美国数据隐私和保护法（ADPPA）内容简析

引言

2022年6月3日，美国参议院和众议院发布了《美国数据隐私和保护法》(American Data Privacy and Protection  Act, 以下简称 “ADPPA”)草案。作为第一个获得两党两院支持的美国联邦全面隐私保护提案，ADPPA在美国隐私领域引起了高度关注。7月20日，美国众议院能源和商业委员会通过了修订版的ADPPA 的，该法案即将进入全众议院院投票阶段。但ADPPA的前路仍不明朗，美国众议院在 8 月份休会，即使 ADPPA 在众议院恢复会议时通过了，它将在参议院再次面临挑战。本文是对ADPPA内容的简要分析。

美国国会正在考虑一项综合性的隐私保护立法——ADPPA，据报道，该法案得到了两党的支持。该法案如果通过，将是对美国消费者隐私保护立法的一次大规模改变——之前，此类立法都仅存在于州立法的层面，而非联邦立法层面。那么，ADPPA如何与《加州消费者隐私法案》(以下简称“CCPA”)和《弗吉尼亚州消费者数据保护法》（以下简称“CDPA”）等现有隐私立法相抗衡？

ADPPA对敏感数据定义比在州级立法中的定义广泛得多。ADPPA定义的敏感数据包括收入水平、语音邮件和文字消息、日历信息、与17岁以下儿童有关的数据、以及对个人“穿着内衣”私人区域的描述。州级立法定义的敏感数据往往侧重于健康和人口统计信息这些类别，ADPPA的定义比最近的州级立法范围更广。不过与其他州法律不同，ADPPA仅在性取向信息“与个人对披露的合理期望不一致”时才将其视为敏感信息。目前，尚不能确定根据该定义，LGBTQ+社区的成员与朋友外出时是否对不向他们的雇主出柜会有“合理的期望”。

与欧盟的《通用数据保护条例》一样，ADPPA包括对涵盖实体的数据最小化义务（ADPPA借用了HIPAA中的“涵盖实体”一词：HIPAA的适用主体在法案中被称为“涵盖实体”（Covered Entity））。这条规则有多项例外情况，包括使用之前收集的数据“进行内部研究”的例外情况。

另一项创新是分层适用性，其中所有商业实体都是“涵盖实体”，但“大数据持有者”（large data holders，即总收入超过250,000,000美元并处理5,000,000个人数据或200,000个人敏感数据的人）受额外限制要求和限制，而“小企业”享有额外的豁免。目前为止的州级消费者隐私立法都是全有适用或全无适用的。不过，根据加州隐私保护局最近的法规草案显示的趋势，所有涵盖的实体都必须遵守“opt-out”浏览器的信号。此外，个人拥有针对涵盖实体寻求金钱和禁令救济的私人权利。

最后，也有争议的是，ADPPA明确优先于所有州隐私法。这是有道理的——互联网的全球化性质意味着任何不那么严格的州法律都将成为破坏联邦规则的例外。不过，最近才完成CCPA和CPRA合规计划的公司不会喜欢又要重新再来一次。

正文来源：natlawreview

（完）