本月,美国统一法律委员会(ULC)投票通过了《统一个人数据保护法》(UPDPA),这是一项旨在统一州隐私立法的示范法案。经过最终修订后,该法案预计将在2022年1月被州立法机构引入。
自2019年以来,ULC致力于起草州隐私法范本。ULC最初成立于1892年,其使命是“为各州提供无党派立场、精心构思和起草的立法,提高州成文法的清晰度和稳定性。”随着时间的推移,它的许多立法工作都非常有影响力并在美国成为法律——例如,ULC于1952年起草了《统一商法典》。最近,ULC起草的《数字资产统一信托访问法》(2014-15)已在至少46个州采用。
UPDPA在形式和实质上与美国乃至国际上现有的隐私和数据保护法不同。该法律将为个人提供更少、更有限的访问或以其他方式控制数据的权利,并对假名数据提供了广泛的豁免。此外,UPDPA缩小了适用范围。UPDPA仅适用于“记录系统”中“持有”的个人数据,该数据用于检索有关个人数据主体的记录,以进行个性化沟通或决策实践。UPDPA后期草案的序言指出,它试图避免“与加利福尼亚和弗吉尼亚制度相关的合规和监管成本”。
该示范法的核心内容是对“兼容”、“不兼容”和“禁止”的数据实践作出了实用区分,它超越了基于数据实践有利于/不利于数据主体的可能性的纯粹同意模型。我们还发现,示范法对自愿共识标准的实践提供了一种独特的实施方法,该方法是针对特定背景和部门的。总的来说,我们认为ULC示范法案为隐私监管提供了一个有趣的替代方案。但是,由于它与现有框架明显不同,因此,那些考虑与加利福尼亚州、弗吉尼亚州和科罗拉多州最近通过的法律的互操作性的州可能会较晚采用该示范法。
以下是该示范法的主要内容,包括:
一、适用范围
二、持有的个人数据
三、访问权和更正权
四、假名数据
五、兼容、不兼容和禁止的数据实践
六、收集控制者、第三方控制者和实践者的责任
七、自愿共识标准
八、执行和规则制定
一、适用范围
UPDPA适用于在该州“开展业务”、“生产产品或提供针对居民的服务”的控制者和实践者。政府实体被排除在该法案的适用范围之外。适用UPDPA,企业必须满足以下条件之一:
1.在一个年内持有超过[50,000]个数据主体的个人数据,数据主体为该州的居民,不包括仅用于完成支付交易的个人数据;
2.在一年中,控制者或实践者通过持有数据主体的个人数据获得其年总收入的[50]%以上;
3.是承担控制者职能的实践者,且该实践者知道或有理由知道满足第1或2条的要求;
4.持有个人数据,除非其持有的对象是兼容数据。
条件4的作用是使UPDPA适用于持有个人数据的小公司,但只要他们将个人数据用于“兼容”目的,就可以免除他们的合规义务。
二、持有的个人数据
UPDPA适用于“个人数据”,其中包括(1)通过直接标识符识别或描述数据主体的记录,或(2)假名数据。该术语不包括“去识别化数据”。UPDPA也不适用于在就业或就业申请过程中处理或存储的信息,以及“公开信息”,即政府记录中合法提供的信息,或通过“广泛传播的媒体”向公众提供的信息。
1.“直接标识符”被定义为“通常用于识别数据主体的信息,包括姓名、住址、电子邮件、可识别的照片、电话号码和社会安全号码。”
2.“去标识化数据”被定义为“已删除所有直接标识符的个人数据,且无法被未经允许或者不具备特殊访问权限的人链接并识别特定数据主体。”
缩小适用范围。UPDPA仅适用于“记录系统”中“持有”的个人数据,该数据用于检索有关数据主体的记录,以进行个性化沟通或决策实践。委员会评论说,“持有”的定义对于理解UPDPA的范围至关重要。如果企业收集的个人数据未用于进行个性化评估、决策或沟通的目的和功能,则它不属于该示范法的范围(例如,如果它以电子邮件或个人照片的形式保存)。根据委员会的说法,“持有”的定义以联邦隐私法对“持有”和“记录系统”的定义为蓝本。
1.就个人数据而言,“持有”是指“保留、维持、保存或存储个人数据于记录系统,用于检索有关个人数据主体的记录,以实现个性化沟通或决策实践。”
2.“记录”被定义为:(A)刻在有形媒介上的信息;(B)存储在电子或其他媒体中,并且能以可感知的形式进行检索。
三、访问权和更正权
访问权和更正权:UPDPA授予数据主体访问和更正个人数据的权利,但不包括匿名化数据和与敏感数据一起存储的个人数据(如下所述)。控制者只需要回应经过身份验证的数据主体的请求。“数据主体”被定义为通过个人数据识别或描述的个人。根据委员会的说法,访问权和更正权不仅适用于数据主体提供的个人信息,还适用于控制者从其他来源(例如公共来源)和其他公司收集的混合个人数据。
消灭歧视:UPDPA禁止控制者拒绝提供商品或服务、向数据主体收取不同的费率或提供不同级别的质量。但是,如果数据主体要求的更正信息不符合服务条款的规定,则控制者可以认定该数据主体不具备参与服务的资格。
无删除权:值得注意的是,UPDPA并未授予个人删除其个人数据的权利。ULC委员会列举了几种原因,包括:(1)控制者保留个人数据具有广泛地合法利益;(2)鉴于数据当前的存储和实践方式,无法确保数据得到删除;(3)与美国宪法第一修正案的兼容(言论自由)。委员会还表示,UPDPA应当对兼容数据实践和经过同意的非兼容数据实践的限制提供足够的保护。
四、假名数据
“假名数据”被定义为“没有直接标识符的个人数据,可以合理地与数据主体身份相联系;或没有直接标识符,为与数据主体进行个性化交流而持有的数据。如果记录包含互联网协议地址、浏览器、软件或硬件识别代码、持久唯一代码或与特定设备相关的其他数据,则该术语包括没有直接标识符的记录。”
与可识别的个人数据相比,假名数据受到的限制更少。通常,UPDPA中规定的消费者权利(访问和更正)不适用于假名数据。然而,这些权利可适用于“敏感”假名数据,只要它可检索并以进行个性化沟通为目的。
“敏感数据”是包含以下内容的个人数据:(A)种族或民族血统、宗教信仰、性别、性取向、公民身份或移民身份;(B)足以远程访问帐户的凭据;(C)信用卡或借记卡号码或金融帐号;(D)社会安全号码、税务识别号码、驾驶执照号码、军人识别号码或政府颁发的身份证件上的识别号码;(E)实时地理定位;(F)犯罪记录;(G)收入;(H)疾病或健康状况的诊断或治疗;(i)基因测序信息;(J)控制者知道或有理由知道的未满13岁的数据主体的信息。
在实践中,ULC委员会表示,如果收集控制者存储用户凭据和客户资料后,将其数据隔离到关键代码和假名数据库中,使数据存储字段的标识符被独特代码替代,则可以避免访问和更正义务。单独的密钥将允许控制者在必要或与客户交互时重新识别用户的数据。同样,当收集控制者为自己的研究用途创建数据集(无需以再识别方式对其进行存储),即使假名数据包含敏感信息,也不必提供访问或更正权。此外,收集信用卡数据并将其传输给信用卡发卡机构以促进一次性信用卡交易的零售商不得存储这种敏感的假名数据。
五、兼容、不兼容和禁止的数据实践
UPDPA区分“兼容”、“不兼容”和“禁止”的数据实践。控制者和实践者可以在未经数据主体同意的情况下进行兼容的数据实践。若控制者和实践者对非敏感数据进行不兼容的数据实践,则需要对数据主体做出提示并赋予其撤回同意的权利(选择退出的权利)。而对“敏感”个人数据进行不兼容的数据实践,则需要数据主体“选择同意”。控制者不得从事被禁止的数据实践。
UPDPA对“兼容”、“不兼容”和“禁止”的数据实践作出区分是基于数据实践有利于/不利于数据主体的可能性:
兼容的数据实践:如果实践“符合数据主体的普通期望或可能使数据主体受益”,则控制者或实践者可进行兼容的数据实践。
1.本身兼容的实践:UPDPA列出了一份包含9种本身兼容的数据实践的清单,例如数据主体作为参与者的交易的生效、履行法律义务、“合理必要地”研究和处理假名数据或去标识化数据。
2.因素:因兼容数据实践的列表并不详尽,UPDPA还提供了6个确定实践活动是否是兼容数据实践的因素,例如数据主体与控制者的关系、处理的个人数据的类型和性质、使用或披露数据主体的个人数据的负面风险。这一包罗万象的条款旨在允许控制者和实践者创建具有创意的和非常规的数据实践方式,只要确保数据主体从实践中实质受益即可。
3.定向广告:该法案规定,控制者可以使用个人数据,或向第三方控制者披露假名数据,“以向数据主体提供有针对性的广告和其他纯粹的表达性内容。”该法案区分了“纯粹表达性内容”和“差别待遇”,后者不构成兼容的数据实践(因为它是意料之外的,并且对数据主体没有实质性的好处)。
不兼容的数据实践:如果符合下述条件,控制者或实践者进行的是不兼容的数据实践:
(1)不是兼容的数据实践,也不是禁止的数据实践;
(2)在其他方面是兼容的数据实践,但与控制者或实践者的隐私政策不一致。