美國數據隱私和保護法：品牌需要知道什麼

一項保護所有 50 個州消費者隱私權的重大法案已在美國眾議院委員會中獲得通過，這標誌著如此全面的法案首次推進至此。

美國數據和隱私保護法 (ADPPA) 在成為法律之前還有很長的路要走，但品牌應了解其規定及其對業務的潛在影響。

什麼是美國數據隱私和保護法？

ADPPA 規定了公司和組織（包括非營利組織）應如何處理個人數據的要求，包括可識別個人身份或可以與個人合理關聯的信息。

該法案將影響大多數數據收集實體。 它也適用於處理所謂的“涵蓋數據”並受聯邦貿易委員會法案 (FTC 法案) 約束的實體。 任何收集、處理或傳輸可與個人合理關聯的數據的企業或非營利組織，都有可能受到法律的約束。 它不適用於政府實體。

ADPPA 限制對個人身份數據的商業使用。 它在很大程度上禁止組織收集、處理或傳輸超出提供個人請求的服務的合理必要範圍的個人數據。

但是，該法案包括 17 項允許的例外情況，包括需要對用戶進行身份驗證和防止欺詐等活動。

根據 ADPPA，數據經紀人將面臨更多義務，包括在 FTC 註冊，FTC 將建立和維護一個包含這些實體名稱的可搜索在線註冊表。 還將有一個“請勿收集”註冊表，允許用戶請求數據經紀人在 30 天內刪除他們的信息。

消費者隱私保護和數據安全

長期以來，隱私權倡導者一直在尋求讓消費者對他們的個人信息有更多的可見性和控制權。 根據擬議的美國數據隱私和保護法，企業必須允許用戶訪問、更正和刪除他們的個人數據。

企業需要建立機制來響應所有用戶請求，以查看和調整組織擁有的任何數據。

通過 ADPPA，立法者旨在通過強制數據安全來減少數據洩露的數量。 僅在今年上半年，就有近 2,000 起數據洩露事件，其中許多涉及個人身份信息或 PII。

無法證明他們已盡最大努力保護客戶數據的企業最終可能面臨嚴厲的罰款和處罰，儘管執法工作尚未完全確定（該法案包括一項條款，稱 FTC 將需要建立一個隱私局來處理這個）。

擁有超過 15 名員工的公司還需要有一名隱私官和數據安全官。

ADPPA 附加條款

根據草案，數據隱私法案將要求企業在處理消費者數據以及如何保護數據方面保持透明。 他們需要“以清晰、醒目、不誤導和易於訪問的方式公開披露他們的隱私政策。

這些政策需要詳細說明組織收集的數據類型以及收集、處理和傳輸數據的方式和時間。

ADPPA 限製或禁止多種形式的定向廣告，尤其是針對未成年人的廣告。 有人說，這將在美國乃至全世界施加最嚴格的此類限制。

企業需要非常小心，避免迫使未成年人披露任何不必要的個人數據或直接針對他們進行營銷或廣告。

消費者可以起訴企業涉嫌侵犯隱私。 從 ADPPA 通過兩年後開始，如果用戶認為某個組織對他們的私人數據處理不當，他們可以起訴禁令救濟、補償性損害賠償和合理的律師費等補救措施。

聯邦數據隱私法：不確定

儘管兩黨都希望在數據隱私和消費者對該法案條款的支持方面做些什麼，但該法案的通過仍然存在相當大的障礙。

例如，康涅狄格州、科羅拉多州、猶他州、佛蒙特州和加利福尼亞州等擁有現有隱私規則的州的立法者表示擔心 ADPPA 可能會勝過他們已經為其公民制定的保護措施。 加州立法者尤其擔心它會破壞他們具有里程碑意義的 2018 年加州消費者隱私法案 (CCPA) 以及明年生效的另一項舉措。

在對在線企業進行執法掃蕩後，加利福尼亞州總檢察長 Rob Bonta 於 8 月宣布與絲芙蘭達成 120 萬美元的和解協議，指控其未能告訴消費者它正在出售他們的數據，未能處理用戶選擇退出此類行為的請求，以及未能足夠快地解決其違規行為。 其他零售商收到通知，他們必須糾正違反 CCPA 的行為。

雖然 ADPPA 的一項修正案試圖安撫加州立法者，其中特別呼籲 CCPA 仍然有效，但一些人仍然認為該州法律受到威脅並反對聯邦立法。

毫不奇怪，數據經紀人反對它，美國商會稱其“不可行”。

不管這些戰鬥如何，國會山有一種樂觀情緒，ADPPA 將找到足夠的支持通過。 經過激烈的談判，該法案在眾議院能源和商業委員會中相對毫髮無損。 然而，隨著 11 月的中期選舉，立法者可能更願意讓下一屆國會決定 ADPPA 的未來。

即使沒有獲得批准，ADPPA 背後的勢頭也表明將會有一部聯邦數據隱私法，企業應該做好準備並能夠做出回應。