他山之石,可以攻玉。中国《个人信息保护法》将于2021年11月1日起正式实施,我国网络安全和数据保护顶层设计基本建成。然而,《网络安全法》《数据安全法》《个人信息保护法》等法律法规的真正落地,还有待一系列配套措施的出台与执法、司法实践的不断深入。在完善我国网络安全和数据保护领域法律体系过程中,域外的法律实践能够带来不同的思考或启发。
鉴于此,观韬中茂大数据法律服务团队全新推出域外译站栏目,翻译域外网络安全和数据安全领域法律相关资料,希望对我国网络安全和数据保护领域法律体系的发展与完善尽一份绵薄之力。
本文为域外译站栏目的第一个系列第一篇文章,我们将分期对美国众议院于2021年3月重新推出的《信息透明度和个人数据控制法案》(The Information Transparency and Personal Data Control Act)进行翻译,本期展示该法案第一章与第二章的译文。
背景简介
2021年3月10日,众议员苏珊.德尔宾(Suzan DelBene)向美国第117届国会提出《信息透明度和个人数据控制法案》(The Information Transparency and Personal Data Control Act, ITPDCA)[1][2]ITPDCA旨在为消费者个人信息保护设定一个统一的联邦标准,并在国际上形成示范效应,推动全球个人信息保护制度的完善。
若ITPDCA正式颁布,其将取代美国所有州的个人信息保护相关立法,以一个单一的全国性个人信息保护监管系统取代目前针对特定辖区的分散监管,但不会取代美国各州的数据泄露通知、窃听或生物识别信息保护相关的法律。
ITPDCA将联邦个人信息保护执法权力集中于联邦贸易委员会(FTC)。在该法案颁布的18个月内,FTC需颁布有关选择加入/选择退出同意、隐私和数据使用政策、个人数据控制者和处理者间的合同约束以及隐私审计方面的法规。此外,该法案还为FTC提供了3.5亿元美元,用于增聘500名专注于隐私和数据安全的工作人员,包括50名具有技术专长的人员。
ITPDCA赋予州总检察长(the attorney general of a State)代表该州居民对涉嫌违反ITPDCA行为提起诉讼的权力,但存在多项限制条件:
(1)在提起诉讼前,应将涉嫌违法行为通知个人信息控制者,并为他们提供 30 天的时间来纠正非故意违反ITPDCA的行为;
(2)在提起诉讼前,应向FTC书面通知其拟针对该涉嫌违法行为提起民事诉讼,且FTC可介入该类民事诉讼;
(3)自FTC发现涉嫌违法行为或收到涉嫌违法行为通知之日已满60日;
(4)FTC自发现涉嫌违法行为或收到涉嫌违法行为通知之日起的60日未针对该行为提起诉讼。
与GDPR相同,ITPDCA对个人数据控制者和个人数据处理者进行了区分,以确保个人数据控制者对与其共享信息的任何第三方所采取的个人信息处理活动负责。然而,相较GDPR,ITPDCA对于个人信息控制者等主体而言相对更友好。
一是前述州总检察长在提起诉讼前,应为个人信息控制者提供 30 日的非故意违法行为纠正时间。
二是与CCPA、GDPR,以及我国的《个人信息保护法》不同,ITPDCA未赋予消费者起诉违法者的权利。目前个人向企业提起的个人信息保护诉讼的数量不断增加,取消私人诉讼权利有利于降低企业成本。
三是全国性法案的实施能有效降低企业的法律成本。目前,美国公司必须协调各州不同,甚至冲突的个人信息保护规定,来确保全国范围内的数据隐私合规。统一要求的全国性法案颁布后能简化合规步骤,节约法律成本。
四是ITPDCA缺乏对人工智能和人脸识别技术应用的限制。目前虽然目前美国没有在联邦层面立法规范人工智能和人脸识别技术的使用,但美国很多州和城市已严格限制或禁止警察和公司使用人脸识别技术。若ITPDCA颁布,在没有明确限制的情况下,企业能出于盈利目的使用人工智能和人脸识别技术,而不用过于担心可能引发的违法性风险。
【参考资料】
[1]see Daniel Friedman, Information Transparency and Personal Data Control Act Introduced in Congress, National Law Review, Volume XI, Number 92, 2021.
[2]法案原文链接: https://www.congress.gov/bill/117th-congress/house-bill/1816/text?__cf_chl_jschl_tk__=pmd_67ird4aDWtsFqKsWsNcPs8RFIQWgJRYMS3xYHDLjF2s-1631794425-0-gqNtZGzNApCjcnBszQk9
《信息透明度和个人数据控制法案》
为要求联邦贸易委员会颁布与敏感个人信息相关法规等目的,制定本法案。
由美利坚合众国国会参议院与众议院通过。
第一章 简称
本法案可称为《信息透明度和个人数据控制法案》
第二章 立法目的
(一)美利坚合众国必须制定一个平衡的、高标准的数字隐私框架,以补充全球标准;
(二)该框架的一个关键要素是制定一个强有力的国家标准,以打击侵害消费者的行为;
(三) 联邦政府就敏感数据的收集、处理、披露、传输和存储提供指导至关重要;
(四) 为国家提供有关此类数据的公平和周到的数字消费者权利至关重要;
(五) 确保执法当局拥有必需的资源,以保护消费者免受数据隐私和安全领域的非法和欺骗行为至关重要;以及
(六)个人对以下事项享有权利——
1. 对公司从其处收集的个人数据以及数据使用方式行使控制权;
2. 获得有关隐私和安全实践的易于理解和访问的信息;
3. 公司在收集、使用和披露个人数据时,应采取与消费者提供数据的场景一致的方式;
4. 安全负责地处理敏感个人信息;
5. 以可用的格式访问和更正个人数据,其方式应与数据的敏感性以及数据不准确时对消费者造成不利后果的风险相适应;以及
6. 对公司所收集与保留的个人数据进行合理限制。
Information Transparency & Personal Data Control Act
To require the Federal Trade Commission to promulgate regulations related to sensitive personal information, and for other purposes.
Be it enacted by the Senate and House of Representatives of the United States of America in Congress assembled,
SECTION 1. SHORT TITLE.
This Act may be cited as the Information Transparency & Personal Data Control Act.
SEC. 2. SENSE OF CONGRESS.
It is the Sense of Congress that—
(1) the United States must develop a balanced, high-standard digital privacy framework that complements global standards;
(2) a key element of this framework is a strong national standard that combats anti-consumer practices;
(3) it is critical that the Federal Government provide guidance on the collection, processing, disclosure, transmission and storage of sensitive data;
(4) it is important to provide the Nation with fair and thoughtful digital consumer rights with respect to such data;
(5) it is important to ensure that enforcement authorities have the resources needed to protect consumers from unlawful and deceptive acts of practices in the data privacy and security space; and
(6) individuals have a right to—
(A) exercise control over the personal data companies collect from them and how they use it;
(B) easily understandable and accessible information about privacy and security practices;
(C) expect that companies will collect, use, and disclose personal data in ways that are consistent with the context in which consumers provide the data;
(D) secure and responsible handling of sensitive personal information;
(E) access and correct persona data in usable formats, in a manner that is appropriate to the sensitivity of the data and the risk of adverse consequences to consumers if the data is inaccurate; and
(F) reasonable limits on the personal data that companies collect and retain.