ADPPA对美国数据监管意味着什么- Debevoise数据博客

2022年6月21日，美国众议院能源和商务委员会正式提出了一项新的联邦隐私法案美国数据隐私和保护法案(“ADPPA”)。值得注意的是，ADPPA得到了国会两院和两党不同的支持。ADPPA旨在建立一个全国性的框架，以取代许多州的隐私法，但不是所有州的隐私法。

目前尚不清楚ADPPA是否获得足够的支持成为法律，因为据报道它在参议院缺乏关键的支持。此外，最高法院最近的多布斯这一决定引发了对ADPPA条款的更严格审查。批评者质疑是否对堕胎相关数据有足够的保护，以及立法者是否应该加强拟议中的私人行动权。

尽管其成为法律的前景不确定，但企业应该注意到ADPPA提出的要求。即使不付诸实施，其条款也可能影响未来的联邦隐私法。而且，在许多方面，ADPPA可能会设定一个新的最低标准，将塑造任何通过的州法律，以填补联邦隐私法缺乏留下的空白。

如上所述，ADPPA将优先于许多州法律，同时明确保留其他法律，如下所述。我们之前曾报道过美国州隐私法的发展，包括《加州消费者隐私法》(“CCPA”)的更新加州隐私权法案(“CPRA”)科罗拉多州个人数据隐私保护法(“ColoPA”)康涅狄格州隐私法(“CTPA”)弗吉尼亚消费者数据保护法(“VCDPA”)，以及犹他州消费者隐私法(“UCPA”)。

如果ADPPA生效，公司将需要遵守其联邦标准，以及某些不被优先考虑的豁免州法律要求。许多法定条款是自动执行的，而另一些则需要监管机构(如联邦贸易委员会)采取行动才能生效。

这篇文章首先回顾了ADPPA的范围和适用性。然后，它强调了关键的权利和义务，包括人工智能(“AI”)评估义务，并详细说明了ADPPA的执行方法。

范围和适用性

草案将“覆盖实体”定义为受《联邦贸易委员会法案》约束的实体、《1934年通信法》规定的普通运营商，或确定收集、处理或转移覆盖数据的目的和方法的非营利组织，以及由于基于控制的关系而与覆盖实体相关的实体。Adppa§2(9)。大数据持有者受到更高的要求，而小企业比其他受保护实体承担的义务更少。

ADPPA对“覆盖数据”采用了广泛的定义，类似于欧盟的《通用数据保护条例》(“GDPR”)和CCPA。“涉及的数据”包括识别或链接到(1)个人或(2)识别个人的设备的信息。无论是来自个人或设备信息的数据，还是IP地址和客户号码等技术创建的标识符，都可能是被覆盖的数据。去识别的数据、员工数据和公开可用的信息都在列举的豁免范围之内。Adppa§2(8)。

ADPPA引入了一个新术语，即“第三方收集实体”，即其主要收入来源来自处理或传输该实体未直接收集的数据的涵盖实体。Adppa§2(32)。第三方收集实体必须向消费者提供其活动的通知，并在达到处理阈值时向FTC注册。Adppa§206。

与CCPA和其他州隐私法类似，ADPPA将“服务提供商”定义为“代表或在受保护实体的指示下收集、处理或传输受保护数据，并根据书面合同从受保护实体或代表受保护实体接收[]受保护数据”的实体，前提是满足某些合同要求。Adppa§2(25)。ADPPA规定了服务提供商的直接义务，包括其他州隐私法中没有的义务，例如禁止在未经明确同意的情况下传输数据(除了向另一个服务提供商)。ADPPA§302(a)。

州法优先购买权，但有例外

ADPPA明确取代了许多现有的州隐私法，以及某些监管覆盖数据的联邦法律。它包含了一般类别法律的优先购买权豁免，如民权法和数据泄露通知法。此外，ADPPA明确豁免了特定的州法律，包括伊利诺伊州生物特征信息隐私法案，以及由CPRA修订的CCPA中关于个人信息安全漏洞的私人诉讼权利。ADPPA§404(b)(1) -(3)。

对于受某些联邦法律约束并遵守某些联邦法律的实体，除ADPPA关于网络安全要求的规定外，将被视为遵守这些法律涵盖的数据的ADPPA。这些法律包括《健康保险携带与责任法案》(“HIPAA”)、《公平信用报告法案》和《Gramm-Leach-Bliley法案》(“GLBA”)。ADPPA§404(a)(2)。

主要条款-最新消息?

ADPPA在很大程度上呼应了(在许多情况下带有自己的扭曲)现有的州隐私法，包括透明度要求、对数据使用的目的限制、对敏感数据的限制，以及对消费者提供某些权利(如请求删除和数据可移植性的权利)。

像其他综合性的州数据隐私法一样，ADPPA推翻了美国隐私法长期以来的典范——仅凭通知往往或多或少就足够了。相反，ADPPA要求对所涵盖数据的收集和使用进行通知和目的限制，对某些数据使用(如定向广告)的选择退出权，以及在某些情况下(如将敏感的所涵盖数据转移给第三方)的肯定同意。

由于ADPPA与当前的州隐私法和即将颁布的2023年法律有相似之处，如果ADPPA颁布，公司可能会利用他们正在进行的州隐私法合规工作。公司应特别关注ADPPA所涵盖的几个新领域，其中一些将在下文讨论。

人工智能评估与评估

与之前的州隐私法不同，ADPPA将要求涵盖的实体和服务提供商进行算法设计评估。大型数据持有者将被要求对某些算法进行额外的影响评估。对于设计评估和影响评估，实体必须尽可能使用外部独立的研究人员或审计员。设计评估和影响评估必须在完成后30天内提交给FTC。

算法设计评估:任何有意开发算法来收集、处理或传输覆盖数据的覆盖实体或服务提供者都必须产生算法设计评估。这些评估必须特别考虑用于开发算法的任何数据，以降低潜在危害的风险。ADPPA§207(c)(2)。

算法影响评估:此外，大数据持有者必须对(1)用于收集、处理或传输覆盖数据的任何算法进行年度影响评估，并且(2)可能对个人造成潜在伤害。实体必须描述算法的设计过程、目的、可预见的用途、数据输入和算法生成的输出。评估还必须描述为减轻潜在危害所采取的步骤。ADPPA§207(c)(1)。必须处理与下列领域有关的危害:

17岁以下的个人。
住房、教育、就业、医疗保健、保险或信贷机会的广告。
公共场所的使用权或使用限制。
对受保护特性的不同影响。

ADPPA§207(c)(1)(B)(vi)(I) - (IV)。

ADPPA考虑到FTC可能颁布规则，允许实体从其设计评估和影响评估中排除危害风险最小或较低的算法。ADPPA§207(c)(5)(B)。

公民权利

ADPPA将禁止收集、处理、使用或转让涉及的数据，以歧视或使商品或服务无法基于受保护的特征。这项禁令不适用于:(1)为防止歧视而进行的自我检测;(2)使申请人、参与者或客户群体多样化;或(3)私人俱乐部或团体。ADPPA§207(a)。

忠诚义务

ADPPA对所涵盖的实体施加了忠诚义务一些学者最明显的问题是，由美国联邦贸易委员会主席莉娜·汗)，尽管ADPPA的规定在许多方面反映了现行数据隐私法的要求。除了数据最小化、设计隐私和在定价方面对个人忠诚的一般义务外，ADPPA还禁止涵盖的实体从事受限制的做法，没有例外。Adppa§101-04。四种受限制的做法包括:

办理社会安全号码;
收集或处理敏感的覆盖数据;
将敏感数据传输给第三方;而且
收集、处理或传输聚合的因特网搜索或浏览历史。

ADPPA§102(a)(1) -(4)。

联邦和州执法部门

根据草案，ADPPA不仅赋予联邦贸易委员会和州总检察长执法权力，还引入了有争议的“私人诉讼权”，允许私人当事人执行法规。

联邦贸易委员会

ADPPA将在联邦贸易委员会设立一个隐私局来执行ADPPA，以及一个涵盖实体的商业指导办公室。ADPPA§401(a) - (b)。任何违反ADPPA的行为都将被视为违反《联邦贸易委员会法》第18节规定的不公平或欺骗性行为或做法。ADPPA§401(c)(1)。如果联邦贸易委员会对涉及的实体提起诉讼，州总检察长和首席消费者保护官在联邦贸易委员会诉讼未决期间不能对同一实体提起民事诉讼。ADPPA§402(c)。

州执法部门

ADPPA还授予州总检察长和州首席消费者保护官通过联邦民事诉讼执行ADPPA的权力。州检察长在发起民事诉讼前必须通知联邦贸易委员会，以便联邦贸易委员会进行干预。ADPPA§402(a) - (b)。州总检察长和首席消费者保护官可以寻求禁令救济，并获得损害赔偿、民事处罚、恢复原状、其他赔偿和合理的律师费。ADPPA§402(a)。

私人诉讼权利

ADPPA包含了一项延迟的私人诉讼权利，该权利将在法律颁布四年后生效——这是一个有争议的特征。如果获得通过，可能会出现大多数全面的州隐私法所不具备的私人方诉讼风险。

ADPPA允许原告和原告类别对违反ADPPA某些规定的行为提起诉讼，要求赔偿损失、禁令或宣告性救济以及合理的律师费。ADPPA§403(a)(2)。没有规定法定损害赔偿。

ADPPA还在几个方面限制了个人诉讼权利。Adppa§403。

第一个，如上文所述，私人诉权要到ADPPA生效四年后才会生效。
第二个在美国，在提起民事诉讼之前，潜在的原告必须通知联邦贸易委员会和相关的州检察长。联邦贸易委员会和总检察长将有60天的时间来决定是否干预这一行动。
第三在美国，原告在提起禁令救济或针对小企业的诉讼之前，必须发出书面通知，并有45天的补救权。
第四在美国，虽然个人可以向涉及的实体发出付款要求函，但该函必须声明，“请访问联邦贸易委员会网站，了解您根据本函享有的权利”，并提供到联邦贸易委员会网站的超链接，否则该权利将被没收。ADPPA§403(d)。

＊＊＊

ADPPA应该会促使那些还没有这样做的公司为2023年的合规做好准备采取行动——很明显，联邦立法包含了现行州隐私法所规定的许多义务。

公司应该注意到ADPPA或类似的立法将会产生哪些额外的负担——合规或运营。即使ADPPA没有颁布，其条款也可能影响未来的联邦法律，以及在没有联邦标准的情况下通过的任何州法律。公司可能会考虑的问题包括: