2024 年，随着网络事件及其相关成本不断创下新高，数据安全将继续成为企业和消费者的热门话题。随着过去几年发生的几起史上最大的数据泄露事件，公众对数据隐私的意识不断提高，普通消费者对企业如何获取、使用和利用其个人信息获利的理解和警惕也在不断加深。

在多个州通过立法解决消费者数据问题的同时，美国国会正致力于在联邦层面通过一项通用数据隐私法案来解决这些问题。这种立法多年来一直是人们谈论的话题，但现在正以《2024 年美国隐私权法案》（American Privacy Rights Act of 2024，简称 APRA）的形式获得越来越多的关注，这是今年 4 月提出的一项两党法案，旨在为美国的数据隐私制定一个通用标准。

该拟议法案是继《美国数据隐私与保护法案》（ADPPA）之后的又一法案，后者是美国国会最近一次尝试制定通用数据隐私法案的尝试。ADPPA 于 2022 年提出，获得了两党的支持，但最终没有通过成为法律。尽管失败了，但《美国数据隐私和保护法案》提供了一个强有力的框架，《美国数据隐私和保护法案》正是在此基础上建立起来的，现在的希望是，所做的修改和改进将足以使该法案通过众议院和参议院的审议，为所有美国人提供全面的数据隐私权。

2024 年美国隐私权法案》提出了哪些建议？

APRA 的主要目标之一是加强对美国消费者的数据保护，让他们对自己的数据是否被使用、何时被使用以及如何被使用有更大的控制权。为了实现这些目标，法案提出了以下建议：

• 消费者将有权访问公司和组织（被称为 “覆盖实体”）收集的私人数据，并根据自己的选择更正或删除这些数据。

• 将为消费者提供一个简单明了的机制，让他们选择退出有针对性的广告、算法实践以及对其私人数据的处理和使用。

• 强调数据最小化。将对数据收集行为施加更多限制，要求覆盖实体为其收集和处理的任何数据保留一个具体和预期的目的。

• 根据《个人数据保护法》，个人拥有私人诉讼权，可对涉嫌违规的承保实体提起诉讼。

要让消费者对自己的数据隐私有更大的控制权，就要求处理和使用数据的实体承担更高标准的义务。APRA 希望通过以下方式履行这些义务：

• 受监管实体必须在规定时间内应要求提供所收集的客户数据，而且必须能够方便地移动、复制和传输这些数据。

• 联邦贸易委员会（FTC）将建立一个集中的退出机制，被监管实体必须以易于理解和透明的方式向消费者提供该机制。

• 收集、处理和使用数据的受保护实体必须以 “清晰、醒目、不误导、易读和易于获取的方式 ”告知消费者其活动。

• 隐私或数据安全官的头衔必须指定给一名有资格确保受保实体的数据隐私计划取得成功并保持《反欺诈法》合规的员工。

• 受保实体不得干涉消费者权利，不得根据客户的数据偏好歧视客户。

根据 APRA，某些被覆盖的实体将被视为 “大型数据持有者”，需要遵守进一步的透明度要求。大型数据持有者的定义主要取决于其总收入以及每年收集、处理、保留和传输的个人隐私数据的数量。达到既定门槛的数据持有者必须做到以下几点：

• 向消费者提供一份 “简洁、清晰、醒目且不具误导性 ”的简短数据惯例通知，字数不超过 500 字。

• 保留并公布过去 10 年中隐私政策的所有迭代版本，并提供清晰、醒目、易于查阅的日志，记录在此期间所做的所有更改。

• 进行影响评估，以确定其数据处理做法可能对隐私造成的潜在影响，并概述在使用算法做法时为降低风险和避免伤害而采取的步骤。

• 指定两名合格员工担任隐私官和数据安全官。

  
这项拟议法案的内容远不止这些，但这些要点提供了一些最大的启示，有助于突出全面数据隐私计划的主要目的。联邦数据隐私法不仅有助于为所有美国人提供更大程度的数据保护，而且有助于简化公司遵守目前存在的各种州级数据隐私法的程序。

亚太监管局目前的立场是什么？

2024 年 4 月 7 日，众议院能源与商务委员会主席凯茜-麦克莫里斯-罗杰斯（Cathy McMorris Rodgers，共和党-华盛顿州）和参议院商务委员会主席玛丽亚-坎特韦尔（Maria Cantwell，民主党-华盛顿州）共同发布了《反欺诈法》草案。到 5 月中旬，该法案已经进行了一些修改，包括对 1998 年《儿童在线隐私保护法案》（Children's Online Privacy Protection Act of 1998）的一些拟议修正案，这将使 APRA 能够更好地保护在线未成年人。6 月 27 日，众议院能源和商业委员会原定对该法案进行的一次评估在最后一刻被取消。目前尚不清楚《儿童在线隐私保护法》的下一步行动，但委员会领导人表示，他们将继续致力于推动该法案的实施。

尽管该法案至关重要且不分党派，但可以预见的是，像普遍数据隐私计划这样广泛、全面和重要的立法提案，在最终通过成为法律之前，需要进行广泛的审查和修订。目前，该法案还存在一些值得注意的障碍，其中包括私人诉讼权条款，该条款在某些立法者中引起了激烈的争论，也是《ADPPA》失败的原因之一。

ADPPA 未获通过的另一个原因是，已经制定了数据隐私法（如《加利福尼亚消费者隐私法》）的各州代表关注的优先权条款。那些已经在执行这些法律的州不希望自己的立法被联邦法律超越或改变，因为他们认为联邦法律比自己的弱。这个问题可能也是 APRA 面临的一个重要障碍。

结论

虽然《全美数据保护法》仍处于早期阶段，但该法案及其所针对的问题得到了两党的支持。此外，《个人数据保护法》所效仿的《个人数据保护法》法案是迄今为止向国会提出的最成功的数据隐私计划，而《个人数据保护法》旨在解决导致其前身失败的一些问题。这应该会给那些关心自己和同胞数据隐私的人带来希望。