来源:Future of Privacy Forum
作者:POLLYANNA SANDERSON
翻译:帕格健,上海交大法学院硕士生
本月,美国统一法律委员会(ULC)投票通过了《统一个人数据保护法》(UPDPA),这是一项旨在统一州隐私立法的示范法案。经过最终修订后,该法案预计将在2022年1月被州立法机构引入。
自2019年以来,ULC致力于起草州隐私法范本。ULC最初成立于1892年,其使命是“为各州提供无党派立场、精心构思和起草的立法,提高州成文法的清晰度和稳定性。”随着时间的推移,它的许多立法工作都非常有影响力并在美国成为法律——例如,ULC于1952年起草了《统一商法典》。最近,ULC起草的《数字资产统一信托访问法》(2014-15)已在至少46个州采用。
UPDPA在形式和实质上与美国乃至国际上现有的隐私和数据保护法不同。该法律将为个人提供更少、更有限的访问或以其他方式控制数据的权利,并对假名数据提供了广泛的豁免。此外,UPDPA缩小了适用范围。UPDPA仅适用于“记录系统”中“持有”的个人数据,该数据用于检索有关个人数据主体的记录,以进行个性化沟通或决策实践。UPDPA后期草案的序言指出,它试图避免“与加利福尼亚和弗吉尼亚制度相关的合规和监管成本”。
该示范法的核心内容是对“兼容”、“不兼容”和“禁止”的数据实践作出了实用区分,它超越了基于数据实践有利于/不利于数据主体的可能性的纯粹同意模型。我们还发现,示范法对自愿共识标准的实践提供了一种独特的实施方法,该方法是针对特定背景和部门的。总的来说,我们认为ULC示范法案为隐私监管提供了一个有趣的替代方案。但是,由于它与现有框架明显不同,因此,那些考虑与加利福尼亚州、弗吉尼亚州和科罗拉多州最近通过的法律的互操作性的州可能会较晚采用该示范法。
以下是该示范法的主要内容,包括:
一、适用范围
二、持有的个人数据
三、访问权和更正权
四、假名数据
五、兼容、不兼容和禁止的数据实践
六、收集控制者、第三方控制者和实践者的责任
七、自愿共识标准
八、执行和规则制定
一、适用范围
UPDPA适用于在该州“开展业务”、“生产产品或提供针对居民的服务”的控制者和实践者。政府实体被排除在该法案的适用范围之外。
适用UPDPA,企业必须满足以下条件之一:
1.在一个年内持有超过[50,000]个数据主体的个人数据,数据主体为该州的居民,不包括仅用于完成支付交易的个人数据;
2.在一年中,控制者或实践者通过持有数据主体的个人数据获得其年总收入的[50]%以上;
3.是承担控制者职能的实践者,且该实践者知道或有理由知道满足第1或2条的要求;
4.持有个人数据,除非其持有的对象是兼容数据。
条件4的作用是使UPDPA适用于持有个人数据的小公司,但只要他们将个人数据用于“兼容”目的,就可以免除他们的合规义务。
二、持有的个人数据
UPDPA适用于“个人数据”,其中包括(1)通过直接标识符识别或描述数据主体的记录,或(2)假名数据。该术语不包括“去识别化数据”。UPDPA也不适用于在就业或就业申请过程中处理或存储的信息,以及“公开信息”,即政府记录中合法提供的信息,或通过“广泛传播的媒体”向公众提供的信息。
1.“直接标识符”被定义为“通常用于识别数据主体的信息,包括姓名、住址、电子邮件、可识别的照片、电话号码和社会安全号码。”
2.“去标识化数据”被定义为“已删除所有直接标识符的个人数据,且无法被未经允许或者不具备特殊访问权限的人链接并识别特定数据主体。”
缩小适用范围。UPDPA仅适用于“记录系统”中“持有”的个人数据,该数据用于检索有关数据主体的记录,以进行个性化沟通或决策实践。委员会评论说,“持有”的定义对于理解UPDPA的范围至关重要。如果企业收集的个人数据未用于进行个性化评估、决策或沟通的目的和功能,则它不属于该示范法的范围(例如,如果它以电子邮件或个人照片的形式保存)。根据委员会的说法,“持有”的定义以联邦隐私法对“持有”和“记录系统”的定义为蓝本。
1.就个人数据而言,“持有”是指“保留、维持、保存或存储个人数据于记录系统,用于检索有关个人数据主体的记录,以实现个性化沟通或决策实践。”
2.“记录”被定义为:(A)刻在有形媒介上的信息;(B)存储在电子或其他媒体中,并且能以可感知的形式进行检索。
三、访问权和更正权
访问权和更正权:UPDPA授予数据主体访问和更正个人数据的权利,但不包括匿名化数据和与敏感数据一起存储的个人数据(如下所述)。控制者只需要回应经过身份验证的数据主体的请求。“数据主体”被定义为通过个人数据识别或描述的个人。根据委员会的说法,访问权和更正权不仅适用于数据主体提供的个人信息,还适用于控制者从其他来源(例如公共来源)和其他公司收集的混合个人数据。
消灭歧视:UPDPA禁止控制者拒绝提供商品或服务、向数据主体收取不同的费率或提供不同级别的质量。但是,如果数据主体要求的更正信息不符合服务条款的规定,则控制者可以认定该数据主体不具备参与服务的资格。
无删除权:值得注意的是,UPDPA并未授予个人删除其个人数据的权利。ULC委员会列举了几种原因,包括:(1)控制者保留个人数据具有广泛地合法利益;(2)鉴于数据当前的存储和实践方式,无法确保数据得到删除;(3)与美国宪法第一修正案的兼容(言论自由)。委员会还表示,UPDPA应当对兼容数据实践和经过同意的非兼容数据实践的限制提供足够的保护。
四、假名数据
“假名数据”被定义为“没有直接标识符的个人数据,可以合理地与数据主体身份相联系;或没有直接标识符,为与数据主体进行个性化交流而持有的数据。如果记录包含互联网协议地址、浏览器、软件或硬件识别代码、持久唯一代码或与特定设备相关的其他数据,则该术语包括没有直接标识符的记录。”
与可识别的个人数据相比,假名数据受到的限制更少。通常,UPDPA中规定的消费者权利(访问和更正)不适用于假名数据。然而,这些权利可适用于“敏感”假名数据,只要它可检索并以进行个性化沟通为目的。
“敏感数据”是包含以下内容的个人数据:(A)种族或民族血统、宗教信仰、性别、性取向、公民身份或移民身份;(B)足以远程访问帐户的凭据;(C)信用卡或借记卡号码或金融帐号;(D)社会安全号码、税务识别号码、驾驶执照号码、军人识别号码或政府颁发的身份证件上的识别号码;(E)实时地理定位;(F)犯罪记录;(G)收入;(H)疾病或健康状况的诊断或治疗;(i)基因测序信息;(J)控制者知道或有理由知道的未满13岁的数据主体的信息。
在实践中,ULC委员会表示,如果收集控制者存储用户凭据和客户资料后,将其数据隔离到关键代码和假名数据库中,使数据存储字段的标识符被独特代码替代,则可以避免访问和更正义务。单独的密钥将允许控制者在必要或与客户交互时重新识别用户的数据。同样,当收集控制者为自己的研究用途创建数据集(无需以再识别方式对其进行存储),即使假名数据包含敏感信息,也不必提供访问或更正权。此外,收集信用卡数据并将其传输给信用卡发卡机构以促进一次性信用卡交易的零售商不得存储这种敏感的假名数据。
五、兼容、不兼容和禁止的数据实践
UPDPA区分“兼容”、“不兼容”和“禁止”的数据实践。控制者和实践者可以在未经数据主体同意的情况下进行兼容的数据实践。若控制者和实践者对非敏感数据进行不兼容的数据实践,则需要对数据主体做出提示并赋予其撤回同意的权利(选择退出的权利)。而对“敏感”个人数据进行不兼容的数据实践,则需要数据主体“选择同意”。控制者不得从事被禁止的数据实践。
UPDPA对“兼容”、“不兼容”和“禁止”的数据实践作出区分是基于数据实践有利于/不利于数据主体的可能性:
兼容的数据实践:如果实践“符合数据主体的普通期望或可能使数据主体受益”,则控制者或实践者可进行兼容的数据实践。
1.本身兼容的实践:UPDPA列出了一份包含9种本身兼容的数据实践的清单,例如数据主体作为参与者的交易的生效、履行法律义务、“合理必要地”研究和处理假名数据或去标识化数据。
2.因素:因兼容数据实践的列表并不详尽,UPDPA还提供了6个确定实践活动是否是兼容数据实践的因素,例如数据主体与控制者的关系、处理的个人数据的类型和性质、使用或披露数据主体的个人数据的负面风险。这一包罗万象的条款旨在允许控制者和实践者创建具有创意的和非常规的数据实践方式,只要确保数据主体从实践中实质受益即可。
3.定向广告:该法案规定,控制者可以使用个人数据,或向第三方控制者披露假名数据,“以向数据主体提供有针对性的广告和其他纯粹的表达性内容。”该法案区分了“纯粹表达性内容”和“差别待遇”,后者不构成兼容的数据实践(因为它是意料之外的,并且对数据主体没有实质性的好处)。
不兼容的数据实践:如果符合下述条件,控制者或实践者进行的是不兼容的数据实践:
(1)不是兼容的数据实践,也不是禁止的数据实践;
(2)在其他方面是兼容的数据实践,但与控制者或实践者的隐私政策不一致。
换句话说,不兼容的数据实践是对数据的意外使用,可能既不会对数据主体造成实质性损害,也不会对数据主体造成实质性利益。例如,一家开发应用程序的公司将该应用程序中的用户数据出售给第三方金融科技公司,以创建新的信用评分或就业能力评分。
禁止的数据实践:如果实践可能会导致以下情况,则属于禁止的数据实践:
(1)使数据主体遭受特定且重大的:(A)财务、身体或声誉损害;(B)尴尬、嘲笑、恐吓或骚扰;(C)隐私侵入,判断侵入是否对一个理智的人来说非常冒犯;
(2)导致个人资料被盗用,冒充他人身份;
(3)违反其他法律,包括联邦或州反歧视法;
(4)未能提供合理的数据安全措施,包括适当的管理、技术和物理保护措施以防止未经授权的访问;
(5)未经同意以不兼容的数据实践方式处理个人数据。
通过重新识别或导致重新识别假名数据或去识别化数据来收集或创建个人数据被视为“禁止的数据实践”,除非:(a)重新识别是由之前进行假名或去识别化的控制者或处理者执行的;(b)数据主体希望进行重新识别的控制者以识别的形式持有其个人数据;(c)重新识别的目的是评估去识别化数据的隐私风险,进行重新识别的人不得使用或披露重新识别的个人数据,除非向创建去识别化数据的控制者或处理者证明隐私漏洞。
六、收集控制者、第三方控制者和处理者的责任
UPDPA为“控制者”和“处理者”制定了不同的义务,并进一步区分了“收集控制者”和“第三方控制者”。
“控制者”被定义为单独或与他人一起决定处理目的和方式的人。
“收集控制者”被定义为“直接从数据主体收集个人数据的控制者”。收集控制者负责为数据主体提供访问和更正其个人数据的权限,包括建立验证数据主体身份的程序。他们还需要向有权访问个人数据的下游第三方控制者和处理者发送可信的请求,并做出合理的努力以确保这些第三方做出了所请求的更改。
“第三方控制者”被定义为“从另一个控制者那里获得对个人数据或假名数据的授权访问并确定额外处理的目的和方式的控制者。”第三方控制者与收集控制者承担的大部分义务相同。但是,他们没有义务直接回应访问或更正请求,而需要做出合理的努力来协助收集控制者满足数据主体的请求。任何收到收集控制者请求的第三方控制者都必须将请求传输给其聘用的处理者或其他第三方控制者,以便更正个人数据的整个监管链。
“处理者”被定义为“代表控制者处理个人数据的人”。处理者负责应控制者的要求向其提供数据主体的个人数据或使他们能够访问个人数据,根据控制者的要求纠正数据主体个人数据中的不准确之处,并避免出于其他目的处理个人数据。
如果有权访问个人数据的人进行的处理不是在控制者的指示和要求下进行的,则该人成为控制者而不是处理者,并因此受到控制者的义务约束。
除了回应访问和更正请求之外,控制者还有许多额外的责任,例如通知和透明度义务、获得不兼容数据实践的同意、避免参与禁止的数据实践以及进行和维护数据隐私和安全风险评估。处理者也需要进行和维护数据隐私和安全风险评估。
七、自愿共识标准
UPDPA允许代表各种行业、消费者和公共团体的利益相关者协商和制定自愿共识标准(VCS),以在特定情况下适用UPDPA。相关各方可以制定VCS,以符合UPDPA的规定,例如确定行业的兼容实践、确保对不兼容数据实践的同意程序、或提高数据地安全性的实践。一旦得到州检察长的认可,任何控制者或处理者都可以明确采用并遵守UPDPA。还值得注意的是,遵守类似的隐私或数据保护法,例如GDPR或CCPA,就足以要求遵守UPDPA。
八、执行和规则制定
UPDPA授予州检察长规则制定权和执行权。《州消费者保护法》提供的“执法权力、补救措施和处罚适用于”违反UPDPA的行为。然而,尽管有这一规定,“私人诉讼无权违反本法或根据消费者保护法违反本法。”
九、UPDPA的下一步是什么?
UPDPA的未来尚不明确。起草委员会目前正在制定一项立法战略,以便将该法案逐个提交给州立法机构。州立法者是否有兴趣在2022年及以后的立法会议中引入、考虑并通过UPDPA,还有待观察。作为替代方案,州立法者可能会调整示范法的某些要素,例如自愿共识标准(VCS)、示范法的灵活处理、或者“兼容”、“不兼容”或“禁止”的数据实践的概念等。
声明:本文来自数据保护官,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
