2022年6月3日，美国参议院和众议院发布了《美国数据隐私和保护法》(the American Data Privacy and Protection  Act,  ADPPA)的草案，该立法草案是第一个获得两党两院支持的美国联邦全面隐私保护提案。这项具有分水岭意义的隐私保护法案，将为数据隐私保护引入一个美国联邦标准。ADPPA旨在通过为个人提供广泛的保护，并对被保护实体提出严格的要求，为保护个人数据创建一个强有力的国家框架。

　　目前，针对特定行业的规定和各州法律构成了美国隐私法规和权利的主干，因此国家保护隐私框架将为这一美国核心权利建立一个统一系统。然而，该法案面临着能否获批的主要障碍，在如何解决优先权和是否给予个人私人诉讼权方面都引发了激烈争论。

　　ADPPA将建立基本的消费者数据权利;对所有组织如何处理个人数据施加某些义务(称为  "忠诚义务");并对大型数据持有者(定义为拥有10万或以上个人敏感数据或500万或以上个人非敏感数据的组织)和处理数据的第三方服务提供商建立额外要求。该法案将适用于所有组织，包括非营利组织和电信公司，并在联邦贸易委员会(FTC)内设立一个新部门，负责执行这项法律。

　　长达64页的ADPPA草案共设置了四大章节，共27节，涉及到国会中已经持续了20多年的隐私保护辩论的方方面面。在篇章体例上大体遵循“一般原则――个人权利――企业责任”。

　　该提案由两个关键条款组成：联邦优先权和私人诉讼权(PRA)，值得注意的是，这是目前国会审议中唯一包含这两个部分的法案。熟悉通用数据保护(GDPR)的人可能会注意到，该法案借鉴了欧盟立法的许多关键原则，如数据最小化DM(Data  Minimization)、隐私设计PbD(Privacy by Design)和同意条件。

　　首先，ADPPA确立了联邦对州隐私法的优先权，这意味着其规定将取代许多现有的州隐私法。但有一些保护措施，如面部识别法、雇员隐私权法、网络犯罪法和消费者保护法，将在州一级保持有效。该法案众多的豁免条款表明，该法案的通过将需要两党的妥协。例如，如果获得通过，ADPPA的条款将不会取代伊利诺伊州的生物统计信息隐私法(BIPA)或加州隐私权法(CCPA)的几个关键部分。相反，该法案预计将取代科罗拉多州、弗吉尼亚州和康涅狄格州的大量隐私法。换句话说，如果该草案要确认通过，各州将会展开激烈的权益争夺。

　　第二，该法案为违法行为制定了私人诉讼权PRA。例如，选择不接受定向广告的互联网用户将有权起诉在网上不适当地出售该用户数据的实体。PRA的范围是存在争议的，因为一些人担心如果解释得太宽泛，会导致大量的诉讼，而另一些人则担心如果PRA太窄，会使其失去作用。

　　此外，ADPPA要求公司尽量减少其数据收集行为，只收集业务运作所需的数据。该法案还禁止平台实体向用户收取费用来访问用户自己的个人数据(这有几个狭义的例外，如消费者忠诚计划，或当金融数据被用来完成交易时)。

　　“忠诚义务”

　　“忠诚义务”，其实是指ADPPA针对各类型数据限定了不同的使用目的，企业等实体在使用时不得超出限定目的。第一章的忠诚义务篇包含了数据最小化、隐私设计和定价忠诚义务等方面。

　　ADPPA对“忠诚义务”的理解是非常具体的，直接落实到各类数据的具体适用场景。ADPPA以列举的方式详细指明了几大常见类型数据法律允许的使用目的，或获得的同意是否需要明确、肯定，是否需要独立、显眼。涉及到的数据类型包括社会安全号码、精确地理位置、生物识别信息、密码、私密图像、遗传信息、网络搜索或浏览记录、身体活动信息……

　　“消费者权利”

　　在第二章，ADPPA概述了对组织张贴隐私通知和联邦贸易委员会公布法案条款的透明度要求，告知消费者他们根据法案享有的权利。作为隐私通知的一部分，各组织将被要求以可理解的方式详细说明其处理活动，并提供联系信息、正在收集、处理或转移的数据类别，以及个人数据被转移的第三方。

　　根据现有的法案草案，用户也将有权纠正、访问或删除自己的数据。一旦用户修改了公司持有的他们的数据，那么责任就会转移到该公司身上，将任何变化告知第三方。

　　第二章还包括关于保护儿童数据，包括禁止公司向17岁以下的用户传播目标广告。以及禁止与个人如何根据涵盖实体处理涵盖数据的方式获得商品或服务有关的歧视和不平等。这转化为对依赖自动决策和人工智能的企业更广泛的问责要求，以防止在这种处理中出现偏见和歧视。

　　“企业问责制”

　　ADPPA还建立了一系列 "企业问责  "机制，包括一些只针对大型数据持有者的机制。例如，所有数据持有者必须指定一名或多名隐私和数据安全官员，负责遵守法律。大型数据持有者还必须有一名隐私保护官员负责，直接向机构负责人报告，负责进行全面的隐私审计，为员工提供隐私培训，并作为监管机构的主要联络点。大型数据持有者还必须完成两年一次的隐私影响评估，考虑其数据做法的好处与对个人的潜在风险。使用算法的  "大型数据持有者"也必须向联邦贸易委员会提交年度算法影响评估，详细说明他们正在采取的步骤，以减轻其算法的潜在危害。因此，许多企业将需要任命首席隐私官(CPO)和首席信息安全官(CISO)，以满足ADPPA的要求。

　　“执行与适用”

　　ADPPA草案规定，在其颁布一年内成立一个新的局，以协助FTC行使其权力。州检察长(AGs)如果有理由相信被保护实体违反了该法案，也将有权以州的名义提起民事诉讼。ADPPA的草案文本中包括了私人诉讼权，但它只在该法生效四年后才会适用，并允许任何遭受损失的个人向联邦法院提起民事诉讼，要求获得金钱赔偿。

　　附录：ADPPA草案章节架构  

　　第一章 忠诚义务

　　第一节 数据最小化

　　第二节 忠诚义务

　　第三节 隐私设计(PRIVACY BY DESIGN)

　　第四节 就定价方面的忠诚义务

　　第二章 消费者权利

　　第一节 消费者意识

　　第二节 透明度

　　第三节 个人数据所有权和控制

　　第四节 同意权和拒绝权

　　第五节 儿童和未成年人数据保护

　　第六节 第三方收集机构

　　第七节 公民权利和算法

　　第八节 数据安全和数据的保护

　　第九节 例外的一般情形

　　第十节 统一的退出机制

　　第三章 企业问责制

　　第一节 行政架构

　　第二节 服务提供者和第三方

　　第三节 技术合规方案

　　第四节 FTC批准的合规指南

　　第五节 数字内容伪造

　　第四章 执行、适用和其他

　　第一节 FTC执法

　　第二节 总检察长执法

　　第三节 私人诉讼

　　第四节 与其他联邦法律和州法的关系

　　第五节 可分割性

　　第六节 COPPA

　　第七节 拨款授权

　　第八节 生效日期

上一篇：知识共享许可协议（CC，Creative Commons license）简介

下一篇：大学要逐步建立起适应信息社会发展的教育教学组织模式和治理体系