2021年11月3日,美国众议院能源和商业委员会和消费者保护及商业小组委员会联合就一项综合的立法草案发布声明。该草案旨在建立国家隐私标准,为美国的消费者隐私和数据安全确定明确的规则,并增强联邦贸易委员会的执法能力,从而实现对公民隐私和数据安全保护。

这项草案被命名为《“控制我们的数据”法》(Control Our Data Act),基于美国当前所处的数字背景提出:(1)为美国的数据隐私制定明确的规则,就个人信息被收集、使用、共享建立起隐私保护和数据安全,增加透明度,改善问责制;(2)打破州的边界,跳出“不同的、相互冲突”的州法律碎片窘境,建立起覆盖全国的隐私标准;(3)综合考虑数据价值和合规成本,以标准促进创新,特别是中小企业创新,建立一个全面的、具有前瞻性的国家隐私标准,以确保美国的经济领先地位。

草案讨论稿中主要法律条款内容如下:

对“个人信息”的定义

“个人信息”是指任何可关联或合理关联到特定个人的信息。但不包括:仅为雇用个人而收集、使用或者分享的信息;汇总的信息、去除身份标识的信息、因被编辑/标识/加密而无法使用/阅读/识别的信息;从公开来源合法获得的信息;匿名化信息。

对“敏感信息”的定义

“敏感信息”包括健康信息、生物识别信息、精准的地理定位信息、社会安全号码、驾驶执照号码或其他政府颁发的识别号码、通信的内容和各方;财务信息(包括银行账户、信用卡号码、保险单号码等);与13岁以下儿童有关的任何信息;包括DNA在内的任何信息。

对“中小型实体”的定义

“中小型实体”符合如下条件:A、年总收入低于2500万美元;B、收集、使用、分享5万人及以下的个人信息;C、每年从销售消费者信息中获得的收入不高于整体的50%。

隐私政策

实体需保证隐私政策的透明度,并保证个人访问、更改和删除个人信息的权利。隐私政策需包括:1、对个人信息收集/使用/共享的目的;2、收集的方式;3、披露共享第三方及共享的性质;4、隐私政策的重大变化通知到个人的过程;5、实体对网络浏览器“不跟踪”信号或其他机制做出反应的过程。

例外情况

“例外情况”包括履行付款/完成服务/通知个人产品召回;进行自己的营销或广告,不涉及向第三方分享个人信息;配合执法部门要求;防止或检测身份盗窃/欺诈或其他犯罪活动;预防/检测或应对安全事件、勒索软件、恶意或欺骗性活动或任何非法活动,维护系统的完整性/安全性。

对“个人权利”的回应

实体应对个人权利及时回应。基于例外情况拒绝请求的,应在30日内将拒绝原因和对该拒绝的上诉方式告知个人;如果个人每月提交请求超过1次,或者12个月内提交2次,实体可向该个人收取合理费用;如个人提交非法或无法合适的请求,则无论该个人在12个月内提出多少次请求,实体都可以向该个人收取合理费用。

对“大型实体”的额外要求

至少指定一名合格的雇员作为隐私保护官,直接向实体最高官员报告;建立对隐私政策/程序的审查程序;对数据安全做法保持最新的/清晰的/可理解的记录;建立实体与执法当局的联络点。

风险评估

实体应就其与收集、使用和共享个人信息有关的每一种做法进行风险评估,确定并权衡带给实体及公众的利益,以及对个人权利的潜在风险,并考虑降低风险的保障措施。评估中应包含数据的类别和来源、系统、信息的流动、第三方个人/实体/服务提供商,以及用于保护个人数据的包括加密、区块链在内的新兴技术。风险评估报告按要求提供给联邦贸易委员会,并免于公开披露。

数据安全

实体应制定/实施/维护合理的行政、技术和物理安全的政策、措施和程序,以保护个人信息免遭未经授权的访问和获取。大型实体需结合技术、业务运营情况,就个人信息的安全和保密性进行内外部重大风险评估,确定并调整可合理预见的风险保障措施。

自律准则和安全港

实体可向委员申请一套或多套自律准则,以管理实体对个人信息的收集、使用、共享和安全。委员会所辖独立组织对实体自律准则进行审查,以确保实体满足要求。委员会有权批准或拒绝实体拟议准则的申请,并提供理由。如果被保护实体满足委员会准则要求,则视为符合自律准则和安全港保护。

民事处罚

初犯情况下:年收入30亿美元,每月有300个活跃的社交媒体用户,并且四分之三的收入来自在线广告的大型实体,每次违规应受到不超过10万美元的民事处罚;其他大型实体每次违规应受到不超过43,792美元的民事处罚;中小型实体不应受到民事处罚。

以后出现违规的情况下:大型实体每次违规应受到不超过10万美元的民事处罚;中小型实体应被处以每次违规不超过43,792美元的民事罚款。

罚款数额每年根据消费者价格指数比上一年的增加的百分比进行增加。

设立机构

在委员会内设立一个新的新政机构“消费者隐私保护和数据安全局”。该机构将负责管理并执行委员会管辖范围内的和消费者隐私及数据安全相关的法律法规,教育消费者,就实体进行指导,并对中小型实体提供支持和援助。

机构中需包括:经过认证的专业人员,技术专家(指除律师外,在微观经济和宏观经济理论、先进信息技术、信息安全、网络、软件开发、计算机科学及其他相关领域及应用方面具有培训和专业知识的个人)、心理学家(其中至少2名具有儿童和青少年福祉方面的经验)。

信息来源:

  • E&C Republicans Unveil Comprehensive Strategy to Establish a National Privacy Standard - Energy and Commerce Committee (house.gov)(骊山 祁楚云

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。