时间:2022-11-10 17:48:05来源:法律常识
据美国康涅狄格州议会官网消息,近日,在获得康涅狄格州立法机构表决通过十几天后,《康涅狄格州消费者隐私法》(下称《隐私法》)经州长签署后正式通过,将于明年7月1日起生效。
议会官网
在《隐私法》中,“生物特征数据”被定义为通过自动测量个人的生物特征而产生的数据,如指纹、声纹、视网膜、虹膜或其他用于识别特定个体的独特生物特征。然而,数字或实物照片、音频或视频以及由其产生的任何数据不被包括在内——除非这些数据是为识别特定个人而生成。
有专家告诉南都记者,该规定较为特殊,其限缩了生物识别数据的范围,对于具有一定公开属性的生物特征进行了排除,是严格遵循个人数据可识别性特征的一种体现。这种定义方法有利于人工智能发展,实现消费者权益和产业发展的平衡。
1
以华盛顿隐私法为原型,拉平各州隐私保护水平
继加利福尼亚州、弗吉尼亚州、科罗拉多州和犹他州出台隐私法后,康涅狄格州(下称“康州”)成为第五个出台隐私法的大州。
外国媒体在评价《隐私法》时指出,其与《科罗拉多州隐私法》《弗吉尼亚州消费者数据保护法》和《犹他州消费者隐私法》一样,都是基于尚未通过的《华盛顿隐私法》而制定。
关注国际合规领域的知乎法律答主“合规Geeks”对此持类似看法。在他看来,这有利于进一步构建美国分散式的州法体系以弥补联邦法的缺失。“虽然每部法律的监管细节有所不同,但是在宏观层面并没有突出提高目前州法体系下的隐私保护标准。”
在北京师范大学互联网发展研究院院长助理、中国互联网协会研究中心副主任吴沈括看来,各州隐私立法“各有千秋”,康州《隐私法》的出台有利于在目前的条件下拉平各州隐私保护的“水平线”。不过,康州《隐私法》更注重保护消费者权益,强化了各类隐私场景中消费者的知情权、选择权和干预权。
美国胡施布·莱克威尔(Husch Blackwell)律师事务所隐私和网络安全实践部门负责人大卫·史陶斯(David Stauss)公开撰文表示,各州以《华盛顿隐私法》为原型制定相关法律有利于提高其互通性,这一通用立法模式的出现降低了通过联邦层面隐私法的紧迫性。不过,各州内容也存在明显差异——犹他州法律倾向于保护企业,康州和科罗拉多州则明显倾向于保护消费者。
2
不再默认用户同意开启个性化广告
首先,在适用范围方面,《隐私法》规定,满足以下几个条件的主体将受其规制:一是在康州经营业务或向康州居民生产、出售产品或服务的,二是控制或处理不少于10万名消费者个人数据的,但不包括仅为完成支付交易而控制或处理的个人数据;以及控制或处理不少于25000名消费者的个人数据,并且出售个人数据所得收入占其总收入25%以上的。
跨国律师事务所吉布森·邓恩(Gibson Dunn)的一位律师对此评价道,《隐私法》是首个将支付交易数据排除在适用范围外的州法律。这种做法有利于减轻餐厅、小型便利店以及相关企业的负担——因为这些企业处理大量用户个人数据的唯一目的就是完成交易。
值得注意的是,《隐私法》还要求,个人数据处理者需为用户提供撤回同意的有效机制,并且该机制在运作时应与其为用户提供的同意机制一样快捷便利。此外,在用户申请撤回同意后,数据处理者需在收到请求之日起15天内尽快停止处理相关数据。据了解,科罗拉多州和弗吉尼亚州的隐私法中也有相关内容。
“相较其他地区的立法,包括我国的立法,康州在这方面的规定可操作性更强,细节内容更加明确、具体。”在吴沈括看来,康州《隐私法》有关撤回同意权的规定从规则设计层面为消费者建立了一系列清晰的规则保障,强化了数据处理者的配合义务,对处理时间、期限等做出了明确规定。
大数据发展为个性化广告的投放提供了可能,去年,苹果、谷歌都为整治个性化广告“大动干戈”。苹果上线“应用跟踪透明功能”,用户在打开App时会收到询问是否同意App追踪其活动的弹窗提醒。谷歌也收紧相关规定,如果安卓用户选择退出个性化广告,广告商将不能再通过广告标识符进行精准推送。
《隐私法》要求,如果数据处理者将用户的个人数据出售给第三方或以投放个性化广告为目的处理用户个人数据,数据处理者应以显著而清晰的方式告知用户,并在2025年1月1日前为用户提供退出上述处理的渠道,不开启默认同意设置,“由用户对退出此类个人数据的处理做出自由、明确的选择。”
《隐私法》还规定,数据处理者不得要求对上述退出申请者进行身份认证。然而,如果数据处理者在合理合法且有证据的前提下,认定申请者的请求具有欺诈性,可拒绝相关退出请求,并向申请者说明认定理由。
相较而言,尽管其他四州的隐私法中都赋予了用户此类“选择退出”的权利,但《隐私法》显然规定得更加细致。比如,《科罗拉多州隐私法》未规定用户可在不进行身份认证的情况下行使该权利,加州CCPA规定数据处理者可选择性地处理用户的退出申请。
吴沈括表示,对用户而言,《隐私法》这一规定为其行使退出权提供了制度保障,有助于消费者更快捷、便利地行使该权利。对数据处理者而言,既规定了其需及时响应的配合义务,限缩了拒绝范围;又明确了数据处理者拒绝时的告知义务,“该规定可能会深度影响他们数据资产的管理方式。”
3
照片、视频不算生物特征数据
随着人工智能的迅速发展,人脸识别、指纹解锁、虹膜识别等生物特征识别技术得到广泛应用,技术种类不断增加,相关产业也在持续扩大。然而,生物识别技术带来诸多便利的同时,也产生了不少隐忧。
《隐私法》规定,“生物特征数据”是指通过自动测量个人的生物特征而产生的数据,如指纹、声纹、视网膜、虹膜或其他用于识别特定个体的独特生物模式或特征。不过,该界定不包括数字或实物照片、音频或视频,以及由数字或实物照片、音频或视频产生的任何数据——除非上述数据是为识别特定个人而生成的。
吴沈括直言,这一定义非常特殊,其从实际效果方面较为显著地限缩了生物识别数据的范围,对于具有一定公开属性的生物特征进行了排除,是严格遵循个人数据可识别性特征的一种体现。“发展人工智能需要使用大量图像、音频、视频数据等,这种做法实际上是‘开了一个口子’,实现了消费者权益和产业发展的平衡。”
“合规Geeks”则表示,“生物识别数据”的相关定义在美国各州法律中存在较为明显的差异,主要原因是各地有关生物识别数据的处理场景有很大不同。在他看来,对于该类数据限制过多会影响科技产业的发展,康州这一定义属于“宽窄居中”。
事实上,《隐私法》这一定义主要借鉴了《弗吉尼亚州消费者数据保护法》(VCDPA)和欧盟《通用数据保护条例》(GDPR)。
弗州VCDPA给出的定义为“自动测量个人生物特征生成的数据”,包括指纹、声纹、视网膜、虹膜或其他用于识别特定个体的独特生物模式或特征;同时,明确实物或数字照片、视频或音频记以及由此产生的数据不构成生物识别信息。《隐私法》在此基础上增加了目的为“识别特定个人”的例外情况。
GDPR中则规定,“生物识别数据”是指基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人数据,这种个人数据能够识别或确定自然人的独特标识,如脸部形象或指纹数据。此外,还强调“处理照片并不当然地被认为是处理个人敏感数据,仅在通过特定技术方法对照片进行处理,使其能够识别或认证特定自然人时,照片才被认为是生物识别数据。”
在未成年人保护方面,《隐私法》规定,数据处理者在收集不满13岁儿童的个人数据时,必须取得其监护人同意,处理指定儿童的敏感数据不得绕过《儿童隐私保护法》相关标准。同时,数据处理者不得在明知用户处于13至16岁之间时,以推送个性化广告为目的处理其个人数据或未经用户同意出售其个人数据。
“对于未成年儿童的数据保护,在美国州法体系下已经较为完善。”“合规Geeks”认为,康州的上述规定是对其他州有关未成年人保护相关规定的延续。与《隐私法》类似,对13至16岁未成年人数据保护有特殊规定的还有2020年生效的加州CCPA,数据处理者不得在明知用户处于该年龄段时未经同意出售或共享其个人数据。
在法律的执行方面,《隐私法》规定,执法权由康州总检察长掌握。该法律施行后直至2024年12月31日,存在违反《隐私法》行为的数据处理者可在总检察长开展执法之前自行检查纠正,若未能在60天内完成纠正,总检察长有权对其提起诉讼。2025年1月1日以后,总检察长可根据违法行为的性质、后果等决定是否给予数据处理者纠正机会。
采写:南都记者 樊文扬