2023 年是美国数据隐私和网络安全监管的关键一年,无论是美国联邦和州层面还是美国与其他国家和地区的国际层面,监管和立法均取得了重大进展。
联邦贸易委员会 (FTC) 采取了更积极、更全面的方法来保护消费者数据,特别关注健康、生物识别和儿童信息。其他美国监管机构,例如消费者金融保护局 (CFPB) 和证券交易委员会 (SEC),纷纷效仿联邦贸易委员会的做法,寻求修改并在许多情况下加强其管辖范围内实体的隐私和安全合规义务。与此同时,州立法机构和监管机构继续制定全面的隐私法、颁布规则,并进一步通过保护某些数据类别(如消费者健康和儿童在线信息)或规范特定类型实体(如数据经纪人)的立法。国际上也出现了一些值得注意的进展。对于美国公司来说,最重要的也许是欧盟-美国数据隐私框架 (DPF) 的通过和实施,该框架可替代已失效的隐私护盾计划。
本文总结了过去一年美国十大数据隐私发展,企业中的数据保护人员应了解 2023 年以来的关键转变和趋势,以便审查其现有合规义务并预测 2024 年及以后潜在的立法和监管变化。
1. FTC 积极执法
在过去的一年里,联邦贸易委员会将联邦贸易委员会法案(FTC ACT)第 5 条规定的 "不公平 "原则扩展到隐私保护领域。联邦贸易委员会声称,侵犯隐私的行为不仅是欺骗性的,而且无论描述是否准确,可能还是不公平的。美国联邦贸易委员会指出,BetterHelp(一家在线心理健康咨询服务公司)未经消费者同意,擅自披露健康信息用于广告目的,而1Health.io(一家基因测试公司)擅自修改隐私政策,这两者都构成了“不公平”的商业行为(在这些特定案例中也是“欺骗性”的)。从这些案例中我们可以发现,一家公司对其隐私保护措施如何描述并不重要,只要联邦贸易委员会认为某项做法 "不公平",该公司就有可能违反《联邦贸易委员会法案》第 5 条。需要注意的是目前还没有具体的法律或法规来定义什么是"不公平 "做法,而在规则制定出来之前,联邦贸易委员仍会继续对这些进行“不公平”、“欺骗性”的行为进行执法。
除了扩大“不公平”的定义之外,BetterHelp 和 1Health.io 的行动还表明,FTC 对更广泛地保护数字健康数据越来越感兴趣。2023 年 6 月,FTC 提议修订其健康违规通知规则(“HBNR”),部分澄清该规则的范围,包括明确指出许多健康应用程序属于其管辖范围,并澄清安全违规包括数据安全违规和未经授权的披露。尽管该规则尚未最终确定,但 FTC 已根据现有 HBNR 的权力,针对远程医疗和药品折扣平台 GoodRx 和生育追踪应用程序所有者 Easy Healthcare Corporation 的两项单独执法行动来维护这一利益。FTC认为,这些公司出于广告目的未经授权披露个人健康信息,违反了健康违规通知规则 (HBNR)。除了执行HBNR外,FTC还与卫生和人类服务部(HHS)的民权办公室(OCR)一起发表了一封联合信,警告在线健康门户网站违反《健康保险可移植性和责任法案》(HIPAA)和FTC ACT的行为,进一步表明该机构特别关注公司如何使用健康数据。这一努力是多个执法机构对各种网站上像素和跟踪器使用的广泛持续审查的一部分。
联邦贸易委员会还积极参与人工智能 (AI)、暗黑模式和网络安全等相关问题领域。2023年FTC发布了有关人工智能虚假声明、生成式人工智能以及深度造假人工智能指的南和博客文章。
除此之外,联邦贸易委员会还发布了一份内部报告,并采取了一系列执法行动,以解决公司使用暗色模式和欺骗手段来获取消费者同意的问题。
最后,在2023年末,联邦贸易委员会修改了《格拉姆-里奇-比利利法案》(GLBA) 的保障规则,扩大了范围,将某些非银行金融机构纳入其数据泄露报告要求。
2. 多个州通过新隐私保护法
联邦贸易委员会并不是唯一一个在数据生态系统中更加活跃的美国监管机构。全国各地的州立法机构提出、辩论并通过“全面的”数据隐私法。(请记住,虽然这些法律经常使用“全面”一词,但由于其中存在大量例外情况,因此它们并不全面。)到 2023 年,只有五个州——加利福尼亚州、科罗拉多州、弗吉尼亚州、犹他州和康涅狄格州制定了全面的数据隐私立法。到2023年底,这个数字增加了一倍多,有另外七个州颁布了自己的综合法律,佛罗里达州通过了综合隐私法的较窄版本。
爱荷华州是第一个在三月份通过数据隐私法的州。随后,春季的几个月见证了一系列立法活动,印第安纳州、蒙大拿州、田纳西州和德克萨斯州的州长签署了自己的法律。最后,俄勒冈州和特拉华州在2023年结束前通过了各自的法律。
这些州法律都扩大了消费者权利,例如个人数据的访问、删除和可移植性。它们也都包含通知或透明度要求,例如蒙大拿州的隐私通知要求,要求数据控制者向客户提供与第三方处理和共享的个人数据类别的描述、任何数据处理的目的以及消费者如何行使其数据权利。同时,德克萨斯州、蒙大拿州和俄勒冈州也加入了加利福尼亚州、科罗拉多州和康涅狄格州的行列,要求企业对普遍选择退出机制做出回应。
尽管所有这些州法律都有一个保护消费者数据的共同目标,但它们在某些领域也存在重要差异,例如定义、消费者同意、数据安全要求和豁免。这些差异凸显了日益增长的监管环境的复杂性,并凸显了关于是否需要为跨州运营的企业制定全面的联邦数据隐私法的持续争论。例如,尽管所有州都同意,受GLBA等其他监管法律约束的金融机构不受其数据隐私法的一般范围限制,但特拉华州却偏离了现状,取消了非营利组织和受HIPAA覆盖的实体的实体级豁免,而是专注于信息级别的豁免。最后,所有州都对这些要求的生效时间采取了不同的时间表。蒙大拿州、德克萨斯州和俄勒冈州的法律将于今年生效,爱荷华州、田纳西州和特拉华州的法律将于 2025 年开始执行。印第安纳州为公司实施合规做法提供了最长的跑道:其全面的数据隐私法将不会涉及有效期至2026年7月1日。
3. 多个州制定隐私法配套规则
美国各州政府在数据隐私方面的行动浪潮继续影响到两个州的机构规则制定:科罗拉多州和加利福尼亚州。这些数据隐私法的规则制定过程邀请了公众意见、利益相关者反馈和公开听证会,目的是为企业制定具体义务。科罗拉多州总检察长办公室于 2022 年 10 月开始制定规则,并于 2023 年 2 月就拟议规则举行听证会。其最终法规重点关注消费者访问、删除或选择退出个人数据处理的权利;数据保护评估;以及将个人数据用于分析目的。加州隐私保护局 (CPPA) 批准了《加州隐私权法案》(California Privacy Rights Act)法规的最终文本,并就网络安全审计、风险评估和自动决策的拟议规则制定征求公众意见,从而拉开了新的一年的序幕。这些主题继续推动法规草案的制定,这些草案最终发布并在秋末扩大。一些值得注意的拟议法规包括选择退出自动化决策的权利、提高业务适用性的年度总收入门槛以及修订网络安全审计法规。
除了科罗拉多州和加利福尼亚州监管机构外,纽约州金融服务部(NYDFS)也完成了新的网络安全法规修正案。修正案将覆盖范围扩大到更广泛的实体,增加了所需的风险和漏洞评估的数量,实施了更多控制措施以防止未经授权访问实体数据,并更新了网络安全培训和勒索软件报告的要求。
4.跨大西洋数据传输的新框架
2023年7月10日,欧盟委员会通过了欧盟-美国DPF的充分性决定,标志着美国企业从事跨大西洋数据传输的重大发展。欧盟法院此前曾宣布两项数据传输制度无效,即 2015 年的安全港 (Schrems I) 和欧盟委员会 2020 年的隐私盾决定 (Schrems II),理由是欧盟公民没有足够的数据当他们的个人数据从欧洲经济区转移到美国公司时受到保护。DPF 解决了这个问题,并通过建立美国公司必须通过自我认证实施的数据保护和数据主体权利框架,实现从欧盟合法传输个人数据。美国政府签署的《加强对美国信号情报活动的保障措施行政命令》是欧盟委员会通过该充分性觉得的关键。该命令规定了限制美国情报机构对数据访问的约束性保障措施,确保其采取必要和相称的措施,并为欧洲人引入了针对国家安全目的数据收集的独立救济机制。
DPF 对美国企业的主要影响包括:
(1)合规要求:企业必须承诺遵守一系列隐私义务以证明其参与,其中涉及数据最小化和安全数据共享等原则。
(2)新的权利和补救机制:欧洲个人获得数据访问和更正等权利,并通过新机制来解决有关美国情报机构收集数据的投诉。
(3)对数据传输工具的更广泛影响:该框架的保障措施还促进了通用数据保护条例下其他数据传输机制的使用,例如标准合同条款。
(4)执行和监督:美国商务部将管理 DPF,联邦贸易委员会将强制执行合规性。
通过 DPF 网站进行认证的各方还可以根据Swiss-US DPF 和UK Extension to the EU-US DPF进行认证(尽管目前只有英国延伸协议可以作为合法的数据传输机制)。
5.针对人工智能的监管
说到欧洲,生成式人工智能和大型语言模型的发展充满活力的一年,以经过数月谈判得出的欧盟人工智能法案可能的最终草案结束,这似乎是再合适不过的了。这种全面的人工智能方法标志着同类法律中的第一部,并采用了基于风险的分层监管方法,试图在快速的创新步伐与对人工智能系统的安全、透明和维权保护之间取得平衡。《人工智能法案》将适用于欧盟内外使用影响欧盟境内人员或直接投放到欧盟市场的人工智能系统的任何企业。美国公司需要仔细关注欧洲的这些发展,因为这一法案中提出的先进的监管模式很可能会被美国立法和监管部门所学习。
但欧盟的监管方法只是去年法律和技术政策界争论的众多问题之一。与欧盟的集中监管方式相比,美国已开始采取更加分散的监管策略。这包括纽约市针对就业决策的人工智能审计法等地方举措、白宫《安全、可靠和值得信赖的人工智能行政命令》等联邦行动,以及国会的立法提案,包括参议员查克·舒默提出的SAFE 创新框架和成立的人工智能见解论坛(AI Insights Forum)。此外,白宫人工智能权利法案、大型科技公司的自愿性承诺以及美国国家标准与技术研究所(NIST)的人工智能风险管理框架等自愿措施助推形成多样化的人工智能监管环境。
美国许多州的综合性数据隐私法律也涉及人工智能的使用和发展。这些法律规定的个人信息的广泛范围可能会影响到公司用来训练人工智能模型的数据,即需要判断是否属于法律豁免的“de-identified data”。此外,包括科罗拉多隐私法在内的许多州综合数据隐私法律要求在做出对消费者有法律影响或类似重大影响的重要决策时,赋予消费者控制其个人数据如何被用于 "画像profiling"的权利。(这些法律通常将个人数据的“自动处理”包含在“画像profiling”的定义中)
美国和欧盟人工智能和数据隐私法规的演变反映了这两个领域之间的紧密联系。随着人工智能应用的激增和对更多数据的需求,人工智能创新与数据隐私法之间将相互影响,进而塑造两个领域的未来方向。
6. 聚焦跟踪广告技术
2023 年,消费者对广告技术数据隐私期待增加,这导致对广告中使用的个人数据的透明度和控制的需求增加。从历史上看,消费者一直依靠个人工具(例如广告行业和广告拦截器提供的选择退出工具)来限制定向广告的影响。然而,过去的一年标志着一个重大转变,联邦监管机构认识到需要对日益复杂的广告技术生态系统进行更全面的监督。
FTC 在针对 GoodRx 和 Easy Healthcare Corporation(上文提到过)等公司的行动中创造性地使用《健康违规通知规则》,这就是监管机构愿意更积极地解决这一问题的一个例子。除了 FTC 之外,HHS OCR 还发布了有关广告像素和其他第三方跟踪技术的指南,将其解释为可能违反 HIPAA 隐私规则。然而,这一指导意见遭到了美国医院协会等行业组织的抵制,该协会在联邦法院对 HHS 提起的诉讼中辩称,某些跟踪技术对于收集重要患者数据、与用户共享信息和促进翻译至关重要。
7.加强对数据经纪人的监管
2023年,数据经纪人也越来越受到监管机构和政策制定者的关注。年初,美国消费者金融保护局(CFPB)发布了数据经纪人信息征询书,并邀请公众征求意见,以了解经纪人的数据收集实践和个人数据的商业用途。随着 CFPB 考虑如何保护消费者免受数据市场的潜在伤害,这些活动可能会进入未来的规则制定。
州层面的数据经纪人法规也越来越多。德克萨斯州和俄勒冈州通过了立法并通过了在各自州建立数据经纪人注册机构的规则。加利福尼亚州参议院第 362 号法案(删除法案)以该州的数据经纪人注册要求为基础,并实施了新规则,要求提高经纪人数据处理活动的透明度和更严格的报告要求。最重要的是,《删除法案》要求 CPPA(到 2026 年 1 月)开发一种通用机制,让消费者通过向该机构注册的整个数据经纪人列表提出单一请求,选择不出售或共享其个人信息。数据经纪人还必须在收到经过验证的请求后 45 天内处理删除请求。
8.HIPAA之外的健康隐私
去年,监管部门加强对于传统医疗保健环境之外生成的健康数据,例如来自可穿戴设备和生育跟踪应用程序的信息。最高法院在多布斯诉杰克逊妇女健康组织案中的裁决推翻了罗伊诉韦德案,这引发了人们对妇女健康数据隐私的担忧。
华盛顿州率先颁布了《我的健康我的数据法案》(MHMDA),这是一项专注于非 HIPAA 健康数据的隐私法案,具有相当广泛的适用性。其对“消费者”、“涵盖数据”和“医疗保健”的广泛定义将广泛的实体纳入法律范围。该法案不仅要求对数据收集进行肯定的、选择加入的同意,还要求在出售任何健康数据之前单独同意共享该数据以及消费者签署的授权。它还提供私人诉讼权,允许消费者根据该州的一般消费者保护法提起诉讼。这种私人诉讼权条款在美国数据隐私法中是独一无二的,并且显着增加了属于 MHMDA 范围内的公司的合规风险。
继华盛顿之后,康涅狄格州和内华达州也通过了类似的消费者健康隐私法,但其关注范围比 MHMDA 更窄,并且没有私人诉讼权。我们预计其他州将在 2024 年评估此类立法。此外,加利福尼亚州扩大了 CCPA 的范围,与获取、采购或搜索避孕、怀孕护理(包括堕胎服务)和围产期护理服务相关的数据,如果企业收集该类消费者数据则必须遵守 CCPA/CPRA 义务,但如果这些信息仅用于CPRA定义的指定商业目的,并且仅以聚合和匿名的形式保留,并且不出售或共享,则存在例外情况。这些共同的立法努力表明人们越来越致力于在日益数字化的世界中保护敏感的健康信息。
9.关注儿童上网安全
2023 年的情况表明,儿童隐私和数据保护是两党能够达成一致的少数问题之一,尽管还不足以通过更新版的《儿童在线隐私保护法》(COPPA) 规则。
在联邦层面,民主党和共和党议员共同提出了《保护社交媒体上的儿童法案》,拟对十八岁以下儿童使用社交媒体施加额外的限制。联邦贸易委员会(FTC)忙于对微软的Xbox Live儿童数据的通知、同意和保留/删除政策不足违规、亚马逊的Alexa非法保留儿童音频数据违规以及教育科技公司Edmodo非法允许第三方广告合作伙伴收集学生的IP地址违规进行执法。同时,FTC在年底发布了一项关于该法案的拟议规则的通知。COPPA规则的一些拟议变更包括对定向广告的单独父母同意的新要求,禁止教育科技公司商业使用儿童信息,以及扩大“个人信息”定义以包括生物识别标识符。
州政府努力填补更新的联邦法律保护儿童隐私的空白。加利福尼亚州的适龄设计准则等要求,促使其他州出台了数十项模仿法律。其中最引人注目的是犹他州的社交媒体监管法案,该法案提议对儿童免受有害在线内容和潜在成瘾算法的保护进行监管,以及康涅狄格州的第3号参议院法案,该法案修改了康涅狄格数据隐私法,以为儿童数据建立更多保护。它包括严格限制将儿童数据用于广告、个人资料和地理位置,以及强制性的数据保护评估和设计修改,以减少儿童对在线服务的长时间使用。
10.SEC 重点关注网络安全披露和执行
尽管传统上不被认为是隐私和网络安全监管机构,但美国证券交易委员会(SEC)在 2023 年在这些问题上异常活跃。最重要的是,SEC 采用了新的网络安全披露规则,要求上市公司提供有关其网络安全风险和事件处理程序的详细信息。新的披露规则要求,经历重大网络安全事件的上市公司必须在确定事件严重后的四个工作日内报告该事件。这些规则还规定了必须包含的事件详细信息以及必须提交的表格。
这些规则是在与客户关系管理服务提供商 Blackbaud 达成和解后出台的,该公司被指控没有充分的披露控制和准确报告违规事件等指控。最后,SEC还提出了S-P条例的修正案。如果按照提议获得通过,这些修正案将在处理消费者数据和与服务提供商签订合同时给所涉及的机构带来额外的负担,并增加发生安全事件(以及其他变化)时的义务。
结语
数据隐私监管的变化速度不断加快,2023年几乎所有重点隐私监管领域都出现了重大变化。在美国经营的公司需要认真对待这些变化,理解这些新义务,以建立适当的合规程序,同时密切关注2024年出现的任何新的监管动态。
附录:上文提到的部分资源
FTC:
FTC Announces Proposed Amendments to the Health Breach Notification Rule:
https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-proposes-amendments-strengthen-modernize-health-breach-notification-rule?utm_source=govdelivery
https://www.ftc.gov/system/files/ftc_gov/pdf/HBRN-NPRM-%28CLEAN%29-revised2.pdf
Protecting the privacy of health information: A baker’s dozen takeaways from FTC cases:
https://www.ftc.gov/business-guidance/blog/2023/07/protecting-privacy-health-information-bakers-dozen-takeaways-ftc-cases?utm_source=govdelivery
法规:
NYDFS Finalizes Amendments to Cybersecurity Regulations:
https://www.dfs.ny.gov/industry_guidance/cybersecurity
California’s Office of Administrative Law Approves CCPA Regulations:
https://cppa.ca.gov/announcements/2023/20230330.html
https://cppa.ca.gov/regulations/consumer_privacy_act.html
人工智能:
New York City Automated Employment Decision Tool Law:
https://www.nyc.gov/site/dca/about/automated-employment-decision-tools.page
Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence:
https://www.whitehouse.gov/briefing-room/presidential-actions/2023/10/30/executive-order-on-the-safe-secure-and-trustworthy-development-and-use-of-artificial-intelligence/
New NIST Public Working Group on AI:
https://www.nist.gov/news-events/news/2023/06/biden-harris-administration-announces-new-nist-public-working-group-ai
Chuck Schumer’s AI Insights Forum & SAFE Innovation Framework:
https://www.democrats.senate.gov/news/press-releases/majority-leader-schumer-delivers-remarks-to-launch-safe-innovation-framework-for-artificial-intelligence-at-csis
White House AI Bill of Rights:
https://www.whitehouse.gov/ostp/ai-bill-of-rights/
NIST AI RISK MANAGEMENT FRAMEWORK:
https://www.nist.gov/itl/ai-risk-management-framework
White House Office of Science and Technology Policy (OSTP) National AI R&D Strategic Plan:
https://www.whitehouse.gov/briefing-room/statements-releases/2023/05/23/fact-sheet-biden-harris-administration-takes-new-steps-to-advance-responsible-artificial-intelligence-research-development-and-deployment/
Commitments from Leading Artificial Intelligence Companies to Manage the Risks Posed by AI:
https://www.whitehouse.gov/briefing-room/statements-releases/2023/07/21/fact-sheet-biden-harris-administration-secures-voluntary-commitments-from-leading-artificial-intelligence-companies-to-manage-the-risks-posed-by-ai/
广告技术:
Use of Online Tracking Technologies by HIPAA Covered Entities and Business Associates:
https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/hipaa-online-tracking/index.html
FTC and HHS Warn Hospital Systems and Telehealth Providers about Privacy and Security Risks from Online Tracking Technologies:
https://www.ftc.gov/news-events/news/press-releases/2023/07/ftc-hhs-warn-hospital-systems-telehealth-providers-about-privacy-security-risks-online-tracking
https://www.ftc.gov/business-guidance/blog/2023/07/ftc-hhs-joint-letter-gets-heart-risks-tracking-technologies-pose-personal-health-information
AHA Files Lawsuit Challenging HHS Guidance on Tracking Technologies:
https://www.aha.org/legal-documents/2023-11-02-lawsuit-challenges-federal-rule-ties-providers-hands-efforts-reach-their-communities
数据经纪人:
CFPB Launches Inquiry Into the Business Practices of Data Brokers:
https://www.consumerfinance.gov/about-us/newsroom/cfpb-launches-inquiry-into-the-business-practices-of-data-brokers/
California’s Senate Bill 362 (the Delete Act):
https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202320240SB362
州健康隐私法:
Washington State enacted the My Health My Data Act:
https://app.leg.wa.gov/billsummary?BillNumber=1155&Year=2023&Initiative=false
Connecticut Senate Bill 3 (“SB 3”):
https://www.cga.ct.gov/asp/CGABillStatus/cgabillstatus.asp?selBillType=Bill&bill_num=SB3
Nevada Senate Bill 370 (“SB 370”):
https://www.leg.state.nv.us/App/NELIS/REL/82nd2023/Bill/10323/Overview
AB-1194 California Privacy Rights Act of 2020: exemptions: abortion services:
https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=202320240AB1194
儿童隐私保护:
Protecting Kids on Social Media Act:https://www.schatz.senate.gov/imo/media/doc/protecting_kids_on_social_media_act_2023.pdf
Microsoft Xbox:
https://www.ftc.gov/news-events/news/press-releases/2023/06/ftc-will-require-microsoft-pay-20-million-over-charges-it-illegally-collected-personal-information
Amazon Alexa:
https://www.ftc.gov/legal-library/browse/cases-proceedings/192-3128-amazoncom-alexa-us-v
Edmodo:
https://www.ftc.gov/legal-library/browse/cases-proceedings/202-3129-edmodo-llc-us-v
SEC:
SEC Cybersecurity Disclosure Rules:
https://www.sec.gov/news/statement/gerding-cybersecurity-disclosure-20231214
SEC Reaches Settlement with Blackbaud:
https://www.sec.gov/news/press-release/2023-48
https://www.sec.gov/files/litigation/complaints/2023/comp-pr2023-48.pdf
声明:本文来自越洋网事,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。