华盛顿州看起来即将成为继《加州消费者隐私法案》之后,美国第二个通过全面隐私法的州。起草该法令是一个两年多的过程,在此过程中《加州消费者隐私法案》(CCPA)已经通过,《欧盟通用数据保护条例》(GDPR)已经生效。华盛顿提出的隐私法与这两个隐私制度有许多共同的基本原则,但它也有显著的区别。重要的是,它代表了其他国家在起草自己的全面隐私法时考虑的一种新模式。
该法案尚未最终确定,但州参议院在两党的支持下通过了一项法案,并在众议院提出了一项配套法案。众议院法案目前正在通过委员会的程序,委员会正在考虑修正案--一些重要的修正案,如增加私人行动权。目前还不清楚最终法令会在何时提交州长办公室签字、它会是什么样子,但该法案的大部分框架已经到位。当众议院通过该法案的版本时,它将领导一个会议委员会来协调两院通过的法案之间的任何分歧。众议院创新、技术和经济发展委员会上周发表了一份比较文件,概述了参议院法案和目前在委员会面前的众议院法案修正案之间的差异。
以下是《华盛顿隐私法》的摘要,以目前唯一通过立法会的法案为代表,即参议院法案。
该法案最值得注意的条款包括:
范围广泛。
控制者与处理者的区别。
消费者的权利类似于GDPR,而不是CCPA--包括访问权、更正权、删除权、限制处理权、便携权、反对处理权,以及反对完全自动化的决策权。
提高透明度和文件要求。
具体的去除识别和面部识别规定。
处罚包括禁令和罚款;目前,没有私人行动权(见下文讨论)--仅限于司法部长执行。
范围
《华盛顿隐私法》具有广泛的管辖范围,明确排除了以下情况:
范围广泛:该法令适用于“在华盛顿开展业务或生产有意针对华盛顿居民的产品或服务的法律实体”,并至少满足以下条件之一:
控制或处理100000个或更多消费者的数据。
个人信息销售收入占总收入的50%以上,并处理或控制25000名或以上消费者的个人信息。
消费者是:
一个自然人。
他是华盛顿居民。
仅在个人或家庭背景下行事。
控制者:“自然人或法人,单独或与他人共同决定个人数据处理的目的和方式。”
处理者:“代表控制者处理个人数据的自然人或法人。”
明确排除,包括雇佣记录。值得注意的是,以下明确排除在《华盛顿隐私法》的范围之外:国家和地方政府;《医疗保险可移植性和责任法案》、《医疗信息技术促进经济和临床健康法案》和《格拉姆-里奇-布利利法案》规定的个人数据集;以及就业记录--(该法不包括“为就业记录目的而保存的数据”及其管辖范围:“在商业或就业环境中行事的自然人”及其定义中的“消费者”)。
消费者权利
根据《华盛顿隐私法》,控制者必须促进消费者提出行使法规所规定的七项权利之一的请求。
消费者可以要求:
访问权:控制者必须确认是否正在处理关于消费者的个人数据并提供正在处理的个人数据的副本。
更正权:控制者必须纠正不准确的个人数据,并可能需要完成不完整的数据。
删除权:如果满足某些要求,控制者必须删除消费者的个人数据,并且必须采取合理步骤通知披露数据的第三方。
限制处理权:在某些情况下,控制者必须限制对消费者个人数据的处理。只有在征得消费者同意或出于其他有限原因的情况下,才能处理数据。
便携权:控制者必须以结构化、常用和机器可读的格式提供消费者的个人数据(如以可识别的形式维护)。在技术可行的情况下,控制者需要将所请求的个人数据直接传输给另一个控制者。
拒绝处理权:消费者可以反对处理与消费者有关的个人数据。如果出于直接营销目的对处理提出异议,控制者必须停止处理,并将消费者的异议告知第三方。
反对完全自动化决策的权利:消费者可能不会受到仅基于自动处理产生“合法......或类似重要”影响的决定。如果出于某些商业目的、法律授权或消费者同意,则不禁止此类处理。控制者有责任实施保障消费者权利所需的程序。
管制者的义务
控制者和处理者的两项额外义务源自七项消费者权利:
向第三方传达个人数据变更或消费者权利行使的义务:管制者必须向受影响的个人数据的第三方接收者传达消费者请求处理的更正、删除或限制。消费者还可以向控制者请求有关第三方收件人的信息。
迅速反应的义务:控制者必须在指定的时间段内通知消费者为响应消费者请求而采取的措施,该时间段可以根据请求的复杂性和数量进行扩展。对请求的响应必须免费提供给消费者,除非请求过多或重复。
透明度和文件
《华盛顿隐私法》包括透明度和详细的风险评估文件要求:
有意义的隐私声明。控制者必须提供消费者可以合理访问的有意义的隐私声明。它必须包括控制者收集的个人数据类别;个人数据类别的使用目的和向第三方披露的目的(如果有的话);消费者的权利,(如果有的话);控制者与第三方共享的个人数据类别(如果有);以及控制者与之共享个人数据的第三方类别(如果有)。
必须在获取个人数据时或之前披露概况。此类披露包括有关分析中涉及的逻辑及其重要和“设想”后果的有意义信息。
向数据代理销售个人数据和/或为直接营销目的处理个人数据的明确和显著披露。披露必须包括消费者行使反对这种处理的权利的方式。
记录风险评估。当处理过程中发生重大影响个人风险的变化时,管制者必须在处理之前进行并记录涉及个人数据处理的风险评估。风险评估必须每年进行并记录,即使处理过程没有变化。法规规定了必须纳入风险评估的因素。此外,它还指示控制者在可能采用的任何减轻保障措施的情况下,识别和权衡从处理过程中流向控制者、消费者、其他利益相关者和公众的利益和风险,以防范对消费者相关权利的风险。如果风险大于其他因素,则只有在消费者同意的情况下才能进行处理。
处罚和执行
该法令规定法定损害赔偿,并将执行责任交由司法部长承担。参议院法案中没有私人行动权。
司法部长执法。司法部长拥有法规中唯一的执法权。根据司法部长的权限,违反该法令是违反该州的不公平或欺骗行为和惯例法令的行为--显而易见,违反了国家UDAP法规下的公共利益以及贸易或商业中的不公平或欺骗行为或不公平的竞争方法。
30天的补救期。该法令规定30天的补救期,该期限从涉嫌违规的通知开始。 目前尚不清楚是什么构成通知:司法部长的正式沟通、消费者的指控或其他事项。
处罚包括强制令和法定损害赔偿金。司法部长可以寻求强制令,以停止不符合规定的活动,并可以处以以下罚款:
每次违规2500美元。
每次故意违规7500美元。
该法令没有规定构成故意违反的标准。如果多方被视为责任方,则罚款按照比较过失的原则分配,除非双方另有合同分配。
值得注意的条款
面部识别。《华盛顿隐私法》包括两个专门用于面部识别技术的子部分。第一种为部署面部识别技术的控制者和处理者提供了需求。最值得注意的是,在分析包括面部识别技术的情况下,必须包括有意义的人类审查,这些技术可能会对消费者产生法律或类似的重大影响,例如,“拒绝相应的服务或支持,如金融和贷款服务、住房、保险、教育入学、刑事司法。此外,加工者必须包括合同禁止使用面部识别技术进行歧视,加工者必须向消费者提供描述该技术能力和局限性的文件。控制者必须获得消费者的同意,才能部署面部识别服务,开发人员可在线使用的面部识别技术必须为第三方提供独立测试的技术能力。
第二个面部识别部分限制了政府机构使用面部识别技术的能力。它需要一个执法目的和法院命令或紧急情况,以便将技术部署到公共空间进行持续监控。
识别数据。控制者和处理者必须“行使合理的监督,以监控对已确认数据的任何合同承诺的遵守情况,并且必须采取适当的措施来解决任何违反合同承诺的情况。”这种“合理的监督”可以扩展到控制者和处理者关系之外的合同,但是扩展范围似乎很窄:如果第三方控制者或第三方处理者在向第三方披露个人数据时没有实际了解第三方违反法规的意图,则控制者和处理者不对第三方控制者或第三方处理者的违规行为负责。这一不负责任适用于该法令的所有小节。控制者和处理者明确免除重新识别已标识数据的任何要求。
结论
《华盛顿隐私法》很可能成为美国第二个国家级的全面隐私法。它授予模仿GDPR的消费者权利,超越CCPA授予的权利,并采取措施指导某些类型的数据和技术的使用,包括身份识别数据和面部识别技术。华盛顿州立法机构仍在努力协调众议院和参议院的竞争法案,但在整个国会大厦的两党支持下,可以预期会取得稳步进展。
文章来源:
https://iapp.org/news/a/the-state-senate-version-of-the-washington-privacy-act-a-summary/
图片来源:
http://pic.sogou.com/d?query=%D2%FE%CB%BD&mode=1&did=13#did12
供稿者:李 众 编辑:杨慕青
声明:本文来自北邮互联网治理与法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
