2019年美国隐私保护立法最新动态

动态一：1月14日，信息技术和创新基金会（ITIF）发布关于数据隐私立法的报告（A Grand bargain on data privacy legislation for America）

报告比较了世界各地不同的法律和框架如何解决各种数据隐私问题，描述了现有法律、框架和立法提案中包含的30个组成部分，并解释了对消费者、企业和数字经济的可能影响。在此基础上，报告呼吁建立制定全面的数据隐私立法，扩展和简化消费者数据隐私权，废除和取代现有的联邦隐私法，提供一套共同的保护措施，降低现有州和联邦法规的合规成本，并为更多数据驱动的创新铺平道路。

动态二：2月27日，美国参议院提出《数据隐私法案》（Digital Accountability and Transparency to Advance Privacy Act or the DATA Privacy Act）

《数据隐私法》加强了对美国消费者的数据隐私保护，同时确保企业专注于实施新的数据安全标准以及采用必要的隐私保护措施。法案还增加了对保护美国公民隐私技术研究的规定，并确保小企业免受不必要的监管。

法案主要包括以下六个方面：

一是数据保护。法案要求企业为用户提供合理的选择退出（opt-out）方法，规定了对数据收集、处理、存储、披露应适用三项标准：

合理：必须是合法的业务或运营目的，并且不会使个人承担不合理的隐私风险。

公平：数据实践不会歧视政治类别和宗教信仰等受保护特征

直言：企业不得从事欺骗性的数据实践。

法案要求在两种情况下企业应使用选择加入（opt-in）同意，包括收集或披露遗传、生物特征或精确位置数据等敏感数据，以及披露企业与消费者关系之外的数据。

二是透明性。要求那些每年收集超过3,000人的个人数据的企业必须提供隐私政策的访问通知方式，该通知对消费者而言是简明易懂的，并且准确描述企业的隐私政策。

三是消费者控制其个人数据。法案允许消费者请求、矫正数据准确度、转移或删除其数据，企业不得已歧视定价或服务的方式进行报复。

四是数据安全要求。法案要求每年收集超过3,000人的个人数据的企业，进行隐私风险管理，采用技术手段保护消费者数据，同时确保小企业免受繁重的要求和不必要的监管。

五是隐私保护专员。法案要求每年收集超过3,000人的个人数据的，且年收入超过2500万美元的企业，应当指定一名隐私保护专员为公司建立数据和隐私保护文化，并培训相关员工。

六是推动技术创新以及政府监管。法案将国家科学基金会的网络安全研究扩展到隐私保护技术，法案还为州检察长和联邦贸易委员会增设了新的权力，允许它们对违法行为进行民事处罚。

动态三：3月14日，美国参议院提出《2019年商业人脸识别隐私法案》提案（Commercial Facial Recognition Privacy Act of 2019）

该法案是美国关于人脸识别隐私保护的第一部法案，被认为是联邦监管的重大举措。该法案规定，商业公司在使用人脸识别技术时需要经过用户的明确同意，同时要求对投入市场应用的人脸识别技术进行第三方测试，以确保其符合准确性标准，避免对消费者可能造成的损害。法案禁止在未经用户同意的情况下，将用户数据提供给第三方实体。法案还明确定义了数据控制者以及数据处理者，以便明晰两类主体在研发或销售人脸识别产品或服务、存储人脸识别数据中的具体要求。法案还要求人脸识别运营商应满足联邦贸易委员会和国家标准与技术研究院确定的数据安全性、最小化、留存等标准。

动态四：“华盛顿隐私法”（Washington Privacy Act）被州下议院否决

2019年3月6日，美国华盛顿州参议院通过了《华盛顿隐私法案》，法案适用于在华盛顿开展业务或生产有意针对华盛顿居民的产品或服务的法律实体。法案赋予消费者对数据享有访问权、更正权、删除权、限制处理权、可携权、拒绝处理权、反对自动化决策权等权利。法案明确了数据控制者向消费者提供可以访问的有意义的隐私声明、必须在获取个人数据时或之前披露概况、记录风险评估等义务。法案还包括了对人脸识别的规定，对实施人脸识别技术的控制者和处理者提出了明确要求，限制了政府机构使用面部识别技术的范围。但该法案未能在华盛顿州下议院获得投票通过。

动态五：4月9日，美国参议院提出《2019年遗传信息隐私法案》（Genetic Information Privacy Act of 2019）

《2019年遗传信息隐私法案》禁止基因检测服务在未经其明确同意的情况下披露或使用消费者的个人信息。今年早些时候，美国最大的基因检测公司之一FamilyTreeDNA向其用户道歉，未经授权分享他们的DNA信息。全国有数百万美国人目前容易受到这种脆弱性的影响。法案加强了用户的隐私权，特别要求用于医学研究的遗传信息符合美国国立卫生研究院的知情同意要求。

动态六：4月10日，美国参议院提出《2019算法问责法案》（Algorithmic Accountability Act of 2019 Bill）

因为科技公司“自动决策系统”中的算法对美国人的生活和决策的影响越来越大，但这些算法往往依赖而不是消除有偏见的假设或数据。对此，《2019算法问责法案》要求大型科技公司评估并消除其“自动决策系统”给个人信息隐私和安全带来的风险，以及因种族、肤色、宗教、政治信仰、性别或其它方面差异带来的歧视性偏见，要求公司纠正他们在影响评估期间发现的任何问题，还要求公司评估其信息系统如何保护消费者个人信息的隐私和安全 。该法案将授权联邦贸易委员会制定法规，要求其管辖范围内的公司对高度敏感的自动化决策系统进行影响评估。法案中提到的监管规则适用于年收入超过5000万美元的公司，以及拥有的用户数或控制的终端数超过100万的数据代理商和企业。

动态七：4月11日，美国参议院提出《隐私权利法案》（Privacy Bill of Rights Act）

《隐私权利法案》旨在从立法层面全面保护个人数据。该法案明确定义了个人数据，还要求联邦贸易委员会出台立法，赋予个人若干权利，包括：接收关于数据控制者收集、使用、存储和共享其个人数据通知的权利；被收集和使用个人信息时的选择加入权；访问个人数据处理活动有关细节的权利；访问可携式电子表中个人数据的权利；纠正不准确的个人数据的权利；要求删除个人数据的权利等。此外法案还要求联邦贸易委员会颁布立法，禁止数据控制者从事以下类型的活动，包括：因消费者拒绝被收集、使用、存储个人数据，而拒绝为消费者提供服务；提供经济奖励以换取个人同意数据控制者收集、使用其个人数据；在没有某些特定合同条款的情况下，根据书面合同向第三方披露个人数据；将个人数据用于某些“不合理”的目的；收集超出活动“充分，相关和必要”的个人数据。根据该法案，联邦贸易委员会还必须要求数据控制者“建立并维护合理的数据安全实践，以保护个人数据的机密性，完整性和可用性。” 联邦贸易委员会可以将违反该法案的行为认定为不公平或欺骗性的行为或进行强制执行。当公民受到违反该法案或其下颁布的法规的行为的威胁或不利影响时，州检察长也可以代表其公民受到民事诉讼。该法案还赋予个人主体诉讼权利，但需声明违法行为对该个人造成了实际损害。

动态八：5月14日，旧金山通过《停止秘密监视条例》（Stop Secret Surveillance ordinance）的修订

5月14日，旧金山市监事会投票表决通过了对《停止秘密监视条例》所作的修订，成为美国第一个禁止使用人脸识别技术的城市。条例全面禁止旧金山当地政府部门如警察局、治安官办公室、交管部门等使用人脸识别技术。同时，购买任何类似的新监控设备如自动识别车牌号系统、带有摄像机的无人机等，都需要得到市政府的许可。该条例还要求明确政策，以确定市政府如何使用监控技术。该条例指出，“人脸识别技术危害公民权利和公民自由的倾向大大超过了其声称的好处，这项技术将加剧种族不平等，并威胁到我们不受政府长期监控的生活能力”。目前，除了旧金山外，奥克兰和马萨诸塞州的萨默维尔也在考虑通过类似的法令。马萨诸塞州的州立法机构计划通过一项法案，暂停人脸识别和其他远程生物监控系统。（杨婕）

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。