2022年6月3日，美国众议院能源和商业委员会以及参议院商务、科学和运输委员会公布H.R.8152《美国数据隐私和保护法案》（American Data Privacy and Protection Act，ADPPA）草案。该法案从数据处理自由和数据价值释放的理念出发，提出统一的美国数据隐私框架，通过建立消费者数据隐私控制权及执行机制，为美国消费者提供全面的数据保护。

一、背景情况

2018年5月，由欧盟提出的《通用数据保护条例》（GDPR）正式生效，GDPR致力于保护欧盟公民免受隐私和数据泄露的影响，同时重塑组织机构处理隐私信息和数据保护的方式。GDPR在全球范围内产生巨大影响，为世界各国制定数据保护规范提供范本。

2018年6月，依据GDPR立法模式，美国加州出台《加州消费者隐私法案》（California Consumer Privacy Act，CCPA），CCPA给予消费者充分的个人信息控制权，并确立适用于各领域的统一规则和框架。但该阶段美国的隐私保护法案仍分散在联邦政府和各州领域上，缺乏通用统一的基本法。因此，美国各方强烈呼吁出台一套联邦层面的综合性数据保护法案。

2021年，美国两党及其代表进行了多次关于数据保护的立法尝试，其中具有代表性的是民主党提出的H.R.6027《在线隐私法案》（Online Privacy Act，OPA）、H.R.1816《信息透明和个人数据控制法案》（Information Transparency & Personal Data Control Act）、S.919《数据保护法案》（Data Care Act）、S.3195《消费者线上隐私权法案》(Consumer Online Privacy Rights Act，COPRA)，以及共和党提出的S.1494《消费者数据隐私与安全法案》（Consumer Data Privacy and Security Act）。但两党、两院和相关利益团体始终在美国联邦法律与州法律优先适用问题、私人诉讼权问题上无法达成共识。

2022年6月23日，由众议院能源和商业委员会主席小弗兰克·帕隆（Frank Pallone, Jr.）和高级成员凯茜·麦克莫里斯·罗杰斯（Cathy McMorris Rogers）共同发起的两党法案ADPPA草案，在众议院首次提出。该法案提出后受到广泛讨论，主要集中在该法案是否先于各州隐私法和是否创建私人诉讼权、是否阻碍前期美国隐私框架尝试这两个问题上。

2022年7月21日，美国众议院能源和商业委员会以53比2的两党投票结果，批准ADPPA法案。下一步，该法案将继续在众议院进行讨论。

二、《美国数据隐私和保护法案》主要内容

ADPPA旨在为美国消费者提供全面的数据隐私保护，同时进一步加强美国联邦政府对儿童和青少年的数据保护，并严格限制了“大型数据持有者”的合规义务。主要包含以下四方面内容：

（一）忠诚义务

“忠诚义务”是ADPPA草案的主要条款之一，针对数据的不同类型和使用目的，尽可能地限制了法案“适用实体”（Covered Entity）对数据的使用，建立隐私保护理念，同时禁止适用实体以用户隐私权为由区别定价或拒绝提供服务。该条款具体细化为：数据最小化、忠诚义务、隐私设计、定价方面对个人的忠诚义务四个类别。

（二） 消费者数据权利

“消费者数据权利”强调了ADPPA公开透明性，通过立法保障美国公民对其个人数据的所有权，严格限制了第三方实体及美国联邦贸易委员会（Federal Trade Commission，FTC）对公民数据的使用条件，还特别强调了对未成年人的数据保护。该条款具体细化为：消费者意识、透明度、个人数据所有权与控制权、同意权和反对权、对儿童和未成年人的数据保护、第三方收集实体、公民权利和算法、数据安全和覆盖数据的保护、小型企业的保护、统一的退出机制。

（三）企业问责制

“企业问责制”条款描述了与企业相关的数据安全管理，证明大型数据持有者的真实有效性，限制第三方实体对数据的使用，通过立法建立技术合规方案以保障公民数据的完整性与不可伪造性。该条款具体细化为：行政责任、服务提供者和第三方、技术合规方案、FTC批准的合规指南、数字内容伪造。

(四) 执法机制

ADPPA的第四个章节是“执行、适用性及其他”，详细概述了FTC的执法机制以及该法案与其他法律的相关性，具体细化为：FTC执法、州总检察长执法、私人诉讼、与其他联邦法律和州法律的关系、可分割性、COPPA、拨款授权、生效日期。

三、小结

ADPPA得到了两党的支持，但一些国会议员对该法案提出了担忧。参议员坎特·维尔（Maria Cantwell）和布莱恩·沙茨（Brian Schatz）都指出该法案未能将“忠诚义务”强加给适用实体。虽然ADPPA有各种归类在“忠诚义务”章节下的要求，但这些要求与COPRA或S.919《数据保护法案》中包含的要求不同。COPRA的“忠诚义务”将禁止企业从事“有害”数据实践，并将“有害”定义为使用数据“以导致或可能导致”对主体数据造成伤害的方式。S.919《数据保护法案》的“忠诚义务”将禁止服务提供者以“使提供者受益而损害最终用户”的方式使用数据，同时禁止对最终用户以“导致合理可预见的重大人身伤害”或“出乎意料且极具攻击性”的方式使用数据。ADPPA的“忠诚义务”定义了几种具体的禁止数据做法，但并未广泛禁止服务提供者以可能伤害个人的方式行事。

众议院消费者保护和商业委员会在2022年6月23日的听证会上也提出多项担忧，具体包括：是否应加强青少年保护规定；当前的法案是否会迫使企业取消客户忠诚度计划；是否应修改研究豁免以解决医疗保健研究和社交媒体平台研究；是否应解决具有政治偏见的算法；是否应澄清FTC、州检察长和私人诉讼当事人是否都可以就同一行为提起诉讼；以及是否应将纠正违规行为的权利扩大到所有执法行动。虽然消费者保护和商业委员会投票决定将该法案提交给众议院能源和商业委员会，但委员会主席弗兰克·帕隆（Frank Pallone）和下属小组委员会主席贾尼斯·沙科夫斯基（Janice Schakowsky）表示，该法案将继续进行谈判和敲定，不排除进一步修改的可能性。

尽管如此，美国议员们这次提出的ADPPA远比之前的要更有诚意，凝聚的两党共识也比以往的议员提案要高，但ADPPA目前仍旧是讨论稿，离正式的立法程序也尚有距离。（完）

文章来源：全国信安标委微信公众号

原文链接：https://mp.weixin.qq.com/s/UiR01Tkx3TREm4YMvJ2Thw