美国统一隐私立法萌芽：《美国数据隐私保护法》草案解读

法案概览

2022年6月14日，美国国会众议院能源和商业委员会消费者保护和商业小组委员会正式就《美国数据隐私保护法》（American Data Privacy and Protection Act，以下简称“ADPPA”）草案召开听证会，将美国联邦层面的隐私保障纳入立法日程。¹2022年7月20日，美国众议院能源和商业委员会通过了修订后的ADPPA，该法案即将进入全众议院投票阶段。²作为首份获得两党支持的美国联邦层面的综合性隐私保护法草案，ADPPA被认为是“最有潜力冲击2022年美国统一隐私立法的种子选手”³，也有评论认为该法案将在国际层面引发一场新的变革，“让GDPR（相形见绌）成为茶杯中的小小风暴”⁴。该法案的目标是建立一个强有力的国家框架，保护消费者的数据隐私和安全，防止美国人的数据被歧视性地使用等，其中涵盖了数据最小化、忠诚义务、私人诉讼权、优先适用、特殊群体数据保护、大型数据持有者义务等核心内容。

立法背景

美国现有的数据隐私保护分为一般性保护和特别领域保护两种类型。一般性保护由美国联邦贸易委员会通过执行《联邦贸易委员会法》（Federal Trade Commission Act）第5条对一般消费者保护的问题进行监管。⁵而在金融、保险、电视电信、消费者信用、儿童隐私等特别领域的数据保护则通过单独立法的形式进行规制，如《金融隐私权法案》（The Right to Financial Privacy Act）、《健康保险隐私及责任法案》（The Health Insurance Portability and Accountability Act of 1996）、《儿童在线隐私权保护法案》（The Children’s Online Privacy Protection Act，COPPA）等。

目前全球多国已陆续出台了综合性的个人信息/数据保护法，如欧盟的《通用数据保护条例》（GDPR）、巴西的通用数据保护法（LGPD）、中国的《个人信息保护法》等，而美国内部对于联邦层面出台综合性隐私立法的呼声也愈发强烈。参众两党议员也逐渐提案，呼吁统一的隐私立法，如《在线隐私法案2021》（Online Privacy Protection Act, H.R.6027）、《消费者数据隐私与安全法案2021》（Consumer Data Privacy and Security Act of 2021, S.1494）、《信息透明与个人数据控制法案》（Information Transparency & Personal Data Control Act, H.R.1816）等，但是美国两党、两院和相关利益团体长期无法在联邦与州法关系、私人诉讼权两个关键问题上达成共识，致使联邦层面的相关立法陷入停滞。而按照美国联邦制政体规定，各州有权独立进行隐私立法，例如犹他州、弗吉尼亚州、科罗拉多州、康涅狄格州，而又以《加州消费者隐私法》（The California Consumer Privacy Act，简称CCPA）为典型。但是“拼凑”的隐私法律给州内外的企业带来的较大合规成本，也给消费者维权带来了混乱，相关问题亟需联邦层面的解决方案。

内容解读

目前ADPPA的草案版本共包括四大章节，27小节，大致遵循“一般原则—个人权利—企业责任”的篇章体例。

草案第一部分规定了忠诚义务（Duty of Loyalty），主要包括数据最小化（Data minimization）、具体的忠诚义务(Loyalty duties)、隐私设计(Privacy by design)、防止定价歧视(Loyalty to individuals with respect to pricing)四个部分。

• “数据最小化”要求适用主体将其收集、处理和转让的数据内容限制在他们为提供或维持个人所要求的特定产品或服务而需要的“合理必要、相称和有限”的范围内，并规定联邦贸易委员会在该法出台一年内出台相关判断标准。

• “具体的忠诚义务”列明了特定情况下对个人数据处理活动的限制，例如对收集、处理和传输社会保险号码（SSN）、敏感信息以及传输个人的综合互联网搜索或浏览历史记录进行了限制，仅能在有限的条件下才能处理这些数据。

• “隐私设计”要求适用主体综合考虑17岁以下个人的隐私风险，与产品或服务相关的隐私风险，联邦、州或地方的法律、规则或条例等因素，采取“合理的政策、做法和程序”收集、处理和传输数据。同时，在建立政策、做法和程序时，也需要综合考虑适用主体的规模、性质、处理活动的复杂程度、处理的数据的敏感度和数量、涉及的数据主体的数量等因素。

• “防止价格歧视”条款则从原则上禁止企业以拒绝提供服务、收取不同的价格，或以个人同意放弃隐私权为条件提供商品或服务，除非满足所处理的信息属于财务信息，或属于提供“忠诚计划”两种例外情况。

值得注意的是，本草案对于“忠诚义务”的规定逻辑不同于以往《消费者在线隐私法案》（Consumer Online Privacy Rights Act）和《数据保护法案2021》（Data Protection Act 2021）等其他法案对于忠诚义务的原则性规定（“适用主体不得从事欺骗性或损害性数据处理活动”以及“适用主体不得以任何违反法案规定的方式处理或传输个人数据”），而是对处理特定类型的个人信息加以限制。

第二部分消费者权利（Consumer Data Rights）共包括十小节，涉及消费者意识、透明度、个人数据的控制权和所有权、消费者同意权和拒绝权、未成年人特殊保护等内容。其中“透明度”一节要求适用主体依法披露隐私政策，并且隐私政策除了需要披露通常需要包含在隐私政策中的信息（例如适用主体的身份、联系方式、收集的数据类型、处理目的、与第三方共享数据的情况、储存期限、数据主体如何行使其权利等）之外，还需要披露所收集的数据是否会被传输到或以其他方式被中国、俄罗斯、伊朗和朝鲜获得或进行数据处理。“消费者同意权和拒绝权”中赋予了消费者退出（Opt-out）向第三方传输个人数据及定向广告的权利。在涉及“儿童和未成年人数据保护”时，与退出权利（Opt-out）不同，草案明确禁止针对儿童和未成年人的广告，并且禁止在未经其本人或监护人的明示同意下而向第三方传输个人数据。

第三部分涉及企业问责制（Corporate Accoutability），从行政架构、技术合规方案、联邦贸易委员会批准的合规准则等角度对企业责任和义务进行限制。值得注意的是，草案对于大型数据持有者施加了多项特殊限制，强化其告知义务、限缩其对于个人权力请求的响应时间，施加算法影响评估的强制性义务、报告义务、隐私影响评估义务、内部人员报告义务、记录和保存义务等，以及定期全面审计和员工培训计划等要求。

第四部分涉及法案的执行、适用及杂项条款（Enforcement, application, and miscellaneous），在赋予联邦贸易委员会和州司法部长执法权之外，还涉及适用优先性和私人诉讼权等问题。不同于欧盟GDPR和我国《个人信息保护法》对于私人主体赋予的广泛诉讼权，美国在本次联邦统一隐私立法中仅规定了有限的私人诉讼权，对于起诉的时间、诉讼程序和损害赔偿的范围都予以额外的限制。在适用优先性方面，ADPPA将不优先于现有的联邦法律适用；而就州法律而言，除了16种保留情形（Preservation）之外，该法案可能会优先适用。

小 结

ADPPA目前仍处于草案状态，需要美国两党协商一致、经两院表决和总统签署后才能通过，该法案的出现表明美国立法机关已正式将联邦层面的统一隐私保护提上议程。不过在美国国内，由于ADPPA对目前各州既有的隐私保护立法框架产生潜在影响，因此出现了来自州层面上的反对声音。2022年8月15日，加州隐私保护委员会（California Privacy Protection Agency，以下简称“CPPA”）宣布其已向联邦众议院议长及少数党领袖提出了针对ADPPA的反对票，主要是出于联邦统一立法所产生的“先占”可能会对加州隐私保护立法，包括《加州消费者隐私法》（CCPA）和《加州隐私权利法》（CPRA），确立的隐私保护措施造成削弱，从而导致加州人在联邦法律上享有的隐私保护水平低于他们目前在州法律下享有的保护水平。⁶基于以上，虽然美国立法者此次在联邦层面上推进综合性隐私保护法的工作较以往诚意满满且颇具野心，但是其最终走向及效果仍需要时间来检验，后续我们也将持续关注。

1.https://energycommerce.house.gov/committee-activity/hearings/hearing-on-protecting-americas-consumers-bipartisan-legislation-to

2.https://www.natlawreview.com/article/house-committee-passes-comprehensive-federal-privacy-legislation

3.https://www.secrss.com/articles/43297

4.https://iapp.org/news/a/distilling-the-essence-of-the-american-data-privacy-and-protection-act-discussion-draft/

5.Federal Trade Commission Act, SEC. 5. [15 U.S.C. 45], https://www.govinfo.gov/content/pkg/COMPS-388/pdf/COMPS-388.pdf

6.https://www.dataguidance.com/news/california-cppa-sends-letter-opposing-adppa-house