背景简介

2021年3月10日，众议员苏珊.德尔宾（Suzan DelBene）向美国第117届国会提出《信息透明度和个人数据控制法案》（The Information Transparency and Personal Data Control Act, ITPDCA）[1][2]ITPDCA旨在为消费者个人信息保护设定一个统一的联邦标准，并在国际上形成示范效应，推动全球个人信息保护制度的完善。

若ITPDCA正式颁布，其将取代美国所有州的个人信息保护相关立法，以一个单一的全国性个人信息保护监管系统取代目前针对特定辖区的分散监管，但不会取代美国各州的数据泄露通知、窃听或生物识别信息保护相关的法律。

ITPDCA将联邦个人信息保护执法权力集中于联邦贸易委员会（FTC）。在该法案颁布的18个月内，FTC需颁布有关选择加入/选择退出同意、隐私和数据使用政策、个人数据控制者和处理者间的合同约束以及隐私审计方面的法规。此外，该法案还为FTC提供了3.5亿元美元，用于增聘500名专注于隐私和数据安全的工作人员，包括50名具有技术专长的人员。

ITPDCA赋予州总检察长（the attorney general of a State）代表该州居民对涉嫌违反ITPDCA行为提起诉讼的权力，但存在多项限制条件：

（1）在提起诉讼前，应将涉嫌违法行为通知个人信息控制者，并为他们提供 30 天的时间来纠正非故意违反ITPDCA的行为；

（2）在提起诉讼前，应向FTC书面通知其拟针对该涉嫌违法行为提起民事诉讼，且FTC可介入该类民事诉讼；

（3）自FTC发现涉嫌违法行为或收到涉嫌违法行为通知之日已满60日；

（4）FTC自发现涉嫌违法行为或收到涉嫌违法行为通知之日起的60日未针对该行为提起诉讼。

与GDPR相同，ITPDCA对个人数据控制者和个人数据处理者进行了区分，以确保个人数据控制者对与其共享信息的任何第三方所采取的个人信息处理活动负责。然而，相较GDPR，ITPDCA对于个人信息控制者等主体而言相对更友好。

一是前述州总检察长在提起诉讼前，应为个人信息控制者提供 30 日的非故意违法行为纠正时间。

二是与CCPA、GDPR，以及我国的《个人信息保护法》不同，ITPDCA未赋予消费者起诉违法者的权利。目前个人向企业提起的个人信息保护诉讼的数量不断增加，取消私人诉讼权利有利于降低企业成本。

三是全国性法案的实施能有效降低企业的法律成本。目前，美国公司必须协调各州不同，甚至冲突的个人信息保护规定，来确保全国范围内的数据隐私合规。统一要求的全国性法案颁布后能简化合规步骤，节约法律成本。

四是ITPDCA缺乏对人工智能和人脸识别技术应用的限制。目前虽然目前美国没有在联邦层面立法规范人工智能和人脸识别技术的使用，但美国很多州和城市已严格限制或禁止警察和公司使用人脸识别技术。若ITPDCA颁布，在没有明确限制的情况下，企业能出于盈利目的使用人工智能和人脸识别技术，而不用过于担心可能引发的违法性风险。

[2]法案原文链接: https://www.congress.gov/bill/117th-congress/house-bill/1816/text?__cf_chl_jschl_tk__=pmd_67ird4aDWtsFqKsWsNcPs8RFIQWgJRYMS3xYHDLjF2s-1631794425-0-gqNtZGzNApCjcnBszQk9

为要求联邦贸易委员会颁布与敏感个人信息相关法规等目的，制定本法案。

由美利坚合众国国会参议院与众议院通过。

第三章、敏感个人信息要求

一、法规

自本法颁布之日起 18 个月内，联邦贸易委员会应根据美国法典第 5 篇第 553 节颁布法规，要求除第二款规定的情况外，控制者、处理者和第三方在收集、传输、储存、处理、出售、共享敏感个人信息时，向公众提供涉及在美国经营或位于美国的人的敏感个人信息，或其他使用敏感个人信息的情况，应满足以下要求。

(一) 肯定的、明确的和选择加入的同意。 

1.任何控制者应通过隐私和数据使用政策向其个人信息被收集、传输、存储、处理、出售或以其他方式共享的用户提供关于收集、传输、出售、共享或以其他方式披露其敏感个人信息的具体要求的通知，并要求用户对涉及出售、共享或以其他方式披露敏感个人信息的任何功能提供肯定、明确的同意，包括与第三方共享敏感个人信息，如果敏感个人信息将被第三方用于通知中所述目的以外的目的。

2.控制者向处理者或第三方发出的书面指示应遵守本款第1项中授予的同意的限制，处理者和第三方不得为任何其他目的或以任何超出本款第1项中授予的同意限制的方式使用或披露敏感个人信息。

3.控制者和处理者不应对另一处理者或第三方未能遵守根据本款第1项授予的选择加入同意的限制承担责任。

（二）隐私和数据使用政策。

控制者、处理者和第三方应公开维护最新的、透明的隐私、安全和数据使用政策，该政策应符合一般要求，包括该政策应在其适用的场景中符合如下要求： 

1.简洁、易懂，并使用通俗语言。

2.符合联邦贸易委员会的准则，清晰而明显。

3.适当地使用可视化手段，使普通用户能够理解复杂的信息；以及

4.是免费提供的。

（三）对隐私和数据使用政策的额外要求。

第（二）款要求的隐私、安全和数据使用政策应包括以下内容。

1.收集或处理敏感个人信息的组织或个人的名称或姓名和联系信息。

2.收集、储存、处理、出售、分享或以其他方式使用敏感个人信息的目的或用途。

3.即将与之分享敏感个人信息的第三方类别，以及出于何种一般目的。

4.个人撤回对收集、储存、处理、出售、共享或以其他方式使用敏感个人信息（包括与第三方共享）的同意的程序。

5.用户、控制者或处理者如何查看或获取他们收到或提供给控制者或处理者的敏感个人信息，包括是否可以导出到其他网络平台。

6.由控制者或处理者收集并与处理者或第三方共享的敏感个人信息的类别。

7.如何保护敏感个人信息免遭未经授权的访问或获取。

(四) 选择退出同意。

1.对于任何非敏感个人信息的收集、传输、存储、处理、出售、共享或其他使用，包括与第三方共享，控制者应使用户具备随时选择退出的能力。

2.控制者应在其对非敏感个人信息的任何收集、传输、储存、处理、出售、共享或其他使用的作用范围内，尊重用户根据本款第1项提出的退出请求，并应将退出请求传达给控制者与之共享该用户信息的相关处理者或第三方。

3.收到根据本款第1、2项提出的退出请求的处理者或第三方应在其对非敏感个人信息的任何收集、传输、储存、处理、销售、共享或其他使用的作用范围内遵守这种退出请求。

4.任何按照本款第2项的要求传达用户选择退出请求的控制者，将不对服务提供商或第三方未能遵守这种选择退出的情况承担责任。

(五) 控制者和处理者之间的关系。

1.处理者的处理必须受控制者和处理者之间合同的制约，该合同对双方都有约束力，并约定处理者只能根据控制者的书面指示处理个人数据。

2. 处理者应仅在向控制者提供反对的机会后，且仅出于提供服务的目的与分包商分享敏感个人信息。

3.在任何情况下，任何合同或文件指示都不能免除控制者或处理者根据本法所承担的义务和责任。

（六）隐私审计。

1. 一般而言。

除本款第3、4项的规定外，每个收集、传输、储存、处理、出售、共享或以其他方式使用敏感个人信息的控制者、处理者或第三方应至少每两年一次：

（1）从合格的、客观的、独立的第三方那里获得隐私审计；以及

（2）应将该隐私审计查明控制者、处理者或第三方合规与否的结果公开。

2. 审计要求。

每次审计应：

（1）阐明控制者、处理者或第三方在报告期间实施和维护的隐私、安全和数据使用控制措施。

（2）描述这些控制措施是否适合于控制者、处理者或第三方的规模和复杂性，控制者、处理者或第三方活动的性质和范围，以及控制者、处理者或第三方收集的敏感个人信息或行为数据的性质。

（3）证明隐私和安全控制措施的运作是否足够有效，是否能够为保护敏感个人信息或行为数据的隐私和安全提供合理保证，包括与第三方共享的数据，并证明这些控制措施在整个报告期内一直如此运作。

（4）在第（二）款所述的控制者的隐私和数据使用政策发生重大变化后60天内准备和完成；以及

（5）应向（如下执法机构）提供：

(I) 向联邦贸易委员会提供；以及

(II) 在收到任何一个州的总检察长或其他被授权的州官员的书面要求后的10天内，向该总检察长或被授权的州官员提供，该官员应已向控制者、处理者或第三方提出指控，主张控制者、处理者或第三方违反了本法或根据本法发布的任何条例。

3. 小企业审计豁免。

本款所述的审计要求不应适用于每年收集、储存、处理、出售、分享或以其他方式使用敏感个人信息所涉个人数量小于或等于25万的控制者。

4. 非敏感个人信息豁免

上述审计要求不应适用于不收集、储存、处理、出售、分享或以其他方式使用敏感个人信息的控制者、处理者或第三方。

5. 不鼓励出售信息的规则

联邦贸易委员会应颁布有关第三方审计师的资格和要求的规则，如进行独立评估的责任。

这一规则不鼓励审计师在控