如何完善美国隐私权法案

如何完善美国隐私权法案 ASH约翰逊|2024年6月 美国迫切需要联邦隐私法-但它需要正确的联邦隐私法。在当前状态下，APRA不是该法律。但是有一些重要的变化，它可能是。 KEYTKEAWAYS 国会应该从APRA中删除数据最小化要求，而是专注于让消费者更好地控制他们的数据。 国会应该鼓励消费者利用多样化的数据共享经济，而不是指示联邦贸易委员会（FTC）建立普遍的退出机制。 国会应该避免使用诸如“黑暗模式”之类的主观流行语，而应该禁止客观上有害的做法。 国会应该平等对待所有在线服务，而不是对“高影响力”的社交媒体公司采取报复措施。 国会应该禁止对行使列举的隐私权的消费者进行报复，以防止实际危害，并且不允许自由职业者利用在线服务。 国会应该关闭APRA抢占州隐私法中的漏洞，并包括该法案中遗漏的任何问题，例如数据泄露通知。 国会不应在APRA中包括私人行动权，而应将执法交给FTC和州官员。 国会不应在APRA文本中包含COPPA2.0或任何其他法案的语言。 itif.org CONTENTS Introduction2 无数据最小化2 无通用选择退出机制3 禁止黑暗模式4 对社交媒体没有单独的要求4 禁止报复5 完全状态抢占5 无私人行动权6 不包括COPPA2.06 结论7 尾注8 INTRODUCTION 美国隐私权法案（APRA）是国会对全面联邦隐私立法的最新尝试，于2024年5月23日通过了众议院小组委员会的投票，进入众议院能源和商业委员会的全面投票。随着该法案接近这一重要里程碑，国会评估那些最终可能对美国企业和消费者造成弊大于利的条款至关重要。美国迫切需要联邦隐私法-但更重要的是 ，它需要正确的联邦隐私法。在目前的状态下，APRA不是法律，但有一些重要的变化，它可能是。 无数据最小化 根据APRA，数据持有者将面临的义务之一是数据最小化，这要求组织收集的数据不超过满足特定需求所需的 数据。这些需求包括提供或维护用户请求的产品或服务或与用户的通信（广告除外）。 APRA的数据最小化要求的例外情况包括数据安全保护，遵守APRA未抢占的法律义务，准备法律索赔，遵守手令，完成产品召回或保修，进行市场调查，为合并或收购转移资产，提供呼叫位置信息，提供第一方或上下文广告，向未选择退出的用户提供有针对性的广告，进行科学研究，或防止欺诈或骚扰，安全事故，公共安全事件或犯罪活动。数据持有者还可以使用去识别的数据来开发或增强产品或服务，并且他们可以进行内部研究以改进产品或服务。 数据最小化要求在隐私立法中很受欢迎。但是，它们通过减少对数据的访问，限制数据共享和限制数据的使用来限制创新。特别是，数据最小化会对那些在最初决定收集哪些数据时不知道哪些数据最有价值的组织产生负面影响，并且限制了组织在开发新产品和服务时分析先前收集的数据的能力。 此外，APRA的数据最小化要求比许多州隐私法走得更远。例如，弗吉尼亚州的隐私法限制组织收集超出“足够”范围的数据。3相反，APRA设置了更高的标准，因为问题不再是一个组织是否仅出于公开目的（或单独获得用户的同意）而最小化数据收集，而是政府监管机构是否认为该组织的数据收集对于提供特定产品或服务是“必要的，相称的和有限的”。科技公司，特别是在面对敌对的监管机构时，很可能会发现他们的决定是在一个高度主观的话题上进行的。 随着更多的参与方共享数据以及数据对更多的参与方可用，数据可以产生的许多好处都会增长。这些好处中有许多是公共产品，例如我们从健康研究，提高能源效率和智慧城市应用中获得的好处。国会不应将数据收集和共享视为固有的负面影响并全面限制这些做法，而应专注于让消费者控制其个人数据。 没有通用的退出机制 APRA中类似的问题条款将指示联邦贸易委员会（FTC）在法案颁布后的两年内建立一个普遍的退出机制，允 许消费者选择退出所有涵盖的数据传输和有针对性的广告。唯一的例外与APRA的数据最小化要求的例外相同，不包括广告和科学研究。值得注意的是，APRA没有考虑到这种机制在技术上是否可行，更不用说实施起来是否实用或具有成本效益。 即使这种机制既可行又实用，这种普遍选择退出可能会鼓励消费者广泛限制数据共享并选择退出所有有针对性的广告，而不考虑其决策的社会影响，而不是使用更精细的控制。除了限制数据的有益用途外，这还将减少消费者今天免费或以低成本获得的在线服务的广告收入，包括新闻，应用程序，游戏等。为了弥补收入的损失，这些服务要么需要展示更多相关程度较低的广告，要么开始为其服务收取更多费用，要么开始为以前免费的服务收费。 数据共享的好处和风险差异很大，这取决于谁在收集数据以及他们如何使用数据。不区分不同数据持有者和不同数据用途的普遍选择退出机制并不能准确反映美国存在的多样化数据共享经济。与其鼓励消费者完全退出数据共享，国会应该鼓励他们利用这种多样性及其对个人和社会的巨大好处。 不禁止黑暗模式 APRA还包括对“黑暗模式”的禁止，“黑暗模式”被定义为旨在颠覆或损害用户自主性的用户界面。5这种模糊 和主观的定义几乎肯定会使想要遵守法律并避免罚款或昂贵诉讼的公司的合规性复杂化，但黑暗模式的概念本身就是有问题的。 这个术语是从反技术活动家那里借来的，他们指责科技公司利用行为心理学来设计产品，操纵人们采取活动家认为违背用户最大利益的行动，比如同意与在线服务分享他们的个人数据，点击广告，或者在平台上停留比预期更长的时间。“黑暗模式”是一个方便的标签，可以为这些不便的消费者行为辩解，而不是承认消费者并不总是在逻辑上行事，尤其是他们并不总是按照反技术活动家的逻辑行事。 实际上，消费者可能会选择与在线服务共享其个人数据，因为他们希望使用需要数据共享的某些功能，或者仅仅是因为他们信任在线服务并且认为共享数据不会造成伤害。消费者可能会点击广告，因为他们对正在做广告的产品或服务感兴趣，特别是如果广告准确地瞄准了他们的兴趣。最后，消费者在某个平台上花费的时间可能比预期的要长，因为他们在工作中度过了漫长的一天，并且发现从朋友或志同道合的陌生人那里查看在线内容很放松。 由于操纵性的“黑暗模式”，消费者的行为只会违背反技术活动家的期望，这一假设导致了家长式的数据隐私法律和法规，因为这种假设本身就是家长式的。6这不是一个客观的描述符，而是一个加载的术语，批评者可以很容易地将设计选择标记为邪恶的选择，因为它们是有效的。国会应避免使用诸如“黑暗模式”之类的主观流行语 ，并坚持禁止客观上有害的做法。 社会媒体没有单独的要求 APRA包括一个单独的数据持有者类别，即“覆盖的高影响力社交媒体公司”，它们被定义为任何互联网可访 问的平台，每年产生至少30亿美元的全球收入，在全球拥有3亿或更多的每月活跃用户，并为用户访问或共享用户生成的内容提供在线服务。这个定义明确地针对少数公司，而不是偶然的许多反技术倡导者在批评“大技术”时针对的公司。“7. 根据APRA的某些规定，这些影响力很大的社交媒体公司将获得不同的待遇。例如，该法案对第一方广告的定义排除了对高影响力社交媒体公司的广告。同样，APRA对忠诚度计划的定义不包括高影响力社交媒体公司提供的计划。这将在功能上禁止流行的社交媒体平台的有针对性的广告，这是大多数这些平台目前通过其服务获利而不是向用户收费的方式。 此外，APRA对“敏感涵盖数据”的定义是选择加入的要求，包括在高影响力社交媒体公司运营的任何在线服务上随时间披露个人在线活动的信息。最后，该法案对 定向广告包括高影响力社交媒体公司基于第一方数据的第三方产品或服务的任何在线广告。 大型社交媒体公司对用户的隐私风险并不比任何其他可比的在线服务更大。对大型社交媒体公司包括这些例外和额外要求的唯一原因是对“大技术”的感知罪行进行报复。8国会不应在APRA中采取这种报复方法；立法者应平等对待所有在线服务。 不禁止报复 作为最终义务，APRA禁止数据持有人通过拒绝产品或服务来对消费者行使法案所列举的任何隐私权进行“报复” 。收取不同的价格或费率，或提供不同的质量水平，但忠诚度计划，参与市场研究的激励措施，或收集和处理产品或服务功能所需的数据除外。将这些行为称为“报复”是加载的语言，旨在负面地描绘企业用来将其产品和服务货币化的标准做法。 此要求将为在线服务创建一个免费的问题，其中用户仍然可以获得数据共享的好处，即使他们选择不共享自己的数据。例如，用户将受益于使用定向广告作为收入来源的免费服务，即使他们选择退出定向广告。同样，这一要求将惩罚那些不选择退出数据共享的用户。例如，如果一项免费服务的足够用户选择退出定向广告，以至于该服务失去了重要的收入来源，需要开始向用户收费，那么所有用户都必须开始支付相同的费用才能访问该服务，即使是那些没有选择退出定向广告的用户。 国会应避免通过制定禁止报复措施来避免造成这些问题，以防止对消费者造成实际伤害，并应防止自由职业者利用依赖数据共享或有针对性的广告的在线服务。 全州优惠 任何有效的联邦隐私法的一个重要特征是抢占越来越多的州隐私法，这些法律给数据持有者带来了昂贵而复杂的 合规挑战，并用单一的国家标准取代它。包括到目前为止在18个州通过的全面的数据隐私法，但它包括了一长串的例外，这种先发制人，例如管理消费者保护，公民权利，雇员的隐私权，学生的隐私权，数据泄露通知，非自愿色情，儿童性虐待材料，财务信息，电子监视，垃圾邮件，健康信息等等的州法律。 这种瑞士奶酪的先发制人方法从根本上破坏了保持低合规成本、减少混乱和确保所有美国人享有平等数据隐私保护的目的。事实上，允许各州就利基数据隐私和安全问题立法，而不是在联邦法律中解决这些问题，这将恰恰相反，增加成本和混乱。国会应该在APRA的抢占条款中关闭这些漏洞，并包括法案中遗漏的任何问题，例如数据泄露通知。 APRA还包括加利福尼亚州消费者隐私法案（CCPA）和消费者隐私权利法案（CPRA）以及伊利诺伊州生物识别信息隐私法案（BIPA）的规定。这些特殊的分拆方案中没有其他州，这显然是试图与幕后交易产生的主要立法者达成妥协。这使两个州比其他48个州具有不公平的优势。国会应该以公平和降低成本的名义删除这些规定，因为加利福尼亚州和伊利诺伊州的法律是美国最昂贵的法律。 没有私人行动权 值得注意的是，APRA包括私人诉讼权，允许个人起诉违反某些规定，主要是有关消费者隐私权的规定。法院可 以裁定禁令和宣告性救济，以及实际损害赔偿，律师费和诉讼费用的总和。数据持有者有30天的治疗机会，除 非涉及重大隐私损害的案件。换句话说，在收到涉嫌违规的书面通知后30天内，数据持有者将能够解决违规行为，并确保此类违规行为不再发生，从而避免诉讼。争议前仲裁协议在涉嫌重大隐私损害或涉嫌对未成年人隐私损害的情况下也无效。 APRA对个人为何可以起诉以及他们可以起诉多少的限制有望阻止昂贵，琐碎的诉讼。然而，APRA的私人诉讼权仍然可能是该法案最昂贵的条款，特别是因为它包括对BIPA违规行为的开庭，这导致了多起数百万美元的诉讼，以及CPRA对数据泄露的私人诉讼权，这将导致成本更高。 为了减轻公司的巨大诉讼负担，国会应取消APRA的私人诉讼权，并将执法交给FTC和各州。联邦和州当局加在一起，有能力以低得多的成本执行APRA和保护消费者。此外，加利福尼亚州和伊利诺伊州再次不应该得到特殊待遇，这包括将其私人诉讼权利纳入联邦隐私法，而将所有其他州排除在外。 不包括COPPA2.0 最后，最近对APRA的更改包括另一项法案的语言，即《儿童和青少年在线隐私保护法》（COPPA2.0）。 13该法案将修改现有的联邦儿童隐私立法，最初于1998年通过的《儿童在线隐私保护法》（COPPA）14目前，COPPA适用于13岁以下的用户，禁止在线服务未经父母同意收集其个人信息。COPPA规则适用于针对儿童的在线服务，并且“实际知道”13岁以下的未成年人正在使用他们的服务。 COPPA2.0将扩大对