在美国保持轻触式数据保护方法

在美国保持轻触式数据保护方法 阿什利·约翰逊和丹尼尔·卡斯特罗|2022年8月 数据隐私法规给企业和经济带来了巨大的成本。有效、有针对性的联邦立法将解决实际的隐私危害，同时降低阻碍生产力和创新的成本。 关键的外卖 ▪隐私法规有两组成本：直接强加给企业的合规成本和影响整个经济的“隐性成本”。 ▪模仿美国《通用数据保护条例》（GDPR）的方法的支持者忽视了此类法律的巨大成本以及更高的合规成本对企业和消费者的影响。 ▪GDPR式的法律每年将花费1220亿美元，其中包括1060亿美元的隐性成本。一项更有针对性但仍然有效的法律每年将花费60亿美元，减少95%。 ▪国会应该通过联邦数据隐私立法，优先于州法律，解决与隐私相关的特定危害，区分敏感和不敏感的个人数据，并且不包含私人诉讼权。 itif.org 介绍 多年来，全面的数据隐私立法一直在国会待办事项清单上。由于党派辩论和不愿妥协使联邦层面在这个问题上 的进展停滞不前，五个州——加利福尼亚州、弗吉尼亚州、科罗拉多州、犹他州和康涅狄格州——已经通过了自己的法律，形成了更多州可能效仿的趋势。与此同时，欧洲的隐私法规《通用数据保护条例》（GDPR）今年迎来了六周年纪念日。 国会未能满足联邦在数字经济这一关键问题上的领导需求，这样做可能会面临一种状态的风险，即处理个人数据的组织必须遵守州立法的拼凑，从而推高成本并在消费者中造成混乱.2国会最近才推出了一项全面的，两党隐私法案，即《美国数据隐私和保护法案》（ADPPA），由于在多个关键问题上缺乏共识，目前的形式仍然不太可能通过，而且至关重要的是，它并没有优先于所有州的隐私法.3此外，国会拖延的时间越长，在数据隐私问题上达成妥协的难度就越大，因为隐私活动家会要求制定一项不优先于更严格的州法律的联邦法律——或者如果它确实在加州过于宽泛和昂贵的隐私法《加州消费者隐私法》（CCPA）之后模仿联邦法律，该法本身就从GDPR中汲取了灵感.4这两种结果都会导致处理个人数据的组织更高的合规成本，组织可能会将成本转嫁给消费者。 过于宽泛的隐私立法将带来巨大的合规成本和巨大的隐性成本，而仍然保护消费者隐私的更有针对性的法律对组织、消费者和经济的负担要小得多。 美国GDPR式数据隐私法的支持者认为，通过使组织遵守他们在欧盟必须遵守的相同规则，这样的法律将降低合规成本。这个论点有两个问题。首先，存在可变的合规成本，因此更严格的法规会增加可变成本。其次，这一论点没有考虑到合规成本并不是与数据隐私立法相关的唯一成本。这些额外的或“隐藏的”成本代表了新隐私法通过降低消费者和企业的生产力以及限制数据收集和共享而推动创新的经济影响。此外，他们认为合规成本将由公司而不是消费者承担，这证明了这一点。 过于宽泛的隐私立法将带来巨大的合规成本和巨大的隐性成本，而仍然保护消费者隐私的更有针对性的法律对组织、消费者和经济的负担要小得多。为了尽量减少隐私立法的经济影响，国会应该通过一项全面的法律，优先于州和地方法律，最大限度地降低数据保护成本，同时仍然解决实际的隐私危害并保护消费者隐私。 的GDPR 欧洲议会于2016年通过了GDPR，该法律于2018年生效。它包含多项条款，旨在让消费者更好地控制其个 人数据，包括用户访问、可移植性、删除和更正的权利，以及 有关如何处理其数据的信息，反对数据处理的权利以及避免自动决策的权利;关于数据控制者和数据处理者必须如何保护个人数据的义务;成员国数据保护机构的执法和私人诉讼权的许可;以及高达2000万欧元或全球年收入 4%的巨额罚款5。 一些隐私倡导者呼吁美国通过一项类似于GDPR的法律，认为这样做可以更好地保护美国消费者的隐私，简化当前联邦和州法规的拼凑，并协调美国和欧盟的法律.6这将遵循各州在其隐私法和法案中从GDPR中汲取灵感的趋势。因为加州的法律不仅借鉴了GDPR，华盛顿和纽约的拟议立法也借鉴了GDPR7。 虽然简化美国的各种隐私法规是一个重要目标，可以为那些发现自己受到多重重复规则约束的企业节省数十亿美元，但类似GDPR的法律将带来巨大的成本，并且可能无法产生其预期结果.8在GDPR实施的第一年后，信息技术和创新基金会（ITIF）的数据创新中心发现GDPR对欧盟经济产生了负面影响，并且企业未能增加用户之间的信任，对用户的在线访问产生负面影响，并导致监管资源紧张9。 数据保护的双重成本 数据隐私法对需要遵守法律规定的组织施加了成本。这些费用的程度及其给组织带来的负担取决于特定法律中 包含哪些条款以及法律的执行机制。 对隐私立法成本的估计考虑了两类成本。首先是法律通过要求组织遵守某些规定而直接强加给组织的合规成本。这些规定可能包括雇用和留住数据保护官、进行隐私审计、建立和维护数据基础设施以及确保用户的数据访问、可移植性、删除和纠正的要求。其中一些可能是固定成本，例如创建用于处理数据删除请求的流程和基础结构，而其他成本可能是可变成本，例如响应每个删除请求的成本。合规成本还可能包括与应对监管机构或民事诉讼相关的成本。例如，一些隐私法允许用户直接起诉组织进行民事处罚，这被称为私人诉讼权。 第二组成本是“隐性成本”。这些包括由数据驱动的行业中生产力下降和创新的成本-在当今的经济中，几乎每个行业都是如此。隐性成本的示例包括消费者效率降低、数据访问减少和广告效果降低。虽然合规成本会影响法律范围内涵盖的每个组织，但隐性成本会影响整个经济。 就经济影响而言，广泛的数据隐私法和更量身定制的法律之间的差异是显着的。ITIF在2019年进行的研究确定 ，反映GDPR或CCPA关键条款的联邦立法每年可能使美国经济损失约1220亿美元，而更集中但仍然有效的国家数据隐私法将花费 每年大约60亿美元，减少约95%。10这包括高达170亿美元的直接法规遵从性成本和高达1060亿美元的间接“隐性”成本。11 值得注意的是，这些隐性成本在与类似GDPR的美国隐私法相关的总成本中所占的比例要大得多。有效但简化的隐私法不仅可以最大限度地减少合规成本，还可以降低与生产力和创新下降相关的间接经济成本，每年为美国经济节省数十亿美元。 成本的描述 GDPR-Style法(M美元) 有针对性的法律(M美元 ) 数据保护官员 $6,370 N/A 表1：与GDPR式法律与目标法律相关的年度成本（美国$Millions） 隐私审计 $440 $440 数据基础设施 $5,380 $5,380 数据访问 $340 $90 数据可移植性 $510 $130 数据删除 $780 $200 数据整改 $190 $50 执行 $2,710 $210 低消费效率 $1,870 N/A 减少访问数据 $71,000 N/A 较低的广告效果 $32,900 N/A 总计 $122,790 $6,500 合规成本 立法者在制定新的隐私法时更有可能考虑合规成本，因为这些是法律直接强加给组织的成本。此类别包括组织为 遵守隐私法的规定而改变其运营方式所产生的任何成本。它还包括以法律费用和私人诉讼权可能造成的民事处罚的形式出现的重复或琐碎的执行机制的成本。这些法规遵从性成本每年总计约167亿美元。12 首先，隐私法可能要求组织指定一名数据保护官负责合规。这给组织带来了成本，要求他们要么雇用额外的人员来处理消费者隐私请求、系统维护和法规遵从性，要么将这些任务委派给现有人员，从而将他们的时间从其他活动中转移出来。ITIF估计，要求所有处理个人数据的美国组织配备数据保护官的年度成本为64亿美元。 其次，隐私法可能要求组织提交由组织自己或第三方进行的合规审计，甚至直接检查。ITIF估计，要求所有处理个人数据的美国组织进行这些审计的年度成本将达到4.4亿美元。 第三，许多隐私法赋予用户的权利给处理这些用户个人数据的组织带来了成本。这些权利可能包括访问组织存储的个人数据（数据访问）、将数据移植到其他服务（数据可移植性）、删除该数据（数据删除）或更正该数据（数据更正）的权利。 为了满足这些要求，组织需要构建和维护数据基础架构，以允许他们存储、查找和更新用户的个人信息;创建验证和验证用户的机制，以防止数据被盗;并处理他们收到的访问、移植、删除或更正用户个人数据的每个请求。 在美国，提供数据访问、可移植性、删除和更正权的估计年度成本为72亿美元，其中包括54亿美元用于数据基础设施、3.4亿美元用于访问要求、5.1亿美元用于可移植性、7.8亿美元用于删除和1.9亿美元用于纠正。 反映GDPR或CCPA关键条款的联邦立法每年可能使美国经济损失约1220亿美元，而更集中但仍然有效的国家数据隐私法每年将花费约60亿美元，减少约95%。 在欧洲，公司报告称2017年在GDPR合规方面平均花费130万美元，预计2018年将额外支出180万美元 .16各国的数据保护机构（DPA）通过决策使遵守GDPR变得更加困难，进一步增加了合规成本。2022年2月，比利时DPA发布了一项裁决，称为发布商、广告商和技术供应商构建的广泛使用的技术标准用于获得数据处理的用户同意不符合GDPR.17这要求想要实施符合GDPR的流程的网站和发布商必须构建自己的框架，从而产生额外的成本，尤其是资源较少的小型组织负担。 最后，有效的隐私立法需要某种执行机制。有多种执法途径并不相互排斥，每种途径都有自己的成本和权衡。18国会可以授权联邦贸易委员会（FTC）执行全面的数据隐私法，扩大FTC作为消费者隐私主要联邦监管机构的现有角色。19或者，国会可以创建一个新的数据保护机构，专门负责监督和执行新的隐私法。 除了联邦执法之外，国会还可以授权州检察长执行新的隐私法，从而使各州参与进来。最后，国会可以建立私人诉讼权，使用户能够直接起诉违反隐私法的公司。这种私人诉讼权的范围可能很广，也可能有限，仅提供禁令救济或禁令和金钱救济，并适用于所有违规行为或仅适用于特定违规行为，例如数据泄露。 如果立法允许重复或轻率的执行，特别是在广泛的私人诉讼权的情况下，执行的经济成本会高得多。这将为针对处理个人数据的组织提起不必要的、毫无根据的诉讼打开闸门，这将抑制组织提供可能使他们承担责任的创新产品或服务的积极性。 伊利诺伊州的《生物识别信息隐私法案》（BIPA）就是一个很好的例子。该法律规范了在伊利诺伊州经营的公司或其产品到达伊利诺伊州消费者的公司收集生物识别数据，并包括允许消费者集体诉讼和雇主诉讼的私人诉讼权 。尽管BIPA于2008年通过成为法律，但在2019年法院裁定原告无需证明伤害后，诉讼数量激增.20在2008 年至2018年期间，BIPA集体诉讼有163起，而仅在2019年，就有300多起，最近的BIPA诉讼包括几起备受瞩目的案件，和解金额达到6.5亿美元.21这导致一些公司撤出伊利诺伊州或限制伊利诺伊州可用的技术消费者 .22 隐私活动家将广泛的私人诉讼权视为给消费者的礼物，为他们提供了针对侵犯其隐私的组织获得补救措施的机会 .23然而，即使在合法的隐私诉讼中，支出通常也很少，律师费通常很高。归根结底，隐私律师是唯一可以从广泛的私人诉讼权中受益匪浅的群体24。 与此同时，由于高昂的诉讼成本极大地推高了处理个人数据的组织的成本，从而将资金从创新和创造新产品和服务上转移开来，经济将受到影响。消费者也会受到影响，因为组织通过提高价格、收取以前免费的服务费用或降低提供折扣的频率来将这些成本转嫁给他们。ITIF估计重复执行机制的年度成本将是 如果联邦数据隐私法包括广泛的私人诉讼权，则为27亿美元25。 ADPPA试图就私人诉讼权达成妥协。它将允许个人在法案生效四年后对数据持有者提起民事诉讼，寻求补偿或禁令救济。为了限制重复执行，个人必须首先通知其州检察长和联邦贸易委员会他们提起诉讼的意图，如果其中一个机构决定提起诉讼，个人不能提起自己的诉讼。还有一项有限的补救权，即如果数据持有人在45天内成功解决了所指控的问题，他们可以寻求驳回禁令救济的要求.26然而，这种私人诉讼权仍然