|
# 主要的数据保护立法 美国的个人数据保护类法律的特点:碎片化! 美国没有单一的主要数据保护立法。相反,在联邦和州两级颁布的用于保护美国居民的个人数据的数百项法律杂乱无章。 在联邦层面,《联邦贸易委员会法》FTC Act(15 U.S. Code § 41 et seq.)广泛授权美国联邦贸易委员会FTC采取执法行动,保护消费者免受不公平或欺骗性行为的影响,并执行联邦隐私和数据保护法规。联邦贸易委员会的监管标准是“deceptive practice欺骗性准则”,该准则的适用包括公司未能遵守其公布的隐私承诺,以及未能提供足够的个人信息安全,此外还包括使用欺骗性广告或营销方法。在州层面,加州、弗吉尼亚州、科罗拉多州都出台了各自州的个人隐私保护类法律。 [color=inherit !important]美国联邦金融现代化法案(Gramm Leach Bliley Act,GLBA)合规简述mp.weixin.qq.com/s?__biz=MzkxMzIyODU3Ng==&mid=2247484618&idx=1&sn=c22719519388a34d0127d80cbabfdce1&chksm=c1019285f6761b93bb68e0280d0da0a8f1086db6b771b40035fe20ffe5b968b1e03334334945&scene=21#wechat_redirect
或管辖医疗保健的HIPAA法案等。与联邦制度平行的州一级的法规保护个人居民广泛的隐私权。各州法规提供的保护通常在各州之间有很大的区别,有些是全面的,而有些则涵盖了从保护图书馆记录到使房主免受无人机监视等不同领域。 # 其他与数据保护有关的一般性立法 虽然没有影响数据保护的一般联邦立法,但有一些联邦数据保护法是针对特定部门的,或专注于特定类型的数据。 例如,1994年的《驾驶员隐私保护法》(DPPA)(18 U.S. Code § 2721 et seq.)规范了各州机动车部门收集的个人信息的隐私和披露。 儿童信息在联邦一级受到《儿童在线隐私保护法》(COPPA)(15 U.S. Code § 6501)的保护,该法禁止从13岁以下儿童的在线和数字连接设备中收集任何信息,并要求在收集儿童信息时发布隐私通知并收集可核实的父母同意书。 以及联邦《视频隐私保护法》(VPPA)(18 U.S. Code § 2710 et seq.)限制披露视频或类似视听材料的租赁或销售记录,包括在线流媒体。同样,1984年的《有线电视通信政策法》包括专门保护用户隐私的条款(47 U.S. Code § 551)。 州法律还可能对企业施加与收集、使用、披露、安全或保留特殊类别信息有关的限制和义务,如生物识别数据、医疗记录、SSN、驾驶执照信息、电子邮件地址、图书馆记录、电视观看习惯、财务记录、税务记录、保险信息、刑事司法信息、电话记录和教育记录,这只是一些最常见的例子。 每个州都通过了适用于其居民的某些类型个人信息的数据泄露通知立法。即使企业在某一州没有实际存在,但在面临其收集、持有、转让或处理的有关该州居民的个人信息被未经授权的访问或获取时,通常必须遵守该州的法律。 受这些法律约束的信息类型各不相同,大多数州将个人信息定义为包括个人的名字或名字的首字母和姓氏,以及包括个人的SSN、驾驶执照或州身份证号码、金融账户号码或支付卡信息的数据。 在数据保护方面,一些州比其他州更积极。 例如,马萨诸塞州有强有力的数据保护法规(201 CMR 17.00),要求任何接收、存储、维护、处理或以其他方式接触马萨诸塞州居民与提供商品或服务有关的 "个人信息personal information"的实体。 2019年,纽约州扩大了其数据泄露通知法,包括明确要求实体制定、实施和维护 "合理reasonable "的保障措施,以保护私人信息的安全性、保密性和完整性。 重要的是,纽约州的SHIELD法案(N.Y. Gen Bus. Law § 899-bb)确定了一系列行政、技术和物理保障措施,这些措施如果得到实施,将被视为满足纽约州法律规定的合理性标准。 此前,纽约州通过制定最低网络安全标准,要求公司定期进行风险评估并提交年度合规证明(23 NYCRR 500),对在该州开展业务的某些金融机构进行优先监管。 加利福尼亚州在通过隐私方面的立法方面有着悠久的历史,2018年,该州颁布了《加利福尼亚消费者隐私法》(CCPA),该法于2020年1月1日生效。 该法为所涵盖的企业引入了新的义务,包括要求披露企业收集的关于消费者的个人信息类别,企业收集的关于消费者的具体个人信息,收集个人信息的来源类别,收集或出售个人信息的商业或商业目的,以及企业与之分享个人信息的第三方类别。它还为加州居民引入了新的权利,包括要求访问和删除个人信息的权利以及选择不将个人信息出售给第三方的权利。 最近,我们看到许多州都在推动制定全面的消费者数据隐私法。 具体而言,在2020年,加州以《加州隐私权利法》(CPRA)修订了CCPA,扩大了授予消费者的权利,并增加了企业的合规义务。 此外,在2021年初,弗吉尼亚州颁布了《消费者数据保护法》(CDPA),成为第二个拥有全面数据隐私法的州。 这些最近通过的法律将于2023年1月1日生效,同时科罗拉多州的《科州隐私法案》(CPA)。 # 与数据保护有关的特定部门立法 关键部门的法律包括那些涉及金融服务、医疗保健、电信和教育的法律。 联邦格雷姆-里奇-布里利法案(GLBA)(15 U.S. Code § 6802(a) et seq.)对银行、保险公司和其他金融服务行业的公司手中的个人信息的保护进行了规范。 该法规涉及 "非公开个人信息"(NPI),其中包括金融服务公司从其客户那里收集的与提供服务有关的任何信息。 它对金融服务行业的公司提出了要求,以确保NPI的安全,限制NPI的披露和使用,并在NPI被不适当地暴露给未经授权的人时通知客户。 经《公平和准确信用交易法》(FACTA)(15 U.S. Code § 1681)修订的《公平信用报告法》(FCRA)限制使用对个人信用度、信用状况、信用能力、性格、一般声誉、个人特征或生活方式有影响的信息来确定信贷、就业或保险的资格。 它还要求在打印的收据上截断信用卡号码,要求安全销毁某些类型的个人信息,并规范使用从关联公司收到的某些类型的信息用于营销目的。除了金融行业的法律和法规外,主要的信用卡公司要求处理、存储或传输支付卡数据的企业遵守支付卡行业数据安全标准(PCI-DSS)。 经修订的《健康信息可携性和责任法案》(HIPAA)(29 U.S. Code § 1181 et seq.)保护承保实体持有的涉及健康状况、提供医疗服务或支付医疗费用的信息,这些信息可以与个人联系起来。 其隐私规则对此类信息的收集和披露进行监管。 其安全规则规定了保护这些数据的要求。 《电话消费者保护法》(TCPA)(47 U.S. Code § 227)和相关法规对拨打移动电话和短信进行了规定,并对出于营销目的或使用自动拨号系统或预先录制的信息拨打住宅电话进行了规定。 《家庭教育权利和隐私法案》(FERPA)(20 U.S.C. §1232g)规定,学生有权检查和修改他们的学生记录的准确性,同时也禁止在未经学生或家长(在某些情况下)同意的情况下,披露这些记录或其他关于学生的个人信息。 当联邦法规涵盖一个特定的主题或行业时,联邦法律可以优先于关于该主题的任何类似的州法律。 然而,某些联邦法律,例如GLBA,明确规定它们不优先于有关该主题或行业的州法律。 # 负责数据保护的主管部门 虽然美国在联邦层面上没有全面的数据保护监管机构,但联邦贸易委员会FTC的权力非常广泛,并经常为联邦隐私和数据安全问题定下基调。 此外,其他各种机构通过部门法律对数据保护进行监管,包括货币监理署(OCC)、卫生与公众服务部(HHS)、联邦通信委员会(FCC)、证券交易委员会、消费者金融保护局(CFPB)和商业部。 在州一级,最近颁布的CPRA创建了美国第一个专注于数据保护的机构--加州隐私保护局(CPPA)。 # 相关立法中使用的关键定义 Personal Data:在美国,与个人有关的信息通常被称为 "个人信息 Personal Information"(而不是个人数据Personal Data)。 在美国,个人信息的定义在所有州或所有法规中并不统一。 此外,某些数据在某种目的上可能被认为是个人信息,但在另一种目的上却不是。所以说漂亮国的立法也是非常混乱的。 Processing、Controller、Processor:这些在美国目前的相关法律之中都没有相关定义。 Data Subject:各州的数据保护法规通常涵盖居住在该州的 "消费者Consumer"。 消费者的定义因州而异。 根据许多州的数据保护法规,消费者是指参与到engage为个人或家庭提供服务的生意业务中的个人 a “consumer” is an individual who engages with a business for personal, family or household purposes。 相反,根据《加州消费者隐私法》(CCPA),"消费者consumer"被广泛定义为 "加州居民的自然人natural person who is a California resident"。 Sensitive Personal Data:在美国目前的相关法律之中没有相关定义。 Data Breach:数据泄露的定义取决于各个州的法规,但通常涉及未经授权的访问或损害个人信息的安全性、保密性或完整性的计算机化数据的非法获取。 # 管辖问题 在其他司法管辖区(可能是其他国家,也可能是其他州)设立的企业,如果其收集、持有、传输、处理或分享的信息影响到美国居民,则可能受到联邦和州数据保护法的约束。 # 个人权利 Right of access to data/copies of data:这些权利是针对具体法规的。 例如,在某些情况下,雇员有权获得雇主持有的数据的副本。 在其他情况下,父母有权获得从他们13岁以下的孩子那里在线收集的信息的副本。 根据HIPAA,个人有权要求获得由医疗服务提供者持有的医疗信息的副本。 此外,CCPA规定,加州居民有权查阅企业持有的与该居民有关的个人信息。 Right to rectification of errors:这些权利是针对具体法规的。 一些法律,如FCRA,为消费者提供了审查实体持有的关于消费者的数据并要求纠正数据中的错误的权利。 在州一级,纠正信息的权利通常适用于信用报告,以及刑事司法信息、就业记录和医疗记录。 Right to deletion:这些权利是针对具体法规的。 以联邦法律为例,COPPA规定父母有权审查和删除其子女的信息,甚至在没有要求的情况下也可以要求删除数据。 一些州的法律,如CCPA和CDPA,为各自州的居民提供了删除的权利,但有一些例外情况。 Right to object to processing:这些权利是针对具体法规的。 根据垃圾邮件法案CAN-SPAM,个人有权选择不接收商业(广告)电子邮件,根据TCPA,个人有权在没有明确同意的情况下不接收某些类型的住宅或移动电话号码的电话。 一些州规定,个人有权在未经通话各方同意或通话一方同意的情况下,不接受电话录音。 Right to restrict processing:这些权利是针对具体法规的。 某些法律限制一个实体如何处理消费者数据。 例如,CCPA允许加州居民,而内华达州隐私法允许内华达州居民禁止企业出售该个人的个人信息。 新颁布的CDPA将提供一项权利,限制以销售、定向广告和剖析为目的的处理。 Right to data portability:这些权利是针对具体法规的。HIPAA规定了消费者的数据可携性权利,个人有权要求将医疗服务提供者持有的医疗信息转给另一个医疗服务提供者。 此外,CCPA为加州居民提供了数据可移植的权利。 Right to withdraw consent:这些权利是针对具体法规的。 例如,根据TCPA,个人被允许撤回对住宅或移动电话线接收某些类型的电话或短信的同意。 Right to object to marketing:这些权利是针对具体法规的。 一些法律允许消费者限制涉及其个人数据的营销活动。 例如,根据CAN-SPAM,个人可以选择不接收商业(广告)电子邮件。 根据TCPA,个人必须提供明确的书面同意,以接收移动电话线的营销电话/短信。 加利福尼亚州的Shine the Light法案要求那些为收件人的直接营销目的而共享个人信息的公司提供退出选择,或者向消费者披露哪些信息以及与谁共享。 Right to complain to the relevant data protection authority:这些权利是针对具体法规的。 例如,个人可以直接向联邦贸易委员会报告不需要的或欺骗性的商业电子邮件("垃圾邮件"),并直接向联邦通信委员会报告电话销售的违法行为。直接向联邦贸易委员会报告,并直接向联邦通信委员会报告违反电话销售的行为。 同样,任何人都可以直接向卫生和人类服务部提出HIPAA投诉。同样,任何人都可以直接向卫生和人类服务部(HHS)投诉。 在州一级,加州居民可以向加州检察官报告涉嫌违反CCPA的行为。向加州总检察长报告违反CCPA的行为。 # 注册要求和事先批准(以加州和佛蒙特州为例子) 佛蒙特州和加利福尼亚州都要求“数据经纪人data broker”向州检察长注册。 佛蒙特州的要求于2019年生效,它对 "数据经纪人 "的定义包括在知情的情况下收集和销售或授权给第三方的消费者的个人信息的实体,而该企业与之没有直接关系(9 V.S.A. chapter 62)。 加州的规定于2020年生效,同样适用于在知情的情况下收集和销售与企业没有直接关系的消费者的个人信息(Cal. Civ. Code § 1798.99.82)。 强制要求数据经纪人注册的州一般不要求具体描述相关的数据处理活动。 加利福尼亚州规定,数据经纪人可以选择在其注册中提供有关其数据收集做法的任何信息(Cal. Civ. Code § 1798.99.82)。 相比之下,佛蒙特州的要求更高,它要求注册者披露有关消费者退出的信息,数据经纪人是否实施了购买者认证程序,以及它在前一年经历的任何数据经纪人安全漏洞的数量和程度。 如果数据经纪人故意拥有未成年人的信息,佛蒙特州法律要求他们详细说明所有相关的数据收集做法、数据库、销售活动和退出政策(9 V.S.A. § 2446)。 数据经纪人的注册是以 "每个法律实体 per legal entity"为基础进行的。在其适用的州内,需要根据企业属于州法律规定的 "数据经纪人 "的定义来进行注册。 一般来说,"数据经纪人 "被定义为故意收集和销售与企业没有直接关系的消费者的个人信息的企业。 在佛蒙特州,除了100美元的注册费外,未注册每天的处罚是150美元。在加州,未注册的数据经纪人每天要承担100美元的民事罚款、费用和成本,以及相当于其未注册期间应缴费用(类似特别税)的金额。 在佛蒙特州和加利福尼亚州,提交数据经纪人注册材料需要司法部长的批准。注册费用因州而异。 佛蒙特州的数据经纪人注册费为100美元,加利福尼亚州为360美元。 # 指定处理者Appointment of Processors 根据某些州的法律和联邦监管指南,如果企业与供应商分享某些类别的个人信息,企业必须以合同形式约束供应商采取合理的安全做法。 例如,HIPAA要求在向供应商转让受保护的健康信息时使用商业伙伴协议。 另一个例子是CCPA,它要求与服务提供者签订书面合同。 合同的形式通常没有规定。 然而,HIPAA是一个法规的例子,它对商业伙伴协议中必须包含的条款有最低要求。 这些协议必须包括对使用和披露的限制,并要求供应商遵守HIPAA的安全规则,提供违规通知和报告未经授权的使用和披露,归还或销毁受保护的数据,并向联邦监管机构提供其账簿、记录和做法。 根据CCPA,合同必须限制服务供应商为履行合同中规定的服务以外的任何目的保留、使用或披露个人信息。 # 营销规定 根据TCPA的规定,在向移动电话线发送某些营销短信之前,必须事先获得明确的书面同意。 其他联邦法规有选择退出而不是选择进入的同意要求。 例如,根据CAN-SPAM,营销电子邮件--或以宣传或推广商业产品或服务为主要目的的电子邮件--可以发送给那些没有选择退出的人,条件是发件人的身份准确,电子邮件的主题行和文本不具有欺骗性,电子邮件包含发件人的姓名和地址,电子邮件包含一个免费、简单的机制来选择退出未来的电子邮件,以及发件人在收到后10天内兑现选择退出。 TCPA和CAN-SPAM法案适用于企业对消费者以及企业对企业的电子直接营销。 相比之下,企业对企业的电话通信,除了那些旨在诱导零售非耐用办公或清洁用品的电话通信外,不受《电话销售规则》Telemarketing Sales Rule的约束。 电话营销在全国范围内受到《电话营销销售规则》的监管,该规则是《电话营销和消费者欺诈及滥用预防法》the Telemarketing and Consumer Fraud and Abuse Prevention Act的规定。 该法案建立了全国性的 "不打电话名单Do Not Call list",即不能用于营销通信(电话和短信)的电话号码,以及对从事电话营销的公司的披露要求。 它还规定了对使用电话营销的限制,包括,例如,限制一天中的营销电话时间,要求来电者提供对未来电话的退出,以及限制使用预录信息。 对于通过邮局发送营销材料,没有同意或退出的要求。 此外,随着电话营销者使用虚假来电显示的情况日益普遍,联邦通信委员会正在更加积极地执行《来电显示真实性法案》the Truth in the Caller ID Act。 负责监管欺骗性做法的联邦贸易委员会已经对那些在公开发布的隐私政策中承诺不会将个人信息用于营销目的的公司传送营销电子邮件或电话的行为提起执法诉讼。 此外,许多州适用欺骗行为法规,在类似情况下,或在违反联邦法规被视为州法律规定的欺骗行为的情况下,实施处罚或禁令救济。 最后,加利福尼亚州和弗吉尼亚州的隐私保护法为消费者提供了拒绝销售、披露或处理与定向广告或分析有关的个人信息的选择。 如果收件人在美国境内,上述限制适用于从其他司法管辖区发出的营销。联邦贸易委员会、联邦通信委员会和各州总检察长都在积极执行违反营销限制的行为。 违反营销限制的处罚也是依据不同的法律规定有所不同,根据CAN-SPAM的规定,每封电子邮件的处罚金额从16,000美元到43,792美元不等。 根据TCPA的规定,对每个电话/短信违规行为的处罚为500美元,对每个故意或知情的违规行为的处罚为1500美元,对故意违规行为的额外民事没收费高达1万美元(根据2019年通过的TRACED法案),另外对每个违反该法案的政治信息或电话的罚款可达到16000美元。 许多州都有自己的法规,在违反联邦法规的情况下,州政府会施加额外的惩罚。 如果违反联邦法规的行为被认为是该州法规规定的欺骗行为,该州就会施加额外的处罚。 # 跨境传输规定 明确一点,美国对向其他司法管辖区转移个人数据没有限制。因为在美国立法思维里面数据的传输属于数据的销售,是一种商业行为。 那么受美国法律管辖的公司通常利用哪些机制在遵守适用的转移限制的情况下将个人数据转移到国外(例如,数据主体的同意、与数据主体的合同的履行、经批准的合同条款、遵守法律义务等)呢? 其实,这将由公司自行决定,因为美国对个人数据转移到其他司法管辖区没有限制。关于接收来自国外的数据,在Schrems II之前,欧盟-美国隐私保护框架提供了一个在从欧盟向美国转移个人数据时遵守数据保护要求的机制。然而,自从隐私保护框架在Schrems II中失效后,管理从欧盟向美国转移数据的机制就被取消了。从欧盟向美国转移数据的机制主要限于使用SCCs或者BCRs。通常情况下,向美国以外的其他司法管辖区转移个人数据也不需要需要登记/通知或事先得到相关数据保护机构的批准。 尽管联邦贸易委员会在Schrems II案裁决后没有发布正式的指导意见,但它还是提供了一个最新信息指出,它继续 "期望公司遵守其在隐私保护框架下进行的转让的持续义务并鼓励这些企业遵守 "强有力的隐私原则robust privacy principles"。 此外,美国商务部、司法部和国家情报总监办公室在2020年9月发布了一份白皮书,根据Schrems II的决定提供指导。 该白皮书提供了一个框架,为公司评估美国法律在适用SCCs方面提供的保护,并为那些收到根据FISA 702授权的命令、要求向美国情报机构披露数据的公司提供建议。 虽然美国的公共机构没有就欧盟委员会的SCCs(包括新版的)发布正式的指导意见,但美国确实就该草案提交了评论。 这些评论没有为公司提供任何具体的指导,而是反映了一种担忧,即修订后的短链氯化物草案可能会干扰政府保护公共安全和国家安全的努力,以及美国和欧盟在这些问题上的联合合作。 美国也仍然关注的是,与来自欧盟成员国的类似要求相比,修订后的SCC为美国政府的数据要求制定了不同的标准。 # 数据安全和数据泄露 联邦贸易委员会指出,公司保护个人数据的数据安全措施必须是 "合理的Reasonable",要考虑到许多因素,包括公司持有的信息量和敏感性,公司运营的规模和复杂性,以及可用来解决漏洞的工具的成本。 某些联邦法规和某些个别州的法规也规定了确保个人信息安全的义务。 例如,GLBA和HIPAA对金融服务公司和承保的医疗保健实体(及两者的供应商 vendors)提出了安全要求。一些州对某些收集、持有或传输有限类型个人信息的实体规定了数据安全义务。例如,纽约金融服务部(NYDFS)在2017年通过的法规,要求所有 "受监管实体regulated entities "采用网络安全方案和网络安全治理程序。 该条例还要求向监管机构报告网络安全事件,如数据泄露和企图渗透。 受保护的实体包括那些银行、抵押贷款公司、保险公司和支票兑换商,否则由纽约市金融服务局监管。 NYDFS条例的执行工作已经开始,2021年初发出了第一张150万美元的罚单。 在联邦层面,除了与联邦机构本身有关的违规通知要求外,例如HIPAA要求 "受管辖的实体Covered Entities "向 Department of Health and Human Services卫生和人类服务部报告危及受保护健康信息的安全或隐私的不允许的使用或披露行为。 根据隐私规则,如果违规行为涉及500人以上,必须在发现违规行为后60天内进行通知。 需要提交的信息包括:遭受破坏的实体、破坏的性质、破坏的时间(开始和结束)、发现破坏的时间、暴露的信息类型、破坏前的保障措施以及破坏后采取的行动,包括向受影响的个人发送的通知和补救措施。 虽然不是专门的数据泄露通知义务,但《证券交易法》the Securities and Exchange Act和相关法规,包括Regulation S-K,要求上市公司在发生重大事件,包括网络事件时,在提交给证券交易委员会的文件中进行披露。 如果网络事件对注册人记录、处理、总结和报告需要在证券交易委员会文件中披露的信息的能力构成风险,管理层也应考虑其披露控制和程序是否存在任何缺陷,而使其失效。 一些州的法规要求在某些情况下向州政府机构或检察长报告数据泄露事件。 要提交的信息因州而异,但通常包括事件的描述、受影响的人数、暴露的信息类型、事件发生和发现的时间、为防止未来发生而采取的行动、向受影响的个人发送的通知副本以及向受影响的个人提供的任何服务,如信用监测等。 在联邦层面上,例如HIPAA要求承保实体向受影响的个人报告数据泄露事件,不得有不合理的延迟,且不得晚于60天。 通知应包括对违规事件的描述,包括:涉及的信息类型;个人应采取的自我保护措施,包括他们可以与承保实体的谁联系以获得更多信息;以及承保实体正在做什么来调查违规事件、减轻伤害和防止进一步的违规事件。 对于影响到一个州或司法管辖区500名以上居民的违规事件,除了个人通知外,承保实体还必须提供当地媒体通知。 截至2021年5月,所有50个州、哥伦比亚特区、关岛、波多黎各和美属维尔京群岛都有法规要求将数据泄露事件报告给受影响的个人,具体定义见各法规。 这些法规是由辖区内居民的个人信息暴露引发的,因此,如果发生涉及多个州居民的违规事件,则必须遵守多个州的法律。 大多数法规将 "破坏系统安全 "定义为涉及未加密的计算机化个人信息,但有些州包括任何格式的个人信息。 触发的个人信息因法规而异,大多数包括个人的名字或名字的首字母和姓氏,再加上一个数据点,包括个人的社会安全号码、驾驶执照或州身份证号码、金融账户号码或支付卡信息。 一些州包括额外的触发数据点,如出生日期、母亲的婚前姓名、护照号码、生物识别数据、雇员识别号码或用户名和密码。 何时需要通知的标准各不相同,从未经授权访问个人信息,到未经授权获取个人信息,再到滥用个人信息或有伤害风险。 大多数州要求在可行的情况下尽快通知,通常是在发现事件后的30至60天内,具体时间取决于法规的规定。 要提交的信息因州而异,但通常包括事件的描述、暴露的信息类型、事件发生和发现的时间、为防止未来发生而采取的行动、关于个人应采取的自我保护步骤的信息、信息资源以及向受影响的个人提供的任何服务,如信用监测等。 数据泄露的处罚是针对法规和事实的。 例如,根据HIPAA,每次违规(或每份记录)的罚款金额从100美元到50,000美元不等,每次违规的最高罚款金额为175万美元/年。 举例来说,在2020年,Department of Health and Human Services(HHS)和42个州的总检察长与一家健康保险公司达成了3950万美元的和解,该公司的数据泄露影响了超过7900万人的健康记录。 2019年,在与联邦贸易委员会、美国联邦金融管理局、48个州、哥伦比亚特区和波多黎各联邦达成的数据泄露和解中,一家公司同意支付至少5.75亿美元,甚至可能高达7亿美元的创纪录罚款,这标志着当前执法的高峰。 # 处罚和制裁 美国没有中央的数据保护机构,因此,监管机构的执法权将取决于有关的具体法规。 有些法律只允许联邦政府执法,有些允许联邦或州政府执法,有些允许受害消费者通过私人诉讼权执法。 制裁是否是民事和/或刑事的,取决于相关法规。 例如,HIPAA执法允许实施民事和刑事处罚。 虽然HIPAA的民事补救措施在联邦一级由HHS执行,在州一级由总检察长执行,但美国司法部(DOJ)负责根据HIPAA进行刑事起诉。 在州一级,CPRA(修订CCPA)创建了加州隐私保护局--美国第一个专门的数据隐私监管机构--以执行CPRA规定的消费者权利和商业义务。 美国法律的域外执行将取决于许多因素,包括该实体是否受美国法院的管辖,对美国商业的影响和对美国居民的影响,以及其他因素。总之一点,只要有最小接触,就受到管辖。 # 趋势及小结 2020年,联邦贸易委员会仍然积极监管数据安全和隐私问题。 在全球新冠大流行的情况下,联邦贸易委员会重点关注确保提供视频会议平台的公司仍然遵守数据安全和隐私义务。 为此,2020年11月,联邦贸易委员会与被指控参与有关用户安全的不公平和欺骗性做法的视频会议公司达成了一项和解。 作为和解协议的一部分,该公司必须对其安全政策进行修改,不断审查其软件更新的安全缺陷,并由联邦贸易委员会批准的独立第三方对其安全计划进行半年一次的评估。 这项和解表明了联邦贸易委员会为改善其数据安全相关命令所做的改变。 他们的做法是:(1)使命令更加具体,(2)加强第三方合规评估人员的责任,以及(3)要求将数据安全问题提升到公司的董事会或其他此类管理机构。 此外,联邦贸易委员会的委员们强调,他们致力于对从事不公平或不合理的隐私和数据安全做法的公司采取执法行动。 然而,在这样做的同时,委员们也认识到了他们权力的潜在局限性,并呼吁国会颁布立法来补充这些权力,或者颁布一项可由联邦贸易委员会执行的国家隐私法。 此外,负责监管美国银行的美国货币监理署(OCC)在2019年发生重大数据泄露事件后,开出了8000万美元的罚单。 一名黑客通过云计算服务器进入银行的计算机系统,暴露了14万个社会安全号码和8万个银行账户号码。OCC确定。该银行在迁移时未能 (1)将其IT业务迁移到云端时没有建立有效的风险管理;(2)银行的内部审计机制没有发现许多控制弱点和漏洞;(3)银行的董事会忽略了对这些数据安全失误的管理责任追究。 OCC认为这种不当行为模式违反了美联储建立信息安全标准的机构间准则。 2020年,各州总检察长在根据具体的州法律提起执法行动方面也发挥了关键作用。 例如,9月,来自42个州和哥伦比亚特区的总检察长解决了对一家健康保险公司的索赔,该公司在2014-2015年发生了重大的数据泄露事件,影响了全美国超过7900万个人。 该保险公司同意支付3950万美元以解决联邦和州的法定和民事索赔。 草率地预计,以下话题在2022年仍将是热点:随着越来越多的州在立法机构中通过法律,州一级的消费者数据隐私法倡议将继续激增,可能会推动联邦一级的行动;围绕生物识别信息的收集和保护问题(特别是与学生消费者隐私有关);当消费者的数据保护权利受到侵犯时,即使没有显示出伤害,也可以获得经济救济和其他补救措施;立法者和监管者都更加关注网络安全问题,特别是在涉及重大技术供应商软件的数据泄露事件之后。
| 
发表于 2024-5-16 06:29:08
