美国数据隐私和保护法：品牌需要知道什么

一项保护所有 50 个州消费者隐私权的重大法案已在美国众议院委员会中获得通过，这标志着如此全面的法案首次推进至此。

美国数据和隐私保护法 (ADPPA) 在成为法律之前还有很长的路要走，但品牌应了解其规定及其对业务的潜在影响。

什么是美国数据隐私和保护法？

ADPPA 规定了公司和组织（包括非营利组织）应如何处理个人数据的要求，包括可识别个人身份或可以与个人合理关联的信息。

该法案将影响大多数数据收集实体。 它也适用于处理所谓的“涵盖数据”并受联邦贸易委员会法案 (FTC 法案) 约束的实体。 任何收集、处理或传输可与个人合理关联的数据的企业或非营利组织，都有可能受到法律的约束。 它不适用于政府实体。

ADPPA 限制对个人身份数据的商业使用。 它在很大程度上禁止组织收集、处理或传输超出提供个人请求的服务的合理必要范围的个人数据。

但是，该法案包括 17 项允许的例外情况，包括需要对用户进行身份验证和防止欺诈等活动。

根据 ADPPA，数据经纪人将面临更多义务，包括在 FTC 注册，FTC 将建立和维护一个包含这些实体名称的可搜索在线注册表。 还将有一个“请勿收集”注册表，允许用户请求数据经纪人在 30 天内删除他们的信息。

消费者隐私保护和数据安全

长期以来，隐私权倡导者一直在寻求让消费者对他们的个人信息有更多的可见性和控制权。 根据拟议的美国数据隐私和保护法，企业必须允许用户访问、更正和删除他们的个人数据。

企业需要建立机制来响应所有用户请求，以查看和调整组织拥有的任何数据。

通过 ADPPA，立法者旨在通过强制数据安全来减少数据泄露的数量。 仅在今年上半年，就有近 2,000 起数据泄露事件，其中许多涉及个人身份信息或 PII。

无法证明他们已尽最大努力保护客户数据的企业最终可能面临严厉的罚款和处罚，尽管执法工作尚未完全确定（该法案包括一项条款，称 FTC 将需要建立一个隐私局来处理这个）。

拥有超过 15 名员工的公司还需要有一名隐私官和数据安全官。

ADPPA 附加条款

根据草案，数据隐私法案将要求企业在处理消费者数据以及如何保护数据方面保持透明。 他们需要“以清晰、醒目、不误导和易于访问的方式公开披露他们的隐私政策。

这些政策需要详细说明组织收集的数据类型以及收集、处理和传输数据的方式和时间。

ADPPA 限制或禁止多种形式的定向广告，尤其是针对未成年人的广告。 有人说，这将在美国乃至全世界施加最严格的此类限制。

企业需要非常小心，避免迫使未成年人披露任何不必要的个人数据或直接针对他们进行营销或广告。

消费者可以起诉企业涉嫌侵犯隐私。 从 ADPPA 通过两年后开始，如果用户认为某个组织对他们的私人数据处理不当，他们可以起诉禁令救济、补偿性损害赔偿和合理的律师费等补救措施。

联邦数据隐私法：不确定

尽管两党都希望在数据隐私和消费者对该法案条款的支持方面做些什么，但该法案的通过仍然存在相当大的障碍。

例如，康涅狄格州、科罗拉多州、犹他州、佛蒙特州和加利福尼亚州等拥有现有隐私规则的州的立法者表示担心 ADPPA 可能会胜过他们已经为其公民制定的保护措施。 加州立法者尤其担心它会破坏他们具有里程碑意义的 2018 年加州消费者隐私法案 (CCPA) 以及明年生效的另一项举措。

在对在线企业进行执法扫荡后，加利福尼亚州总检察长 Rob Bonta 于 8 月宣布与丝芙兰达成 120 万美元的和解协议，指控其未能告诉消费者它正在出售他们的数据，未能处理用户选择退出此类行为的请求，以及未能足够快地解决其违规行为。 其他零售商收到通知，他们必须纠正违反 CCPA 的行为。

虽然 ADPPA 的一项修正案试图安抚加州立法者，其中特别呼吁 CCPA 仍然有效，但一些人仍然认为该州法律受到威胁并反对联邦立法。

毫不奇怪，数据经纪人反对它，美国商会称其“不可行”。

不管这些战斗如何，国会山有一种乐观情绪，ADPPA 将找到足够的支持通过。 经过激烈的谈判，该法案在众议院能源和商业委员会中相对毫发无损。 然而，随着 11 月的中期选举，立法者可能更愿意让下一届国会决定 ADPPA 的未来。

即使没有获得批准，ADPPA 背后的势头也表明将会有一部联邦数据隐私法，企业应该做好准备并能够做出回应。