近日，美国众议院能源和商业委员会主席Cathy McMorris Rodgers和参议院商业、科学和运输委员会主席Maria Cantwell达成了一项协议——《美国隐私权法（草案）》（The American Privacy Rights Act，尚未完全成法，以下简称 APRA）可以首次授予所有美国人数字隐私的基本权利，并制定一项国家法律，规范公司如何收集、共享和使用美国人的在线数据。如果成功，该提案可以建立媲美欧盟具有里程碑意义的隐私法——《通用数据保护条例》（GDPR）。

即将推出的新法案

根据法案草案，APRA将在美国创建一个新的以数据隐私为重点的统一法案。其声称将允许美国人选择退出定向广告，并最小化公司持有的个人数据。他们可以要求公司提供他们的数据访问权限，进行更正或删除，并要求提供一个可下载的数据版本，以便他们可以将其转移到竞争对手的服务提供商。公司无法在未经主体明确同意的情况下传递敏感个人数据，并且被禁止在用户选择隐私偏好的页面上使用“暗模式”来潜移默化地转移他们行使新权利的注意力。

消费者将获得选择退出公司在就业、住房和教育等关键领域对他们进行算法决策的权利。公司将不得不遵守更强大的数据安全标准，以保护人们的数据——尽管执行人负有最终责任，但值得注意的是，收入低于4000万美元且不收集大量数据的小企业将不受该法案条款的约束。该法律将通过美国联邦贸易委员会（FTC）执行，并允许受害者提起私人诉讼。

当然，这其中的许多权利已经对美国人开放，但仅限于某些州。缺乏全面的联邦数据隐私法导致州法律日益混乱的拼凑。例如，加利福尼亚州、科罗拉多州、康涅狄格州、犹他州和弗吉尼亚州都允许人们选择退出定向广告，但只有加利福尼亚州有要求退出广告的明确说法，并要求退出链接出现在服务的主页上。这仅仅是已经实施此类法律的州——在未来两年内，特拉华州、印第安纳州、爱荷华州、蒙大拿州、新罕布什尔州、新泽西州、俄勒冈州、田纳西州和德克萨斯州都将看到其自身对全面隐私法的解读生效。

除了在包括民权、消费者保护和合同在内的特定法律领域，APRA将通过预先排除所有州的隐私法来几乎完全统一这一领域。这对科技公司来说是一件大事，因为这意味着可预测性（GDPR在大约六年前生效时也为欧盟提供了同样的好处）。

然而，这对APRA在国会的前景来说也是一件大事。上一次这种类型的重大推动是2022年的《美国数据隐私和保护法案》（ADPPA），这也是Rodgers的作品，但因为Cantwell认为它没有预先排除州法律，并且将给予美国人比加利福尼亚人更弱的保护，所以没了下文。因此新提案的支持者承诺它将比任何州法律都“更强”。

Rodgers和Cantwell表示：“这项两党两院制立法草案是我们几十年来建立国家数据隐私和安全标准的最佳机会，该标准赋予人们控制其个人信息的权利……这项具有里程碑意义的立法代表了众议院和参议院多年来真诚努力的总和。它在对通过国会推进全面数据隐私立法至关重要的问题上取得了有意义的平衡。美国人应该有权控制他们的数据，我们希望我们众议院和参议院的同事能加入我们，让这项立法签署成为法律。”

“这项具有里程碑意义的立法赋予美国人控制其信息去向和谁可以出售的权利，它通过禁止他们在人们不知情和同意的情况下跟踪、预测和操纵人们的盈利行为来控制大型科技公司，美国人非常想要这些权利。”Rodgers说，“我感谢我的同事Cantwell以两党的方式与我合作制定这项重要立法，并期待本月通过关于能源和商业的常规命令来推动该法案。”

Cantwell认为：“联邦数据隐私法必须做两件事：它必须使隐私成为消费者的权利，并且必须赋予消费者执行该权利的能力。”“与众议员McMorris Rodgers合作，我们的法案就是这样做的。这项两党协议是美国人在信息时代应得的保护。”

逐渐看齐欧盟

美国传统上对收集和使用个人数据的公司采取一种不干涉的态度，将个人数据用于商业目的超过了数据隐私的重要性。哈佛大学肯尼迪学院讲师、密码和隐私安全专家布鲁斯·施奈尔（Bruce Schneier）对数据隐私法案的通过表示欢迎，但同时认为这种全面的立法“不太可能”最终成法。“在美国，我们不会通过亿万富翁不喜欢的法律。”报道称，施奈尔提到了脸书、谷歌和收购了社交媒体平台X（原推特）的亿万富翁埃隆·马斯克，这些公司都依赖数据收集作为其商业模式的一部分。

近年来，随着数据泄露继续造成严重破坏，人们的心态有所转变，倾向于更好地保护个人，但潜在的文化差异将需要更多的时间来消除，并使美国与欧盟的心态和法律更加一致。

2018 年 5 月出台的GDPR为欧盟成员国的个人隐私保护设置了高门槛。GDPR作为一部全面的数据隐私法，适用于在欧盟成员国收集、存储或持有属于欧盟居民的个人数据的组织。欧盟委员会将个人数据定义为与已识别或可识别的自然人（数据主体）相关的数据处理中涉及的任何信息。在欧盟国家运营的组织，向欧盟公民销售商品或服务的组织，或监控数据主体行为的组织，都必须遵守GDPR。

而美国立法与欧盟最显著的区别在于缺乏一部适用于所有类型数据和所有美国公司的全面的数据隐私法。相反，美国法律采取了更分散的方法，对不同部门和不同类型的数据制定了各种法规。

诸如美国《健康保险携带和责任法案》（HIPAA），这项联邦法律通过规定医疗服务提供者必须如何保护这些数据免遭欺诈和盗窃来保护敏感的患者医疗信息。该法律还对组织如何使用或披露受保护的健康信息做出了限制。《格拉姆-莱奇-比利雷法》（GLBA）则适用于金融机构，并规定了保护消费者非公开个人信息的保密性和安全性的责任和标准。美国联邦贸易委员会宣布2022年GLBA保障规则的重要变化，详细说明了金融机构需要采取更多规范性的数据安全措施来保护客户数据。再比如《联邦信息安全管理法》（FISMA），这是联邦法律要求联邦机构制定、记录和实施的一个提供信息安全的机构范围的计划，以确保联邦IT系统能够更好地准备和应对当今威胁联邦信息和信息系统的未经授权的访问，使用和披露的网络挑战。

当今的企业必须应对复杂的数据经济，越来越多的法规要求企业在收集、存储和处理个人数据时非常谨慎。与欧洲相比，美国数据隐私法的范围和力度存在明显差距，但随着美国现行法律的修订和新法律的生效，形势继续发生转变。

科技媒体The Verge称，与TikTok法案不同，数据隐私法案未点名具体的公司，但对“数据经纪人”（即买卖个人信息的第三方实体）通过出售、出租、转让等形式向所谓“外国对手”提供美国公民“个人敏感数据”的能力施加了广泛的限制，并赋予FTC执行该立法的权力。

结语

实际上，皮尤研究中心的民调一贯显示，绝大多数美国成年人希望对消费者数据进行更多监管，无论是民主党人还是共和党人。大型科技公司也一直渴望建立一个适当的联邦隐私法律。过去几年，Meta的马克·扎克伯格、微软的萨提亚·纳德拉和苹果的蒂姆·库克都呼吁制定某种形式的“美国GDPR”。微软的隐私主管朱莉·布里尔对APRA提案提供了该行业的第一个反应。“美国早就应该学习世界其他国家，建立全面的隐私立法。”布里尔（前FTC专员）在X上发帖说，并为Cantwell和Rodgers点赞。

即便每个人都希望有一个可预测的、协调一致的监管环境，不过，并不是每个人都希望美国消费者获得全面的欧盟级隐私权利，限制公司如何处理他们持有的个人数据，特别是随着人工智能的爆发，使这些资源比以往任何时候都更有价值。