1月5日,IAPP发布了一篇名为“2023年隐私的未来:美国各州、儿童和人工智能”(Crystal ball privacy in 2023:US states,kids and AI)的文章。该文主要介绍了未来一年美国隐私领域立法发展的一些亮点。
摘译 | 林心雨/赛博研究院实习研究员
来源 | IAPP
美国各州法律的生效
今年最重要的进展是美国各州隐私法的生效,包括于1月1日起生效的加州隐私权法案(CPRA)和《弗吉尼亚州消费者数据保护法》(VCDA)、将于7月1日生效的科罗拉多州和康涅狄格州的相关法律以及将于12月31日生效的犹他州的相关法律。
各州法律的冲击标志着美国翻天覆地的变化。企业通常认为,欧盟《通用数据保护条例》(GDPR)的执法重点是大型技术平台。相比之下,加州总检察长在根据CPRA采取的第一次执法行动中,就表示将计划打击更灵活的目标,比如化妆品网站丝芙兰(Sephora)。
CPRA在许多方面对CCPA进行了修正和补充。以下这些方面的影响最大:
第一,该法律创建了一个新的专门的隐私执法机构——加州隐私保护局(CPPA)。虽然加州司法部长是一个强大的监管机构,但它不仅负责隐私,还负责许多其他法律法规。CPPA是美国第一个真正的数据保护机构,由坚定的隐私倡导者Ashkan Soltani领导。
第二,CCPA现在将适用于员工数据和业务往来信息。这是美国首次将信息隐私法扩展到这些领域,他们现在将受益于所有的数据权利。
第三,CPRA引入了消费者选择退出跨情境行为广告的数据共享。重要的是,根据CCPA,作为服务提供者的公司,一旦其活动推进了CCBA,将不再能够作为这一角色。CPRA明确规定,出于CCBA目的提供服务的公司自动成为第三方。如果一家企业是第三方、参与了销售,就必须尊重消费者的选择退出,包括通过自动偏好信号(如全球隐私控制)发送的选择退出。
在尝试实施新的退出规则时,企业很快就会意识到细节中隐藏着魔鬼。在CCBA法律定义之外的活动(如重新定位、相似受众、衡量和归因)是否构成CCBA,存在很大的不确定性。
即使就这些条款达成了共识,遵守这些条款也不是一件简单的事情。出版商或广告商应如何向下游发送退出信号?在没有确定性标识符的情况下,个人如何在不同的时间、不同的网站和应用程序中保持他们的退出状态?“广告和营销服务”(根据CPRA被公认为合法的商业目的)与CCBA有何区别?这些只是在法律已经生效的情况下需要回答的一些问题。
第四,CPRA要求企业不仅提供隐私声明,还要求在收集时提供强有力的通知。重要的是,引导消费者至隐私声明或要求他们在收集时滚动以找到通知将不再是足够的。如果企业选择通过隐私政策提供收集通知,他们必须直接超链接到隐私政策中包含必要披露内容的部分。
第五,CPRA规定了企业在与下游服务提供商或承包商签订合同时必须使用的语言。这包括限制合并不同客户的个人信息(供应商合同中经常出现的问题)、监测合规性的责任和子处理器义务。如果合同中没有必要的语言,根据法律定义,这就是在出售数据,很有可能违反CCPA。
自1月1日起,CCPA不再是美国唯一的州隐私法。弗吉尼亚州的隐私法现在已经生效,虽然它的许多条款与CCPA类似,但也有一些不同。至关重要的是,虽然CCPA(包括CPRA修正案)仍然是一部“选择退出”的法律,但弗吉尼亚州的法律要求企业在处理消费者的敏感数据时必须获得消费者的同意。从“选择退出”到“选择同意”模式的转变意义深远。它将给从事消费者个人信息交易的第三方(主要包括数据经纪人)带来潜在的不可逾越的障碍。
BIPA的影响和挑战
企业最担心的隐私法是伊利诺伊州的《生物识别信息隐私法》(BIPA),鉴于其私人诉讼权利,个人和集体诉讼原告都已经以异乎寻常的热情运用了它。
BIPA将在2023年继续刺激诉讼。它甚至可能会激发全国各地的效仿立法,专注于生物识别信息(如蒙大拿州)或更广泛的敏感数据(如康涅狄格州的隐私法和俄勒冈州的法律草案)。
BIPA是十多年前制定的,在定义的明确性和对当今技术格局的适应性方面还有很多不足之处。例如,它缺乏企业(控制者)和服务提供商(处理器)之间的重要区分,导致技术供应商和他们的客户以及生物识别数据链上下游的其他各方之间产生合同的混乱。
BIPA以及其他生物识别隐私法面临的其他挑战包括:
在使用生物识别技术,尤其是面部识别,用于识别、认证、检测或定性之间缺乏明确的区别;
生物识别数据最小化的要求与新兴人工智能框架中减轻算法偏见和歧视的要求之间的紧张关系。
敏感数据:儿童和生殖健康
在美国缺乏全面的隐私法的情况下,立法工作可能会集中在高风险领域,即儿童隐私和生殖健康数据。
去年8月,加利福尼亚州通过了以英国为蓝本的《加州适龄设计规范》(CAADC)。CAADC大幅扩大了联邦《儿童在线隐私保护法》(COPPA)的保护范围。
COPPA严格适用于针对13岁以下儿童的网站或服务,或实际了解收集、使用或披露13岁以下儿童个人信息的一般受众网站。其主要任务是要求此类网站或服务获得可核实的父母同意。
CAADC适用于任何提供18岁以下儿童可能访问的在线服务、产品或功能的企业。事实上,即使是面向成人的服务,如色情或赌博网站,也很可能被青少年访问,因此它们都必须遵守CAADC。
更重要的是,CAADC下的合规义务远不止获得父母同意,还包括:(a)部署年龄估计义务,这可能需要从用户那里收集额外的个人信息,包括面部扫描等生物识别技术;(b)配置所有默认隐私设置以提供高水平的隐私保护;(c)进行数据保护影响评估,州司法部长可以要求在三天内看到这些评估。
在与健康相关信息的方面,美国最高法院在Dobbs v. Jackson Women"s Health一案中的裁决给整个科技行业带来了很大的冲击。几个州已经通过了法律,旨在阻止地方法院和企业遵守与反堕胎法有关的州外执法请求。许多企业都收集了可能与此类调查有关的数据,不仅包括经期跟踪应用程序和健康服务,还包括收集精确地理位置或通信数据的应用程序。这些企业需要制定战略,以应对可能的执法要求。
联邦监管机构也对该裁决做出了回应。美国卫生与公众服务部民权办公室发布了“最高法院对罗伊做出裁决后保护患者隐私的指南”。而在2022年8月,联邦贸易委员会(FTC)起诉了数据经纪人Kochava,指控其出售消费者的精确地理位置信息,明确提到可能使用此类数据来跟踪个人到堕胎诊所。到2023年,预计FTC将继续专注于防止企业将消费者暴露在Dobbs之后对生殖健康的监管所带来的法律风险中。
人工智能
通过ChatGPT,许多消费者都能感受到面向消费者的人工智能已经到来。在过去几年中,全球的政策制定者以截然不同的方法应对新兴技术转型。欧盟正在推进其《人工智能法案》,这是一个高度规范化的框架,将人工智能作为一个产品责任问题,由认证计划和监管监督来管理。加拿大在其最新的《人工智能和数据法案》(C-27法案)中选择了一种更加基于原则的方法。
在美国,国家标准与技术研究院的人工智能风险管理框架旨在自愿实施,以减少人工智能产品、服务和系统的设计、开发、使用和评估中的风险。
美国各州也在人工智能领域也很活跃,为算法决策制定规则。甚至像纽约这样的城市也制定了规则,要求在使用人工智能和基于算法的技术进行招聘、雇用或晋升之前,必须进行偏见审计。今年,预计企业将要求隐私负责人处理人工智能系统的审计和影响评估,以确保这些系统是合规的、道德的和公平的。
结论
在经历了具有里程碑意义的一年之后,隐私工作似乎有望在2023年飙升至新的高度。一系列州法律的生效将使合规部门在可预见的未来保持忙碌。儿童隐私和生殖健康数据保护等标志性问题将获得发展。而企业中隐私负责人的工作范围将扩大到算法的公平性和道德的人工智能。
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
