什么是 APRA?美国隐私权法案?
美国隐私权法案(APRA)是一项重要的两党、两院制法案,于4月7日在国会提出。 该法案由众议院能源和商务委员会主席 Cathy McMorris Rodgers(华盛顿州共和党)和参议院商务、科学和运输委员会主席 Maria Cantwell(华盛顿州民主党)领导。APRA 旨在:
- 作为一项全面的联邦数据隐私法,取代大多数州级隐私法规。
- 为所有美国公民提供隐私保护和权利,无论其所在州、行业或人口群体。
- 实施强有力的执法措施以确保合规,包括联邦贸易委员会(FTC)、各州总检察长的监管,以及值得注意的是,赋予个人直接对违规者提起法律诉讼的能力。
美国隐私权法案(APRA)的关键要素
- 个人隐私权
APRA 赋予个人访问、更正、删除和导出其个人数据的权利。它还赋予个人选择退出数据处理活动的能力,例如定向广告和算法使用。
- 实体义务
收集、处理或传输个人数据的企业和组织必须遵守严格的数据最小化原则、透明度要求和数据安全标准。APRA 还对大型数据持有者和数据经纪人施加了额外义务,包括需要进行隐私影响评估,并为个人提供退出数据收集的选项。
- 同意要求
对于敏感数据,如生物识别或遗传信息,APRA 要求实体在收集、处理或传输此类数据之前获得个人的明确、明示同意。这确保个人对其最敏感的个人信息拥有更大的控制权。
- 执法机制
APRA 授权联邦贸易委员会(FTC)执行该法律,违规行为将受到民事处罚。各州总检察长也被授权代表其居民提起民事诉讼。值得注意的是,APRA 包含私人诉讼权,允许个人就某些违规行为提起诉讼,例如未经授权使用其敏感数据。
- 州法律的优先适用
APRA 将取代大多数州隐私法,在全国范围内建立统一的隐私保护体系。然而,某些与消费者保护、员工隐私和健康信息相关的州法律可能不受优先适用的影响。
APRA 下的同意
根据 APRA,同意在保护个人隐私方面发挥着关键作用。实体必须在处理敏感个人数据之前获得个人的明确和肯定同意。这一要求旨在确保个人充分了解其数据将如何被使用,并能够就是否允许此类处理做出知情决定。
此外,APRA 要求为个人提供选择退出某些数据处理活动的选项,例如将其数据用于定向广告或算法决策。这使个人能够对其个人信息及其被企业和组织使用的方式行使更大的控制权。
美国隐私权法案(APRA)时间线
- 2024年4月7日:APRA 的提出
美国隐私权法案(APRA)由众议院能源和商务委员会主席 Cathy McMorris Rodgers(华盛顿州共和党)和参议院商务、科学和运输委员会主席 Maria Cantwell(华盛顿州民主党)提出。该法案作为一项两党、两院制的努力,旨在为美国建立全面的联邦数据隐私框架。
- 2024年5月23日:众议院能源和商务委员会审议
众议院能源和商务委员会,特别是创新、数据和商务小组委员会,审查了 APRA 的更新版本。该版本包含新的条款,如修订《儿童在线隐私保护法》(COPPA)的第二章,并为未成年人引入新的保护措施。
- 2024年5月31日:公开讨论和进一步更新
国会研究服务处(CRS)发布了更新的法律简报,概述了 APRA 并突出了与原始草案的主要变化。此更新包括与其他隐私法案的比较、利益相关者的反应以及潜在的法律挑战。
- 未来发展:
- 立法进程:APRA 将继续立法进程,包括在众议院和参议院的辩论、可能的修正案和投票。如果该法案在两院通过,将提交总统签署。
- 实施日期:具体实施日期将由法案最终版本确定,可能会在法案通过后设定一段时间,以允许实体有时间遵守新法规。
APRA 适用于以下企业
受监管实体:
APRA 适用于大多数企业、组织和非营利组织,被定义为"受监管实体"。 这些实体是单独或与他人合作,确定收集、处理、保留或传输个人数据的目的和方式的实体。
大型数据持有者:
拥有大量数据运营的实体,特别是年总收入超过2.5亿美元且满足特定数据门槛的实体,受 APRA 的额外义务约束。这些大型数据持有者必须进行算法影响评估、隐私影响评估,并向 FTC 提交年度合规认证。
数据经纪人:
APRA 还适用于主要收入来源于处理或传输其未直接从个人收集的个人数据的实体。 这些数据经纪人需要在 FTC 注册,并遵守特定的数据管理和透明度要求。
豁免:
某些小型企业不在 APRA "受监管实体"定义范围内,这意味着它们不受与大型组织相同的监管。 然而,这些豁免的具体标准将在最终立法中列出。
个人和消费者:
虽然 APRA 对实体施加义务,但它赋予个人和消费者权利。 这些权利包括访问、更正、删除和导出其个人数据,以及选择退出某些类型的数据处理,例如定向广告。
APRA 的关键要求
APRA 豁免
与许多州级隐私法不同,APRA 不适用于小型企业,小型企业被定义为满足以下条件的实体:
- 年收入不超过4000万美元,
- 收集、处理、保留或传输不超过20万人的数据,且
- 不从向第三方(如数据经纪人)出售个人数据中获取收入。
此外,APRA 排除了某些组织和实体,如政府机构、代表政府工作的承包商、全国失踪和受虐儿童中心(NCMEC)以及致力于打击欺诈的非营利组织。
已遵守特定联邦法规(如《格雷姆-里奇-比利雷法案》或 HIPAA)的实体被视为已遵守 APRA。此外,该法案仅适用于可以合理地与个人关联的数据,从而排除了去标识化数据、员工数据、公开可用信息和类似类别。
APRA 的主要要求
受 APRA 约束的组织会发现其核心要求与大多数数据隐私法中的要求一致,尽管有一些值得注意的独特要素。
数据主体权利
APRA 赋予个人一系列权利,与其他美国隐私法类似,包括:
- 知情权:了解收集了哪些个人数据,
- 访问权:访问其数据,
- 更正权:更正不准确之处,
- 删除权:删除其数据,
- 可携带权:以可移植格式接收其数据,以及
- 选择退出权:退出定向广告和用户画像。
大型数据持有者
APRA 的一个显著特点是对"大型数据持有者"的分类,定义为满足以下条件的实体:
- 年收入达2.5亿美元或以上,
- 处理超过500万个人(或设备的相应门槛)的数据,或
- 管理超过20万个人的敏感数据。
大型数据持有者受到更严格的监管,包括:
- 公布十年的隐私政策并提供简明版本,
- 向 FTC 报告数据主体权利请求,
- 同时设立数据隐私官和数据安全官,
- 定期进行隐私影响评估,特别是针对算法。
敏感数据
与隐私法规的通常做法一样,APRA 为敏感数据指定了特殊类别,广泛定义包括:
- 政府标识符,
- 健康和生物识别信息,
- 遗传数据,
- 财务详情,
- 精确地理位置,
- 登录凭证,
- 私人通信,
- 揭示性行为的数据等。
APRA 要求消费者主动选择加入敏感数据的收集和使用。非敏感数据可以在消费者知情且可以撤回同意的前提下进行处理。
必设的数据隐私/安全官
与 GDPR 的某些方面类似,APRA 要求企业任命数据隐私或安全官。虽然当前草案中未完全详细说明该角色的职责,但它是所有受监管实体的要求,大型数据持有者需要同时任命隐私官和安全官。
数据经纪人
APRA 对数据经纪人引入了特定法规,要求影响超过5000人数据的数据经纪人在 FTC 注册。此注册必须每年更新,经纪人需要维护一个网站,以便于数据主体权利和退出请求,并链接回 FTC 的数据经纪人注册中心。
多方执法与私人诉讼权
APRA 的执法可通过多种渠道进行:
- FTC,将违规行为视为不公平或欺骗性行为,
- 各州总检察长,可以寻求各种形式的救济,包括民事处罚和赔偿,以及
- 私人公民,可以就违反其法案项下权利的实体提起诉讼。
私人诉讼权的纳入尤其值得注意,因为它允许个人直接执行其权利,这一条款可能成为立法讨论中的焦点。
如何遵守美国隐私权法案(APRA)?
使用 UniConsent 等同意管理平台,为消费者提供对数据收集的全面控制,包括退出功能,可以自动化、简化和管理偏好设置沟通,无需额外的时间和精力。
Comply With Global Privacy Regulations
开始使您的网站和应用符合欧盟 GDPR、美国 CPRA、加拿大 PIPEDA 等法规
注册