employee and student 隐私 protections; data breach notification laws; contract and tort law; criminal laws regarding fraud, 盗窃, 身份盗窃, 未经授权使用电子设备, and unauthorized use of personal information; laws on cyberstalking, 网络欺凌, 国际社会色情, and sexual harassment; unrelated public sector and safety laws; laws addressing public 记录 and criminal justice information; laws addressing bank, 金融, 还有税务记录, 社会安全号码, 信用卡, 信用报告, 信用修复, 信贷诊所, and check-cashing services; facial recognition, 电子监控, 窃听, and telephone monitoring laws; the Illinois Biometric and Genetic Information 隐私 Acts; laws addressing unsolicited email and phone calls; laws addressing medical information, 记录, and HIV status or testing; the confidentiality of library 记录; and Section 1798.《澳门赌场官方软件》第150条. 州普通法权利或救济以及制定民事救济救济的法规不具有优先购买权.”
这当然是一个很长的清单! 唯一明确指出的例外是伊利诺伊州的生物特征隐私保护法, 以及加州数据泄露隐私法的特定部分.
由于组织长期以来不断增长的需求一直是有一个全面的国家隐私法规, 考虑所有这些列出的例外情况, 该草案将提供另一项所有组织都需要遵守的规定, 除了所有其他现有的法律要求适用于每个, 可能有一些特殊的例外. 最终的结果是,任何具有信息的实体都可能与个人相关联, 包括目前未被另一项美国法律要求涵盖的任何行业的所有组织, 现在是否必须实施隐私和数据安全保护. 因此,从本质上讲,这将是一个广泛的隐私保护填补空白.
对于参与起草草案的议员们来说,这个概念听起来很理想,也很有益. 然而, 从从业者的角度来看, 这不会产生和谐, 从消费者和数据风险管理的角度来看,哪些是迫切需要的. 而不是, 它将增加另一项规定, 这将需要另一轮的分析,以确定哪些地方适用,哪些地方不适用,因为其他法律要求已经到位,必须继续遵守.
虽然这可能不是分庭所说的“不可行的”, 除了所有其他隐私法律要求之外,它肯定会增加实施和管理的复杂性和时间——多一项法规和一套需要执行的分析,使从业者的生活比现在更加复杂. 真正使新的全面的隐私/数据保护条例有效和切实可行地在所有类型的组织中实施, 它需要, 至少, 优先考虑解决同样问题的州和地方法律.
个人对违法行为提起诉讼的权利
如目前起草的, ADPPA包括一项私人诉讼权利, 使个人和各类人员有能力就指称的违反规定而对他们造成某种伤害的组织提出起诉. 这种私人诉讼权利将在法案成为法律四年后生效. 该草案包括三种方式,法院可以对赢得此类诉讼的原告给予奖励:
- 相当于补偿性损害赔偿金额的数额;
- injunctive or declaratory relief; and
- 合理的律师费和诉讼费用.
这种类型的权利通常与美国以外的其他数据保护法规保持一致,即“在任何有管辖权的联邦法院”对不遵守法规规定的权利并因此遭受某种伤害的组织提起诉讼. 虽然这将是一个巨大的变化, 在许多人看来,美国在个人隐私和网络安全权利方面取得了巨大进步, 它仍然有一些其他国家许多综合数据保护法案所没有的条件. 例如, 该草案要求,如果被告实体遵守了该条例的要求,诉讼必须针对“遭受伤害的任何人或一类人”,而这种伤害本来是可以避免的. 其他一些国家的数据保护条例允许仅因不遵守规定而采取此类隐私行动,而无需证明受到伤害.
为民事诉讼提供此类权利,将在一定程度上与其他国家的数据保护法规保持一致, 无论如何,越来越多的美国组织目前都必须遵守这一规定. 包括需要证明受伤可能会限制, 可能显著, “鼓励滥用集体诉讼的情况”,,正如分庭在其反对ADPPA这一部分的信草稿中所指出的那样. 整体, 这种能力可以加强组织中的遵从性工作, 这将降低此类诉讼的可能性.
作为旁注, 我很惊讶商会没有反对第203条所涵盖的“数据所有权”概念.
一项全面的美国隐私监管必须是可行的,并适用于现实生活
在一般情况下, 对ADPPA草案的关键修订将使其更加实际和可行,以便从业者能够切实实施并在持续的基础上进行管理. 至少, 这将包括将所有豁免的现行法律的共同要求纳入这种条例的措辞中,然后取消大多数豁免. 这将需要起草这样一项可行法规的团体进行认真和深思熟虑的考虑, 并且它将要求他们与实际的实践者交谈,以获得他们提出的需求如何在整个组织范围内的实际使用中工作的经验观点.
立法者需要有兴趣对现实生活中的用例进行深思熟虑的学习和应用,以创建一个真正协调可行的全面隐私法规. 它还将有效地提供隐私保护,并赋予所有美国居民关于如何收集有关他们的信息的权利, 加工过的, 使用, 共享和保留.
