2024年美国各州隐私格局的五大问题

Five Big Questions (And Zero Predictions) for the U.S. State PRivacy Landscape in 2024

2024年美国各州隐私格局的五大问题

Keir Lamout

Future of Privacy Forum (Dec. 11，2023)

译：李敏华 中国人民大学法学院硕士研究生

作者信息

Keir Lamout

Director

Future of Privacy Forum’s U.S. Legislation team

J.D. Georgetown University Law Center

进入2024年，美国将成为G20国家中唯一没有管理个人数据收集使用的综合性国家级隐私法的国家。在两党努力制定联邦隐私法在国会陷入僵局的同时，州级隐私活动在2023年急剧加速了。随着今年尘埃落定，我们发现拥有“综合”商业隐私立法的州的数量从5个增长至12个（或者，可以说是13个），一系列健康隐私立法在民主党主导的州出现，与此同时，共和党主导的州通过了越来越多的具有争议年龄认证和父母同意的法律，并且州立法者向综合规制人工智能科技发展和使用迈出了第一步。

虽然利益相关者渴望知道这些2023年的趋势是否并怎样延续到下一年的立法周期，但做出任何有信心的预测还为时过早。所以，这篇文章将探讨关于州隐私格局的五大问题，这将描绘出2024年立法发展将会怎样影响美国的个人信息保护。

/01/ 会有州放弃“综合”隐私保护的共识框架吗？

随着2018年《加利福尼亚州消费者隐私法案》（CCPA）的通过，许多利益相关者担心美国各州已经准备好制定许多有分歧相互矛盾的州隐私法，这会使得个人感到疑惑，并给企业施加了繁重的合规负担。迄今为止，这种可怕的“拼凑”的最糟糕情况基本没有发生。反而，加利福尼亚州以外的立法者已经很快拒绝了复杂多变的CCPA的规制方法，而倾向于在更加简洁的《华盛顿隐私法案》（Washington Privacy Act-framework）框架边缘迭代。像美国统一法律委员会的《虚拟货币处理示范法》（UCL model bill）或者以联邦《美国数据隐私和保护法案》（American Data Privacy and Protection Act）为基础的框架等替代性方法没能获得足够的支持。这种趋势会持续吗？或者会有州有能力打破两党在隐私立法上达成的共识，采用一个创造新颖个人权利、适用主体义务或者执行条款的替代性规制框架吗？

虽然监管趋同是大势所趋，但在加利福尼亚州以后的各州全面隐私立法之间仍然还有显著区别。2023年立法会议通过的值得注意的新规包括：得克萨斯州要求即使是小企业出售敏感个人数据时也要获得同意；俄勒冈州规定对从适用主体接收个人数据的特定第三方的知情权；并且特拉华州将对青少年的特定保护的年龄升至17周岁。然而，通常新综合商业隐私法律坚持相同的总体框架、定义和核心概念、使得受规制主体制定出通用的合规策略。

明年，希望对企业所持的个人数据制定保护措施的各州将有一个清晰蓝图，两党在这方面都有成功的记录。然而，正在形成的州际隐私保护共识并非没有批评者。特别是，一些隐私倡议组织认为，现行法律将保护隐私的责任过多地施加在个人，而非正从事收集、处理、传输用户数据的企业和非营利组织，并且隐私倡议组织支持采取不同方法的各种模型。

在2023年立法议程中，两个州通过了独特的隐私提案，并都得到了参议院的支持因此，成为了《华盛顿隐私法案》（Washington Privacy Act-framework）范式的潜在反对者中的突出角色。首先是由议员韦斯特菲尔德（Westerfield）提出的《肯塔基州消费者数据保护法案》（Kentucky Consumer Data Protection Act）（SB 15）在2023年以32-2在州参议院通过。这个提案包括了一项对收集个人数据的GDPR式“合法依据”的要求。第二个是，在纽约州议员托马斯（Thomas）（他现正在竞选国会议员）主持州参议院通过了《纽约隐私法案》(New York Privacy Act)（S 365）。该提案包括了很多不同的隐私权和保护措施，特别是在第一方在线广告方面。2024年，这些提案中的一项或两项是否能够通过终点线？

/02/ 加利福尼亚州将如何应对人工智能？

人工智能，特别是具有生成能力的人工智能，最近的发展和公众对其的关注，使得人工智能列入各级政府决策者议程中重要位置。可以肯定的是，自动化决策和用户画像技术已经以各种形式使用多年，并且被隐私领域内外的现行法律制度监督。然而，立法者似乎热衷于探索新的治理模式，使得美国在最大限度地降低人工智能对个人和社会造成的风险的同时，释放人工智能带来的社会和经济效益。像商业隐私立法的情况一样，加利福尼亚州似乎已经准备好在为人工智能的商业使用制定初步的、普遍适用的道路规则方面，再次发挥重要作用。不过，这一次有利益相关者必须追踪两种相互重叠的方法。

在加利福尼亚州进行的两项努力中，第一个是加利福尼亚州隐私保护局（以下简称“该局”）。CCPA责成该局制定“关于商业使用自动化决策技术（ADMT）访问权和选择退出权”的规则。该局把该条文解释为授权制定选择退出各种自动化处理技术的独立个人权利。该局成员阿拉斯泰尔-麦克塔加特（Alastair Mactaggart ）甚至已经声称基于该条款，该局或许是美国唯一现实存在的人工智能监管机构。迄今为止，该局已经提出了法规草案，该草案在六种不同情况规定了个人选择退出ADMT权利，其范围远远超过了现有的法律制度。具体包括：ADMT被用来做出有关个人的重大决策；ADMT被用来对雇员或者学生进行用户画像；ADMT被用来对公共场合的个人进行用户画像。

第二，加利福尼亚州的立法者也积极关注在使用人工智能系统方面建立起广泛保护和权利。在2023年，州众议员鲍尔-卡汉（Bauer-Kahan）提出的关于自动化决策的AB 331取得了实质性的立法进展，并有可能在明年再次提出。该提案旨在防止算法歧视并从风险管理、权利和透明度责任分配的全球框架中引入开发者和部署者的区别。尽管该提案没有在第一次提出时通过，但事实证明，AB 331对其他州政策制定者如何考虑人工智能系统产生了影响。

重要的是，这两种新兴的加利福尼亚州规制人工智能的方法在很多重要问题上广泛重叠和矛盾。比如，CCPA的法规草案将包括那些“促进”人类决策的系统，然而AB 331侧重于作为决策“控制性因素”的系统。另外，AB 331主要针对高风险“重大决策”，然而CCPA正在考虑基于特定场景下收集和使用数据的几个适用性的阈值，这些阈值与任何客观的个人伤害标准无关。加利福尼亚州不同进程的发展方式，以及他们如何协同运作的问题，很可能对美国人工智能治理标准的形成起到主要作用。

/03/ 2024年（最终）会成为隐私执法行动年吗？

随着在美国新出现的州主导的个人隐私监管方法日渐成熟，个人权利与企业义务的轮廓将必须会形成，这不仅取决于现行法律，还取决于它们的解释、实施和执行。虽然五部“综合州隐私法律将在2024年年初生效，但监督机构在执行这类新法律行动上仍存在不足。迄今为止，已知的唯一涉及经济处罚的执法行为是加利福尼亚州总检察长（Attorney General）与法国化妆品零售商丝芙兰（Sephora）达成的和解，主要依据是涉嫌不允许顾客选择退出行为广告。在2023年的平静之后，2024年会成为公众首次体验新的隐私权利广泛实施的一年吗？

缺乏明显执法行为的一个结构性原因也许是，弗吉尼亚州、科罗拉多州、康涅狄格州、和最近的加利福尼亚州都规定，企业可以在正式执法行动前“补救”许多或所有涉嫌违反隐私法的行为（科罗拉多州和康涅狄格州的补救权（right to cure）将在2025年失效）。因此，第一波隐私法的初步执法活动将很大程度上是在公众视线之外进行的，企业迅速使其项目合规以回应疑似违规通知。此外，尽管CCPA的补救权条款已经失效，但由于错过规则制定的最后期限以及加利福尼亚州商会（California Chamber of Commerce）随后提起的诉讼，明年CCPA的立法者能否全面执行该法律将会受到质疑。

尽管被认为最初进展缓慢，但是有几个监管指标表明即将到来的执行行动。比如，科罗拉多州总检察长宣布将发布一系列执法信函，重点是教育公司了解其新义务，特别是处理敏感个人数据方面的义务。另外，加利福尼亚州总检察长办公室和加利福尼亚州隐私保护局已经分别发起调查，总检察长办公室希望了解企业如何对雇员的数据适用CCPA，同时隐私保护局正调查联网车辆空间。这些努力的成果将导致2024年的公共执法行动上升。

另外，《华盛顿我的健康，我的数据法案》（MHMD）大部分内容将会在2024年3月份生效，该法案是自2008年《伊利诺斯州生物计量信息隐私法案》（BIPA）通过以来的，第一部包含广泛个人诉权的主要州隐私法，MHMD是一项影响深远的新颖商业健康数据隐私框架，包含了许多模棱两可和草拟不严谨的条款，可能会引起困惑，并为诉讼提供成熟的理由。与BIPA相反，MHMD的私人诉权与该州的《消费者隐私保护法案》（Consumer Protection Act）相关，该法案缺少法定赔偿，并需要证明“业务或财产”遭受了损害才获得赔偿，这样的要求可能会降低出庭律师对诉讼的热情。围绕着MHMD即将发生的诉讼情况和它在推进个人隐私保护方面的成败可能会影响2023年各州的隐私执法情况，并对私主体执法机制是否会被纳入将来的隐私立法中产生重大影响。

/04/ 哪个州会修改现行法律？

尽管新的州立法号称“综合”，但事实证明，颁布商业隐私法往往只是一个州参与隐私事务立法的开始。仅在2023年，州隐私立法最初的五个推动者中，就有四个州已经在商业隐私立法上采取了具有意义的进一步举措。

首先是，加利福尼亚州立法者修订了CCPA，扩大了敏感个人数据的定义，并对生殖护理信息加以保护，同时通过了一部首创法律，建立起一站式机制，使人们能够删除由数据经纪人持有的个人信息。

第二，在《康涅狄格州数据隐私法案》（Connecticut Data Privacy Act）生效前，该法案的提案人成功地通过修订，大幅扩展了条款，从而涵盖对健康和儿童数据的新颖保护。

第三，犹他州颁布新法律，对社交媒体和成人内容网站规定了影响深远的限制和年龄认证要求。最后，弗吉尼亚州差点通过了一项州长发起的具有里程碑意义的《弗吉尼亚州消费者数据保护法案》（VCDPA）的修正案，即规定收集不满18周岁孩子个人信息时要获得可证实的家长同意的要求。

随着十几部大多具有相似框架的综合隐私法出台，也许利益相关者应该问的问题不是“谁是下一个倒下的多米诺骨牌？”而是“哪部现行法律将首先被实质性修改？”

/05/ 这些是否符合美国宪法？

一些观察者，特别是对政府监管持怀疑态度的观察者，长期以来一直认为根据“休眠商业条款”（Dormant Commerce Clause）和“第一修正案”（ First Amendment），特别是依照2011年Sorrell诉 IMS Health的先例，具有广泛影响的州隐私立法在宪法上是可疑的。这样的担心和反对意见长期以来一直是围绕不断变化的州隐私法而酝酿的话题；然而，九月份一位奥巴马任命的联邦法官禁止加利福尼亚州新的《加利福尼亚州适龄设计规范法案》（AADC）生效，为这些担忧和反对意见注入了新的活力。这项禁令和涉及AADC的诉讼将会对更广阔的美国隐私格局产生怎样的影响？

2022年通过的《加利福尼亚州适龄设计规范法案》（California Age-Appropriate Design Code Act），对于美国的法律环境来说，该法案总是显得有些奇怪。该法案直接源于一个英国的《业务守则》，该守则是旨在实施《一般数据保护条例》（GDPR）关于儿童方面的规定。一些非隐私的AADC企业要求－例如对用户进行年龄评估、限制访问“潜在的”有害内容，以及授权州总检察长对组织的内容审核决策是否符合他们已公布政策进行猜测－与美国长期先例明显不符。

因此，2022年12月行业协会 NetChoice对AADC提起诉讼是意料之中的。然而，让许多观察者感到意外的是，法院随后下达的禁令系统地评估和确定，AADC每一个积极性义务基本上不太可能经得起商业言论的审查，包括在数据保护影响评估要求（DPIA）时以隐私为重点，设置较高的隐私默认设置，最大限度地减少数据的收集和处理，和禁止所谓的“暗黑模式”。这些规定中的许多都是美国综合性和部门性商业隐私法的共同特征（至少概念上）。如果地方法院全部判决在州政府的上诉中完好无损，那么它将对全国隐私法是否继续符合宪法提出重大质疑，同时也为后续法律挑战提供了蓝本。

结论

这篇评论指出，在一些司法管辖区，新的一年几乎肯定会出现一些有影响的隐私立法、监管、执法和诉讼。然而，自2018年以来，州隐私活动速度都在逐年加快，并且观察者应当可以预见州议会在1月正式召开时会有新一轮的隐私提案。问题有许多，但或许只有一个清晰的预测：在州层面推进和确保新的隐私权利和个人数据保护不间断的努力的过程中，又一个动荡却又令人兴奋的一年即将到来。

审核：黄昊

编辑：黄昊

声明：本文来自网络西东，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。