2025年美國隱私保護立法的三個趨勢
責編:gltian |2025-01-09 16:04:12隨著數據經濟的不斷發展,個人數據的收集、處理和共享已成為全球隱私保護的核心議題。然而,美國在隱私保護方面長期缺乏一套全面的國家級法律框架,導致各州隱私立法呈現高度分散化的狀態。自2018年《加州消費者隱私法案》(California Consumer Privacy Act, CCPA)頒布以來,州級隱私立法活動持續上升,而這種趨勢預計將在2025年繼續。
趨勢一:實質性的數據最小化
數據最小化原則一直是隱私立法的重要內容,大多數州的隱私法通過禁止超出合理必要范圍的數據處理來貫徹這一原則。然而,這種“程序性數據最小化”(procedural data minimization)通常依賴于企業在隱私政策中的披露,而消費者權益倡導者長期以來批評這種做法僅停留在形式上,難以有效保護消費者隱私。
2023年通過的《馬里蘭州在線數據隱私法案》(Maryland Online Data Privacy Act)首次引入“實質性數據最小化”(substantive data minimization)的概念,直接對數據的收集和使用進行嚴格限制,要求僅在提供消費者所需的特定服務或產品時才可使用相關數據。這一立法突破被視為對傳統“通知與同意”(notice and consent)模式的重大改革。
雖然目前只有馬里蘭州采用了“實質性數據最小化”標準,但類似提案已在佛蒙特州和緬因州提出。與此同時,其他州的行業立法也反映出類似趨勢,例如《華盛頓州我的健康我的數據法案》(Washington State My Health My Data Act)、《紐約兒童數據保護法案》(New York Child Data Protection Act)和《弗吉尼亞兒童數據隱私修正案》(Virginia Child Data Privacy Amendment)。盡管如此,這些法律在具體條款上存在不少差異。
趨勢二:對數據經紀人的監管
數據經紀人是美國數據交易市場的關鍵參與方。過去一年里,多家知名媒體發布了關于第三方收集和出售敏感數據(包括健康和位置信息)的調查文章并引起關注。
2024年,美國州一級沒有通過針對數據經紀人的新的隱私立法提案,但數據代理注冊法現已在加利福尼亞州、德克薩斯州、俄勒岡州和佛蒙特州生效,并且越來越多地得到執行。加州還因其努力建立“一站式”可訪問刪除機制而引起關注,該機制旨在允許個人在整個數據代理生態系統中請求刪除其個人信息。
在聯邦層面卻是另外一番景象。美國聯邦貿易委員會(FTC)先后對Kochava提起訴訟、與Gravy Analytics及Mobilewalla達成和解。特別值得關注的是,美國司法部趕在2024年結束之前發布了“應對外國對手獲取美國公民敏感個人數據”的最終規則(Provisions Pertaining to Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons – Final Rules),限制美國人的敏感個人數據(6個子類)和美國政府相關數據這兩大類型數據的交易。
趨勢三:AI治理中的隱私保護
隱私保護是AI治理中的關鍵議題。目前的隱私保護法也同樣適用于收集、處理和輸出個人信息的AI系統,特別是,現有法律下的透明度、安全性、風險評估等要求可能對AI系統的開發和應用產生不小的影響。
美國聯邦層面的AI立法還未現端倪。2023年10月23日,拜登總統簽署的《關于安全、可靠、可信地開發和使用人工智能的行政命令》發布,近一年之后的2024年7月26日,白宮發布了《事實清單:拜登-哈里斯政府宣布新的AI行動并獲得額外的重大自愿承諾》,對基于該行政命令的系列成果進行了總結,內容涉及訓練數據、性能表現、安全風險、全球標準、知識產權等主題,幾乎涵蓋了AI治理的各重要方面。
在各州層面,加州議會于2024年8月28日通過了《前沿人工智能模型安全創新法案》(“SB 1047法案”),但引發了硅谷人士的強烈反對,認為該法案會對美國人工智能的發展和國家安全產生負面影響。2024年11月,加州州長最終否決了該法案。
2024年年末,美國德克薩斯州發布了《負責任的 AI 治理法案》(Texas Responsible AI Governance Act) 草案,該法案借鑒了歐盟《人工智能法案》的基于風險的方法,尋求全面廣泛地解決AI的安全性、透明度和公平性問題。該法案將有可能在2025年正式完成立法,如獲通過并生效,德克薩斯州的《數據隱私和安全法案》也將需要修改,以納入針對 AI 的條款。
參考資料:
https://fpf.org/blog/five-big-questions-and-zero-predictions-for-the-u-s-state-privacy-landscape-in-2025/