 因此,对于中国出海企业来说,数据合规成为了一个不容忽视的问题。美国数据合规系列文章有助于中国出海企业了解美国目前在保护个人数据隐私方面的法律和监管框架,以及数据隐私领域的监管实践,助力中国出海企业在国际舞台上行稳致远。 一、立法总体概况 与欧盟《通用数据保护条例》(GDPR)不同,美国没有统一的、综合的联邦层面数据与隐私安全保护立法,但是基于美国联邦和州宪法、判例法、侵权行为法、合同法和各机构各部门的法令等等,美国已经形成一套适用于自己国家的独特的数据隐私保护体系。 美国联邦国会和州立法机构都颁布了各种数据隐私安全法律。这些法律规范了许多不同领域的事项,包括个人数据在的某些应用场景(如将数据信息用于营销、就业人员的筛选)、某些行业(如金融机构、医疗保健服务提供者)、某些数据类别(如身份证号码、驾驶执照信息)或特定的侵害行为(如身份盗用、儿童的在线隐私)。 在许多情况下,如《健康保险携带和责任法案》(HIPAA)的健康信息隐私规则,各州可能通过比联邦法律更严格的隐私法或其他法律;而在其他情况下,如《反垃圾邮件法》(CAN-SPAM)中对商业电子邮件的限制,联邦法律优先于州法律,并且不允许各州通过更严格的规定。 以下我们会结合一些案例,介绍部分美国重要的数据隐私法。 1. 联邦层面分领域的立法 1)消费者保护领域——《联邦贸易委员会法》(Federal Trade Commission Act) 《联邦贸易委员会法》禁止企业针对消费者的不公平和欺骗性的行为,该法是1914 年制定的一项联邦消费者保护立法。联邦贸易委员会(FTC)依据此法审查企业在保护客户数据隐私方面是否使用了不公平或欺骗性的做法,并启动执法程序。 2)儿童领域——《儿童在线隐私保护法》(COPPA) 1998年,美国颁布了《儿童在线隐私保护法》(COPPA),为13岁以下儿童提供特殊的隐私保护。根据COPPA,经营提供给儿童使用的网站的企业要满足额外的要求来控制对儿童的数据收集,包括对隐私通知的具体要求、父母的明确同意等等。 2019年2月,FTC向字节跳动公司开出了570万美元的罚单,因为他们的TikTok应用程序(海外版的抖音,当时叫Musical.ly)没有遵守COPPA。TikTok被指控非法隐瞒13 岁以下儿童的信息,FTC还认定TikTok在未经儿童父母事先同意的情况下保留了这些个人信息,因此违反了COPPA。TikTtok保留的数据包括儿童的电子邮件地址、姓名和学校。字节跳动公司同意支付该法案颁布以来最大的COPPA罚款,并在TikTok应用中增加儿童专用模式。 3)医疗领域——《健康保险携带和责任法案》(HIPAA) 1996年,美国国会通过了《健康保险携带和责任法案》(HIPAA)。HIPAA是一项复杂的立法,对广泛的医疗保健相关活动的隐私进行监管,适用于受保护的健康信息(PHI),PHI包括与病人健康有关的医疗信息、医疗记录、与医疗服务提供者的对话、医疗账单信息等等。 2022年,马萨诸塞州的某医疗机构被指控在2011年2月4日至2021年3月31日期间将空样本容器丢弃在常规垃圾箱中,容器上的标签包括患者的PHI。在此期间,58,106名患者的PHI处理不当。该公司最终以300,640美元与监管机构达成和解。 4)金融领域——《公平信用报告法》(FCRA)和《公平和准确信用交易法》(FACTA) 在美国,信用报告对人们的生活有巨大影响,消费者依靠积极的信用评级来购买房屋和汽车,有时甚至是为了找工作,银行和其他金融服务企业也依靠对信用的准确评估来做出合理的投资和信贷决定。信用报告公司积累了大量关于个人的私人财务、税务和就业数据,这些数据如果被违法利用可能会造成严重后果。联邦立法主要通过FCRA和FACTA法案来规范信用报告。 FCRA赋予消费者某些权利,以确保消费者知道信用报告机构如何收集和使用他们的信息。消费者有权在他们的报告与雇主共享之前表示同意与否,对他们的报告实施安全冻结以限制披露,并向侵犯其权利的企业寻求赔偿。FACTA还加强了管理信用报告的组织在检测和防止身份盗用方面的义务。 5)教育领域——《家庭教育权利和隐私法案》(FERPA) 1974年的《家庭教育权利和隐私法》(FERPA)定义了什么是受保护的学术信息,并建立了一个框架,以保持学生的学术信息的隐私和安全。FERPA有助于保护学生,同时减少学生因为在高难度课程表现不佳而被污名化的风险。FERPA适用于从美国教育部接受联邦资金的教育机构所保存的任何学术记录。 FERPA通过要求教育机构加强对学业记录的保护和增加学生和家长的权利来保护隐私。FERPA禁止学校在未经学生或家长同意的情况下,分享学生学业记录中的信息。学生或家长也有权查看他们的教育记录,并质疑他们认为不准确的地方。 2. 州层面立法 1)加州消费者隐私法案(CCPA) 为了解决美国缺乏联邦层面全面隐私保护的问题,加州在2020年1月1日正式施行了CCPA法案。该法主要加强了对消费者的隐私权利和数据安全的保护,并对企业遵循义务做出了规定。该法案被认为是美国国内最严格的隐私立法,开启了美国统一隐私立法的高潮。 由于CCPA的正式实施,包括谷歌和Facebook在内的科技公司面临非常严格的隐私保护要求,包括披露他们收集的关于消费者的个人信息的类别和具体要素、收集信息的来源、收集或出售信息的业务目的以及与之共享信息的第三方的类别等等。 我们在美国加州司法部官网提供的有关CCPA执法案例中检索可知,2022年违反CCPA的行为包括不合规的隐私政策、要求消费者放弃或限制CCPA权利、出售个人数据、不合规的退出流程、不合规的通知等。 另外,基于CCPA的“长臂管辖”原则,即使中国企业在美国没有公司实体,也有可能要遵守CCPA的规定,我们在之后的CCPA文章中会详细分析。 2)其他州的立法 其他州的数据隐私立法还有《特拉华州在线隐私和保护法》、《伊利诺伊州知情权法案》、《新泽西州个人信息和隐私保护法》、《华盛顿州生物识别隐私法》、《纽约金融管理局网络安全条例》等。 二、监管体系 在美国,许多不同的联邦和州监管机构共同负责保护个人信息的隐私。这有时候会给中国的出海企业带来较为“混乱”的局面,企业必须了解这些机构的不同管辖权、哪些机构有权监管公司的业务、不同的执法行动的性质。 以下结合一些案例,介绍美国部分重要的监管机构。 1. 联邦监管机构 1)联邦贸易委员会(FTC) FTC拥有对不公平和欺骗性贸易行为进行执法的一般权力,特别是包括有权提出针对某些公司“不公平和欺骗性的商业行为”的执法行动。 2020年11月,FTC指控Zoom公司从事欺骗性的安全行为。具体而言,FTC指控Zoom公司误导消费者,使其相信他们的技术实现了端对端加密,可以有效防止Zoom公司自己查看视频会议的内容,而实际上,Zoom公司使用的是点对点加密,将每个用户的内容分别加密到Zoom公司,但在Zoom公司的服务器上可以临时解密内容。随后Zoom与FTC达成和解协议,Zoom公司同意不再就隐私和安全问题作出任何误导性陈述,并且制定一个全面的安全计划,在未来20年内每年进行独立的网络安全评估。 2)联邦通信委员会(FCC) FCC是负责州际和国际通信的监管机构。该机构有权监管多种形式的通信,包括电话、无线电、卫星等等。FCC监管这些通信运营商,并制定影响他们使用客户数据的隐私法规。 2014年9月,FTC发现Verizon公司将客户专有网络信息(CPNI)用于营销目的,而没有按照《电信法》的要求首先获得客户同意。在发现这个情况后,FCC与Verizon通信公司达成了740万美元的解决方案。在另一个重要案件中,FCC于2015年与两家电信公司TerraCom, Inc.和YourTel America达成和解协议,对运营商在将敏感个人信息发布在一个可公开访问的网站后未能保护这些信息进行了350万美元的处罚。 3)卫生与公众服务部(HHS) HHS是负责实施《健康保险携带和责任法案》(HIPAA)的主导机构。在美国国会通过HIPAA和一系列相关法律后,HHS发布了隐私和安全规则,作为行政法来实施HIPAA的规定。通过我们的检索和研究发现,HHS的执法行动相当积极,且罚款数额大,涉及医疗健康信息的公司应特别注意相关法规。 2019年10月,HHS对总部位于迈阿密的某公司处以200多万美元的罚款,因为该公司发生了一系列患者信息丢失、未经许可出售和泄露的事件。2020年7月,美国LifeSpan公司因其载有受保护的健康信息的未加密笔记本电脑被盗而发生数据泄露,被罚款100多万美元。 2. 州监管机构 美国州政府也有权对被指控侵犯数据隐私安全的公司提起执法行动,这些行动通常是在一个或多个州检察长的授权下进行的,他们根据自己的州隐私法(如加州的CCPA)提起诉讼。各州采取的执法行动因违法行为的性质、违反的法规和州监管机构的权力而有很大不同。 3. 行业自律 在美国,在某一行业经营的公司可选择制定和参与行业自律的一些计划,即采用和执行自己的一套隐私或安全标准。然后,这些公司相互承诺遵守这些标准,并制定一个执行计划,向其他公司和公众核实他们是否保持合规。 支付卡行业数据安全标准(PCI DSS)是现有的最成功的自我监管隐私和安全计划之一,其主要针对的是持卡人数据,该标准包含了加强消费者隐私的数据保留要求。当商家与银行签订接受信用卡的合同时,他们就必须遵守PCI DSS的要求。 网络广告倡议(NAI)是一个专注于数字营销的自我监管计划。NAI公布了一份行为准则,其中包含详细的要求,描述其成员必须如何提供其隐私做法的通知,并描述了他们必须如何实施数据安全、转移和保存的程序。NAI对其成员进行合规性审查,有权对其进行制裁,并将不合规的公司提交给FTC或其他监管机构,以采取可能的执法行动。 信息化时代,企业发展需要大量数据支撑,中国企业的数据合规问题可能会引起美国各州总检察长和联邦机构(如FTC)的注意,我们将密切关注美国的立法和监管动态,紧跟跨境数据合规的前沿问题,并在后续系列文章中更深入分析美国的数据隐私法。 参考文献 1. Children’s Online Privacy Protection Act. (2000, April 21). Wikipedia. https://en./wiki/Children%27s_Online_Privacy_Protection_Act#Violations 2. HIPAA Violation Cases. (2022). HIPAA Journal. https://www./hipaa-violation-cases/ 3. Peter P. Swire, Kenesa Ahmad (2021). U.S. Private-sector Privacy: Law and Practice for Information Privacy Professionals, Third Edition 4. Mike Chapple, Joe Shelley (2021). IAPP CIPP / US Certified Information Privacy Professional Study Guide, First Edition 5. 刘克佳. 美国保护个人数据隐私的法律法规及监管体系 [ J ] . 全球科技经济瞭望,2019,第34卷(第4期) 6. 赵丽莉,郑蕾. 美国数据与隐私安全保护制度进展述评 [ J ] . 重庆理工大学学报(社会科学),2019,第10期 作 者 简 介  李岚 高级合伙人 深圳办公室 |
|
|
来自: 宋志刚k5lpi995 > 《数据要素》
