美国消费者数据隐私法律现状及其重要性（2023年）

答案

建议、员工精选、揭秘等等。让我们来帮助你。
插图：Dana Davis

美国消费者数据隐私法律的现状（以及为什么它很重要）

发布于2021年9月6日
随着人们购买的物品越来越多地与互联网连接，Wirecutter上的越来越多评论和推荐都包括详细的隐私和安全功能部分，涵盖了从智能恒温器到健身追踪器等各种产品。由于这些设备收集的数据被出售、共享和黑客攻击，决定你对哪些风险感到舒适是做出明智选择的必要部分。而这些风险因公司收集、存储或共享客户数据的方式没有单一的全面的联邦法律来规范而存在广泛的差异。

支撑常见产品和服务的大部分数据经济对购物者来说是看不见的。随着你的数据在无数第三方之间传播，不仅有更多的公司从你的数据中获利，也有更多的可能性导致你的数据泄露或遭到侵害，从而造成真正的伤害。就在过去的一年里，我们看到一家新闻机构使用了据称来自与约会应用Grindr有关的广告商的匿名应用数据，揭露了一名神父的身份。我们读到美国政府从一款祈祷应用购买了位置数据。研究人员发现阿片类药物成瘾治疗应用在分享敏感数据。而T-Mobile最近遭遇了一次数据泄露，影响了至少4000万人，其中一些人甚至从未拥有过T-Mobile账户。

"我们有这些公司每天每时每刻都在积累关于我们每个人的大量数据，"美国公民自由联盟（ACLU）的首修宪法和消费者隐私高级立法顾问凯特·鲁安（Kate Ruane）说。鲁安还指出数据最终被以出人意料的方式使用，无论是有意还是无意，比如定向广告或根据种族调整利率。"你的数据正在被获取，并且被用于有害的方式。"

消费者数据隐私法可以赋予个人控制自己的数据的权利，但如果实施不当，这些法律也可能维持现状。鲁安继续说道："我们可以阻止这种情况。我们可以创造一个更加注重隐私的更好的互联网和更好的世界。"

当前的国家隐私法（不）做什么

目前，隐私法律是一堆不同部门规则的混乱。科罗拉多法学院Silicon Flatirons Center的执行主任阿米·斯蒂帕诺维奇（Amie Stepanovich）说："从历史上看，美国有一堆零散的联邦[和州]法律，"她说，"要么是针对特定类型的数据，比如信用数据或健康信息，"斯蒂帕诺维奇说，"要么是针对特定人群，比如儿童，并在这些领域进行监管。"

绝大多数人每天使用的产品收集的数据是没有受到监管的。由于没有联邦隐私法规范许多公司，它们基本上可以自由地处理数据，除非某个州有自己的数据隐私法（详见下文）。

• 在大多数州，公司可以使用、共享或出售他们收集到的任何关于你的数据，而无需通知你。
• 没有国家法律规定公司在数据泄露或暴露给未经授权的方时，何时（或是否）必须通知你。
• 如果一家公司与第三方（如数据经纪人）共享你的数据，包括敏感信息如你的健康或位置，那么这些第三方可以进一步出售或共享该数据，而无需通知你。 “大多数人认为他们受到了保护，直到他们没有受到保护，”独立研究员、前联邦贸易委员会首席技术官阿什坎·索尔塔尼（Ashkan Soltani）说道。“可悲的是，由于这个生态系统主要是隐藏且不透明的，消费者无法看到和理解信息的流动。”

欧洲的全面隐私法规《通用数据保护条例》（GDPR）要求公司征求某些权限以共享数据，并赋予个人访问、删除或控制数据使用的权利。相比之下，美国没有一部涵盖所有类型数据隐私的法律。相反，它有一系列法律，以HIPAA、FCRA、FERPA、GLBA、ECPA、COPPA和VPPA等缩写命名，旨在仅针对特定类型的数据以及特殊（通常是过时的）情况。

• 《健康保险可携带性和责任法案》（HIPAA）与隐私关系不大，仅涵盖您与“受覆盖实体”之间的通信，这些实体包括医生、医院、药店、保险公司和其他类似的企业。人们倾向于认为HIPAA涵盖所有健康数据，但事实并非如此。例如，您的Fitbit数据不受保护，该法律也不限制谁可以询问您的COVID-19疫苗接种情况。
• 《公平信用报告法》（FCRA）涵盖您的信用报告中的信息。它限制了谁有权查看信用报告、信用机构可以收集什么信息以及信息的获取方式。
• 《家庭教育权利和隐私法》（FERPA）详细说明了谁可以请求学生教育记录。这包括授予父母、合格学生和其他学校检查学校保存的教育记录的权利。
• 《格兰姆-利奇-布莱利法案》（GLBA）要求消费者金融产品（如贷款服务或投资咨询服务）解释他们如何共享数据，以及客户有权选择退出的权利。该法律并不限制公司如何使用他们收集的数据，只要他们事先披露此类使用。它至少试图对一些个人数据的安全设置限制。
• 《电子通信隐私法》（ECPA）限制政府对电话通话和其他电子信号的窃听（尽管《美国爱国者法案》重新定义了其中大部分内容）。它还制定了有关雇主如何监控员工通信的广泛规定。批评者经常指出，1986年通过的ECPA已经过时。由于ECPA是在现代互联网之前编写的，它不能保护针对存储在服务器、云存储文档和搜索查询中的旧数据的现代监视手段。
• 《儿童在线隐私保护规则》（COPPA）对公司收集13岁以下儿童的数据施加了一定限制。
• 《视频隐私保护法》（VPPA）防止披露VHS租赁记录。虽然这项法律现在听起来可能有些可笑，但它是在一名记者公开披露了最高法院提名人罗伯特·博克的视频租赁历史之后产生的。然而，VPPA并没有针对流媒体公司产生影响。
• 《联邦贸易委员会法案》（FTC法案）赋予联邦贸易委员会追究违反其隐私政策的应用程序或网站的权力。联邦贸易委员会还可以调查与隐私有关的营销语言的违规行为，就像它对Zoom欺骗用户称视频聊天是端到端加密时提出的投诉一样。一些团体最近还呼吁联邦贸易委员会扩大这种权力以应对滥用数据的行为。

由于各种不同的法律范围广泛，很容易理解为什么人们对他们拥有哪些权利感到困惑。此外，除了这些联邦法律外，还有一些州法律存在。 只有三个州有全面的数据隐私法律

图片：IAPP

目前，美国只有三个州拥有三种不同的全面消费者隐私法律：加利福尼亚（CCPA）及其修正案CPRA，弗吉尼亚（VCDPA）和科罗拉多（ColoPA）。无论一家公司位于哪个州，这些法律赋予的权利仅适用于居住在这些州的人们。

这些法律具有类似的规定，通常会给您提供一些通知和选择来控制您的数据。基本上，根据这些法规运营的公司必须告诉您是否在出售您的数据；您还可以选择是否接受这一点，您有权访问、删除、更正或移动您的数据。这些法律在其他方面略有不同，例如允许的纠正期限（公司纠正错误的时间）、适用法律的企业规模或收入水平，以及您是否可以使用工具或“授权代理人”进行选择退出请求（例如在您的网络浏览器中设置自动退出数据销售的选项，或由他人代表您发出选择退出请求的服务）。

我们采访的专家称加利福尼亚的隐私保护是美国最严格的，因为这些法规包括有限的“个人诉讼权”——即对某些类型的数据泄露提起诉讼的能力。加利福尼亚还要求通过设备或浏览器进行“全局选择退出”，而不是被迫在每个网站上单独选择退出。相比之下，我们采访的一些专家对弗吉尼亚的消费者数据保护法持怀疑态度。“我认为VCDPA是一项相当薄弱的法案，”ACLU的Ruane说。“它是基于选择退出同意的。没有任何民权保护。没有个人诉讼权。很多条款都是肯定商业模式的。它实质上允许大型数据收集公司继续他们一直在做的事情。”考虑到弗吉尼亚的法律是在亚马逊的大力参与下起草的，这一点应该并不令人意外。

至少另外四个州，马萨诸塞州、纽约州、北卡罗来纳州和宾夕法尼亚州，目前在委员会中有严格的全面消费者数据隐私提案。其他州的法律处于早期阶段。要追踪所有这些提案的状态可能很困难，但国际隐私专业人员协会有一个追踪器，显示哪些州正在进行隐私立法并且这些法案处于什么阶段。根据The Markup的研究，至少有14个提案与弗吉尼亚的较弱法律相似。

与国家法律一样，还有州级法律涵盖个人数据隐私的各个方面。密苏里州有电子书隐私规定。伊利诺伊州的生物识别信息隐私法（BIPA）赋予人们对其生物识别数据（如指纹或面部扫描）的隐私权。当涉及到数据泄露通知时，很难知道自己的权利，至少有54个不同的法律因地区而异。

Silicon Flatirons Center的Amie Stepanovich指出，即使这些州法律可能令人困惑，但它们仍然有用。“你可以认为它们提高了标准，”她说，并补充说，当法律标准提高时，公司通常选择“对每个人都应用更强、更保护性的标准”。

过多的州法律也存在产生混乱的风险，对公司运营来说，对消费者来说也是如此。 根据隐私专家的说法，以下四个领域应该得到基本保护：

• 数据收集和共享权利：法律应该赋予人们查看各个公司对其收集的数据的权利，要求公司删除其收集的任何数据，并方便地将数据从一个服务转移到另一个服务。这还包括告诉公司不要将您的数据出售（或共享）给第三方的权利。为了了解这种监管在实践中的运作方式，我们研究了加利福尼亚州根据CCPA要求您在与每个网站互动时至少需要点击一个表单（对于一些您甚至可能不知道存在的第三方）的信息请求情况。
• 选择性同意：公司应该必须征得您的同意才能与第三方共享或出售您的数据。您不应该花费数小时来取消您在使用每个服务时的私人数据收集。
• 数据最小化：公司应该只收集提供您正在使用的服务所需的数据。
• 非歧视和无数据使用歧视：公司不应该对行使其隐私权利的人进行歧视；例如，公司不能因为某人保护其隐私而向其收取更高费用，也不能为了获取更多数据而向客户提供折扣。这项监管还应包括有关民权保护的澄清，例如防止广告商对某些特征进行歧视。

梅里尔还希望看到更全面的数据泄露通知法，可能作为一个独立的法案。“我认为这将是一个相当容易通过的事情，”她说。“谁应该被通知？有什么共同的标准？让我们简化流程，使每个人都在同一个页面上。”

没有执行机制，任何规定都没有多大意义。而游说团体则对“私人诉讼权”进行了争议，即让个人对侵犯隐私的公司提起诉讼。加利福尼亚州的法律在与数据泄露有关的疏忽方面有限的私人诉讼权。科罗拉多州和弗吉尼亚州的法律甚至没有这样的规定。包括康涅狄格州、佛罗里达州、俄克拉荷马州和华盛顿州在内的几项法案因包含私人诉讼权而未能成为法律。2021年初，北达科他州的立法者提出了一项包括私人诉讼权和选择性同意的法案，作为回应，一群广告公司声称：“这种方法将创建美国最严格的隐私法。”该法案在州议会未能通过。

电子前沿基金会的立法活动家哈利·塞卡亚马坦率地描述了这种情况。“我们希望在隐私立法中看到充分的私人诉讼权，”她说。“我们只是认为，如果一家公司侵犯了您的隐私，您应该能够起诉他们。”

斯特帕诺维奇说：“从历史上看，边缘化社区无法依靠公共机构来维护自己的权利。”“因此，为黑人社区和其他非白人社区提供私人诉讼权确保了他们能够维护自己的权利或在出现问题时诉诸法庭。” 相反，Soltani认为可以在没有私人诉讼权的情况下找到前进的方法：“我认为执法是一个非常重要的方面。如果有充分的执法——法律保护和监管资源——我认为放弃私人诉讼权并不是一个无法接受的条件。”

这些资源非常重要。“特别是在那些不允许私人诉讼权的州，然后还对公共执法进行资金不足的情况下，这只是雪上加霜，”Tsukayama说。加利福尼亚州专门为此目的创建了一个执法组织，名为加利福尼亚隐私保护局，每年将获得1000万美元的资金。弗吉尼亚州的检察长办公室负责执法，拥有40万美元的资金，并通过罚款和处罚进行补充。

投入执法或要求公司适应新规则也需要人们来完成工作，而这些人并不总是随时可得。Merrill指出：“我对州法律的担忧之一是，要学习的东西越来越多，而且我担心隐私社区会因为不可能跟上而出现倦怠感，而且风险非常高。”

代表包括亚马逊、Facebook和谷歌在内的几家大型科技公司的行业组织Internet Association向我们指出了一封致新泽西州立法机构的信和证词，信和证词着重讨论了两个问题：同意和私人诉讼权。该协会正在推动维持当前的选择退出同意模式，即消费者必须费力获取法律中规定的隐私保护。该协会还附上了一份来自美国商会附属机构法律改革研究所的文件，该机构主张商业友好的法律改革，声称私人诉讼将阻碍创新，成本过高，并导致判决不一致。

更强的隐私法将如何改变你的日常体验

如果你曾经点击过那些烦人的“cookie”通知，或者被迫在使用软件之前滚动到隐私政策的末尾，你就会对这些法律如何对你的日常体验产生不利影响有所了解。

事实并非如此。Stepanovich表示，如果一项隐私法律写得好，大多数人的生活不应该发生变化。“隐私并不是不使用技术，而是能够参与社会并知道你的数据不会被滥用，或者你不会因此而受到伤害，”她说。如果做得正确，类似于剑桥分析或Grindr周围的丑闻所带来的后果可以被最小化。你会看到更少的个性化广告，更多的是情境广告，这些广告可以说是不那么令人不安（需要订阅才能阅读文章）。

一项写得好的数据隐私法将使您更容易购买您感兴趣的许多产品，而无需担心隐私问题。也许Wirecutter的评论和指南不需要深入比较评估跑步手表、智能秤或扫地机器人的隐私政策，因为它们都将有一个隐私基线，以及明确、易于理解的数据共享选择规则。如果一家公司搞砸了并滥用了这些隐私权利，该公司将被追究责任。

当前选择退出系统的一个问题是通知疲劳。当每个应用和网站都要求您授予数十个权限时，接受现状比手动选择退出每个跟踪技术更容易。 2015年《科学》杂志的一篇评论文章（PDF）强调了大多数人在处理隐私风险时的表现有多糟糕，而2019年的一篇论文将大家习以为常的“通知和选择”同意描述为“一种承诺透明和自主权但实际上并未兑现的隐私监管方法”。

我们采访的所有专家都更喜欢选择性同意模式和“默认隐私”概念。这样的安排将使账户在最初时是私密的，应用程序将不具备任何权限。选择是否使用这些设置将取决于您。除了有权起诉公司之外，选择性同意被证明是最难纳入隐私法律的事情之一。在此之外，专家们正在推动使用浏览器扩展程序或其他自动选择退出工具的能力。

FTC的前首席技术官阿什坎·索尔塔尼提出了一种技术解决方案——全球隐私控制（GPC），它提供了一种在浏览器或设备级别上选择退出数据销售的方法，这比在每个网站或每个服务上选择退出要好。GPC目前已包含在少数浏览器中，并得到了多家出版物的认可，包括《纽约时报》。加利福尼亚州将在2023年实施其“全球选择退出”规则后，更明确要求企业遵守GPC。

这些类型的法律的影响甚至可能扭转许多人对“隐私已死”的绝望感，正如阿米·斯特潘诺维奇所指出的：“您希望那种绝望感消失，让人们知道：在您进行这项活动时，您是受到保护的。”

提倡、提议和有时通过的基本隐私法律不能解决一切问题。考虑到现在存在的数据经济的复杂性，还有很多其他可以和应该做的事情。即使是最新的法律也排除了各种其他数据问题，例如算法透明度或政府使用面部识别。有几个国家的隐私法正在不同阶段的立法过程中，但没有一个有严肃的通过机会。

但新的法律至少可以鼓励更少侵犯隐私的产品和服务，并且可以提供对最有害的数据挖掘进行基本保护（和执行），同时为将来更多的隐私保护奠定基础。最好的情况是，数据隐私法可以使您能够购买具有有趣新功能的最新小工具，而无需担心公司正在收集比您意识到的更多的数据，并将其出售给您从未听说过的公司，以供广告商向您进行营销。

来源

1. 惠特尼·梅里尔（Whitney Merrill），隐私律师和数据保护官，电话采访，2021年7月26日

2. 阿什坎·索尔塔尼（Ashkan Soltani），独立研究员，前联邦贸易委员会首席技术官，电话采访，2021年7月21日

3. 凯特·鲁安（Kate Ruane），美国公民自由联盟一级修宪和消费者隐私高级立法顾问，电话采访，2021年7月21日

4. 阿米·斯特潘诺维奇（Amie Stepanovich），科罗拉多法律学院硅石平原中心执行主任，电话采访，2021年7月15日

5. 海莉·茨卡亚玛（Hayley Tsukayama），电子前沿基金会立法活动家，电话采访，2021年7月14日

上述提及 {#linked-heading}

• 像我们的选择，Ecobee智能恒温器高级版，可以自动调节您家的供暖和制冷系统，以实现最大的舒适和效率。
  最佳智能恒温器
• 在对45个健身追踪器进行了移动和静止测试后，我们喜欢可靠且易于使用的Fitbit Inspire 3。
  最佳健身追踪器
• [在佩戴了18款手表行驶超过500英里后，我们得出结论，Coros Pace 2和Garmin Forerunner 255最适合大多数跑步者。 最佳GPS跑步手表（69美元）
• 应用程序的可靠性可以决定智能秤的使用体验。我们发现Wyze Scale X及其应用程序是自动跟踪体重的好工具（70美元）。
• 机器人吸尘器可以轻松地保持您的家庭清洁，无论是垃圾、宠物毛发还是灰尘（有些甚至可以自动清空）。以下是我们推荐的六款产品（71美元）。