专栏名称: 数据保护官

DPOHUB数据保护官俱乐部的官微：一个聚焦数据隐私和数据安全的非营利性高端学术平台；一个整合法律、技术及管理的专业数据合规生态体；一个制造干货、相互赋能及塑造职业品牌的数据合规共同体。合作WX：heguilvshi

美国数据隐私法进入‘全面禁止’时代？！

数据保护官 · 公众号 · · 2024-09-14 12:26

正文

扫码立即加入学习！

来源：IAPP

作者：Cobun Zweifel-Keegan

整理：何渊

今年春天，美国马里兰州通过了一项全面的消费者隐私法，其中包含了一项前所未有的对某些数据处理活动的禁令，这在任何立法中都是少见的。

乍一看，这项禁令严格而简单：控制者“不得出售敏感数据。” 完全禁止，没有法律依据，也没有例外——甚至没有个人同意的例外——这在马里兰州《在线数据隐私法》第14-4607条中明确规定。

敏感数据的定义进一步澄清了该禁令覆盖的内容，包括基因数据和生物识别数据、控制者“知道或有理由知道”是13岁以下儿童的消费者的个人数据、精确到1750英尺的地理定位数据，以及揭示种族或民族、宗教信仰、消费者健康数据（用于识别消费者的“身体或心理健康状况”的任何信息，包括与性别确认治疗或生殖或性健康护理相关的数据）、性生活、性取向、跨性别或非二元身份、国籍、公民身份或移民身份的数据。

此外，该法律对未成年人的个人数据销售也实施了全面禁令，使用了与儿童相同的扩大知识标准：“如果控制者知道或应当知道”消费者未满18岁。

“禁令”时代到来了吗？

多年来，隐私学者和倡导者质疑通知和选择机制的有效性。这种机制是隐私法的主流结构，将个人控制置于个人数据治理的核心。

尽管个人自主权和控制仍然是数据隐私的核心原则，且这些目标的重要性未减，但许多人认为，过度依赖这些原则会导致隐私失败。消费者在面对大量选择时会产生“同意疲劳”。此外，企业与消费者之间的权力不平衡也使得企业容易引导消费者做出对自己不利的选择。

因此，倡导者们开始推动另一个核心隐私原则的崛起：数据最小化。正如民主与技术中心隐私与数据项目的联合主任Eric Null所言，强有力的数据最小化要求可以确保“公司仅收集提供个人所要求的产品或服务所需的数据。最严格的定义将禁止收集超出绝对必要的数据。更适当的定义允许为了其他特定、可接受的目的收集数据，包括验证用户、预防垃圾信息、进行系统维护或遵守其他法律义务。”

值得注意的是，正如未来隐私论坛政策顾问Jordan Francis所探讨的那样，马里兰州等州的隐私法案中强有力的数据最小化标准正在兴起，这也成为了像《美国隐私权法案》这样的联邦提案的基础要求。

然而，其他学者和倡导者在某些情况下推崇更为严格的替代方案：彻底禁止有风险的技术或处理活动。相比之下，数据最小化可能会被批评为建立了可争辩的法律门槛，而禁令则具有简单明了的优点。

这就好比“不停车”标志与复杂的时段限制停车标志之间的区别。尽管如此，我还没见过哪个停车标志要求完成影响评估。

在面部识别技术的背景下，教授Woodrow Hartzog和Evan Selinger就是“禁令”方法的杰出倡导者，特别是针对面部识别技术。他们在研究中指出，面部识别技术本质上是危险和侵入性的，给隐私和公民自由带来了重大风险。他们强调，这项技术滥用的潜力超过了其可能带来的任何好处。

Hartzog和Selinger的论点基于一种信念，即某些技术过于有害，无法通过有效监管来控制，应该被完全禁止。

尽管我们尚未看到面部识别技术的此类禁令，但或许数据处理禁令的理念正逐渐被州立法者接受。

但是，漏洞在哪里？

如往常一样，细节是关键。虽然马里兰州的禁令表面上看起来非常严格，但法律对“个人数据销售”的定义包含了一些例外，削弱了这一全面禁令，尤其是在涉及消费者选择的语言中。尽管“销售”包括任何以金钱或其他有价值的对价向第三方交换个人数据的行为，但不包括“消费者指示控制者披露个人数据或消费者故意利用控制者与第三方互动时的披露”。

很难确定消费者指示的要求是否比马里兰州法律中规定的强同意要求更严格或更宽松。作为马里兰州的消费者，我在共享敏感数据时，是否默示指示其披露？还是必须通过“明确的积极行为”来指示，正如法律对“同意”的定义所要求的那样？

此外，和所有州隐私法一样，马里兰州的法律也排除了受现行联邦法律覆盖的数据和实体，如《公平信用报告法》下的消费者报告机构活动、《家庭教育权利和隐私法》、HIPAA、《格雷姆-里奇-布莱利法》以及其他相关法律。

保险公司也在马里兰州法律下享有广泛的豁免。保险公司及其关联公司在为保险目的收集数据时被豁免，尽管可能仍需遵守其他行业特定的要求。

马里兰州仍是高水准

即使我们在马里兰州的消费者隐私法中的禁令旁加上一两个星号，它仍然包含了其他值得注意——虽然不是完全独特——的禁止条款。

首先，马里兰州禁止公司“知道或应该知道”消费者未满18岁时，将个人数据用于定向广告的目的。全面禁止定向广告，再加上扩展的知识标准，将在实施和执行方面带来许多悬而未决的问题。

马里兰州还采用了禁止某些目的的地理围栏技术的趋势，这一趋势最早见于华盛顿州的《我的健康我的数据法案》，并在其他几个州得到复制。控制者不得使用地理围栏在任何精神健康设施或生殖或性健康设施周围1750英尺范围内建立虚拟边界，以识别、追踪、收集消费者的健康数据，或向消费者发送任何与其健康数据相关的通知。

正如我在马里兰州法律签署前所写的那样，该法案的创新性条款将迫使隐私专业人士重新审视他们的假设。2024年带来了美国隐私法案的真正拼图，正如Husch Blackwell合伙人David Stauss和未来隐私论坛美国立法团队高级总监Keir Lamont进一步解释的那样。

马里兰州的法律将于2025年10月1日生效，但数据处理活动的执行要等到2026年4月1日之后才开始。

未来18个月里， 是否会出现更多的禁令和数据最小化要求？种种迹象表明答案是肯定的。

个人信息保护合规审计先行计划

DPOHUB数隐咨询 深耕个保合规审计，具有丰富的实践经验

美国数据隐私法进入‘全面禁止’时代？！

正文

请到「今天看啥」查看全文