人们购买的东西越来越多地与互联网相连,随着这些设备收集的数据被出售、共享以及被黑客攻击,人们面临的风险差别很大,其中一个原因是没有单一的、全面的联邦法律来监管大多数公司如何收集、存储或共享客户数据。

大多数支撑普通产品和服务的数据经济对购物者来说是看不见的。随着数据在无数第三方之间传递,更多的公司从数据中获利,数据被泄露或破坏的可能性也更大。美国公民自由联盟(American Civil Liberties Union)负责第一修正案和消费者隐私的高级立法顾问凯特·鲁恩(Kate Ruane)说:“我们有各个公司每天收集的与每个人相关的大量数据。”他还指出数据最终是如何以令人惊讶的方式(有意或无意)被使用的,例如用于定位广告或根据种族调整利率。“您的数据正在被盗用,并且正在以有害的方式使用。”

当前的国家隐私法(不)做什么

目前,隐私法处于一个由不同部门规则组成的杂乱无章的混乱局面。科罗拉多大学法学院Silicon Flatirons中心的执行主任Amie Stepanovich说"从历史上看,在美国,我们有一系列不同的联邦和州法律","这些法律要么着眼于特定类型的数据,如信用数据或健康信息;要么着眼于特定人群,如儿童,并在这些范围内进行监管。"

美国并没有一部涵盖所有类型数据隐私的单一法律。相反,它有多种以 HIPAA、FCRA、FERPA、GLBA、ECPA、COPPA 和 VPPA 等缩写命名的法律。

人们每天使用的绝大多数产品所收集的数据并没有受到监管。由于没有联邦隐私法对各个公司进行监管,他们几乎可以自由地使用收集的数据,除非各个州有自己的数据隐私法。

  • 在大多数州,公司可以使用、共享或出售其收集的任何数据,而无需通知数据主体。
  • 没有国家法律规定,如果数据被泄露或暴露给未经授权的各方,公司何时(或是否)必须通知数据主体。
  • 如果一家公司与第三方(如数据经纪人)共享数据主体的数据,包括其健康或位置等敏感数据,第三方可以在不通知数据主体的情况下进一步出售或共享其数据。

欧洲的《通用数据保护条例》(GDPR),要求公司在共享数据时要征得数据主体的许可,并赋予个人访问、删除或控制使用这些数据的权利。相比之下,美国并没有一部涵盖所有类型数据隐私的单一法律。只有一系列针对特殊(通常已过时)情况下特定类型的数据。

  • 《健康保险可携性和责任法》(HIPAA)与隐私几乎没有关系,只包括数据主体和 "承保实体 "之间的沟通,其中包括医生、医院、药房、保险公司和其他类似企业。人们往往认为HIPAA涵盖了所有的健康数据,但事实并非如此。
  • 《公平信用报告法》(FCRA)涵盖信用报告中的信息。它限制了谁可以查看信用报告,信用局可以收集什么,以及如何获取信息。
  • 《家庭教育权利和隐私法》(FERPA)详细规定了谁可以索取学生教育记录。这包括给予家长、符合条件的学生和其他学校检查由学校保存的教育记录的权利。
  • 《格雷姆-里奇-布里利法案》(GLBA)要求提供消费者金融产品,如贷款服务或投资咨询服务的公司,解释他们如何共享数据,以及客户选择退出的权利。该法并不限制公司如何使用其收集的数据,只要事先披露使用情况即可。
  • 《电子通讯隐私法》(ECPA)限制政府对电话和其他电子信号的窃听。它还制定了关于雇主如何监控员工沟通的规则。批评者经常指出,1986年通过的ECPA已经过时了。由于ECPA是在现代互联网出现之前编写的,因此它无法防范现代监视行动,例如执法人员访问存储在服务器、云存储文档和搜索查询中的旧数据。
  • 《儿童在线隐私保护法》(COPPA)对公司收集13岁以下儿童的数据规定了一定的限制。
  • 《视频隐私保护法》(VPPA)禁止披露VHS租赁记录。不过,VPPA并没有对流媒体公司产生影响。
  • 《联邦贸易委员会法案》(FTC法案)授权联邦贸易委员会对违反其隐私政策的应用程序或网站进行处理。联邦贸易委员会还可以调查违反与隐私有关的营销的行为。一些团体最近还呼吁联邦贸易委员会将这一权力扩大到滥用数据的行为。

仅有三个州制定了全面的数据隐私法

目前,美国的三个州制定了三项不同的综合消费者隐私法:加州(CCPA及其修正案,CPRA)、弗吉尼亚州(VCDPA)和科罗拉多州(ColoPA)。无论公司位于哪个州,法律规定的权利仅适用于居住在这些州的人。

"很多条款都是对商业模式的肯定。VCDPA本质上允许大数据收集公司继续做他们一直在做的事情。" -Kate Ruane,美国公民自由联盟高级立法顾问

这些法律有类似的规定,往往会在控制数据时提供某种类型的通知和选择。基本上,根据这些规定运营的公司必须询问数据主体是否出售自己的数据;数据主体也可以选择是否同意且有权访问、删除、更正或移动自己的数据。

专家认为,加州的隐私法案是美国最强的,因为该法规包括针对某些类型的数据泄露有限的 "私人诉讼权",即起诉公司的能力。加州还要求 "全面退出",以便通过设备或浏览器将自己从数据共享中移除,而不是被迫在每个网站上单独选择退出。相比之下,一些专家对弗吉尼亚的《消费者数据保护法》持怀疑态度。美国公民自由联盟的Ruane说:"我认为VCDPA是一项相当薄弱的法案。它是基于选择退出的同意。没有公民权利保护,没有私人诉讼权,很多条款都是对商业模式的肯定。它本质上允许大数据收集公司继续做他们一直在做的事情。" 考虑到弗吉尼亚州的法律是在亚马逊的大力支持下制定的,这些都不足为奇。

至少还有另外四个州,马萨诸塞州、纽约州、北卡罗来纳州和宾夕法尼亚州,目前在委员会中提出了综合消费者数据隐私提案。其他州也有不同的法律。要跟踪所有这些提案的状态可能很困难,但国际隐私专业人员协会有一个跟踪器,显示哪些州有隐私立法正在进行中,以及这些法案处于什么阶段。根据 The Markup 的研究,至少有 14 项提案类似于弗吉尼亚州较弱的法律。

州级法律对数据隐私各个方面也进行了规定。密苏里州有电子书隐私规则。伊利诺伊州的《生物识别信息隐私法》(BIPA)赋予人们对其生物识别数据(例如指纹或面部扫描)的隐私权。而数据泄露的通知至少有 54 条不同的法律因地区而异。

太多的州法律会产生混乱,无论是对公司还是对消费者。隐私律师兼数据保护官Whitney Merrill表示,联邦法律将使大家的事情变得更容易。Merrill说:“我们需要一部以更加一致的方式思考问题的联邦法律,以确保消费者了解并对其数据权利有正确的期望。”

隐私专家认为,四个领域值得基本保护

我们采访的每个人都将潜在的消费者数据隐私法描述为 "底线",即随着新技术的出现,未来有可能在此基础上进一步发展。这个底线通常包括一些基本的保护措施:

  • 数据收集和共享的权利。法律应该赋予人们查看各个公司收集了关于他们的数据的权利,要求公司删除他们收集的任何数据以及轻松地将数据从一项服务转移到另一项服务的权利。这还包括告知公司不要向第三方出售(或共享)数据的权利。
  • 选择同意。公司应该询问数据主体是否可以向第三方共享或出售数据。数据主体不必花费数小时选择退出通过其使用的每项服务收集私人数据。
  • 数据最小化。公司应该只收集提供服务所需的数据。
  • 不歧视和无数据使用歧视。公司不应歧视行使隐私权的人;例如,公司不能因保护某人的隐私而向其收取更多费用,公司也不能为客户提供折扣,以换取他们放弃更多数据。这项法规还应该包括对公民权利保护的澄清,例如防止广告商对某些特征的歧视。

没有执行机制,任何法规都没有意义。加州的法律有一个有限的且与数据泄露方面的疏忽有关的私人诉讼权。科罗拉多州和弗吉尼亚州的法律没有这个规定。康涅狄格州、佛罗里达州、俄克拉荷马州和华盛顿州的几项法案因包含了私人诉讼权而未能成为法律。2021年初,北达科他州的立法者提出了一项法案,其中包括一项私人行动权和选择同意权,作为回应,一群广告公司声称:"这样的做法将创造美国最严格的隐私法"。但该法案在州议会中失败了。

相比之下,Soltani认为执法是一个非常重要的方面。如果有足够的执法(法律保护和监管资源),放弃诉讼权也不算是一种坏的行为。

这些资源很重要。Tsukayama说:"特别是在那些不允许私人权利诉讼的州,公共执法的资金也不足,这只是一种侮辱性伤害"。加州为此专门成立了一个名为 "加州隐私保护局"的执法小组,该机构每年将获得1000万美元的资金。弗吉尼亚州总检察长办公室负责处理那里的执法工作,经费为40万美元,辅之以罚款和处罚。

代表亚马逊、Facebook和谷歌等几家大型科技公司的行业组织互联网协会提供了一封寄给新泽西州立法机构的信件和证词,其中重点关注两个问题:同意和私人诉讼权。该协会正在推动当前的选择退出同意模式以维持现状,即消费者必须不遗余力地获得法律规定的隐私保护。该协会还收录了一份来自美国商会附属机构法律改革研究所的论文,该机构倡导有利于商业的法律改革,该文件声称私人诉讼会阻碍创新,花费太多资金,并导致不一致的裁决。

更严格的隐私法将如何改变日常体验

Stepanovic认为,如果隐私法写得好,大多数人的生活不应该改变。"她说:"隐私不是指不使用技术,而是指能够参与社会,知道你的数据不会被滥用,或者你不会因此而受到一些伤害。如果做得好,像剑桥分析公司或 Grindr 这样的丑闻所造成的各种后果可以被最小化。而且你会看到更少的个性化广告和更多的上下文广告,无论如何,这些广告可以说不那么令人毛骨悚然。

制定完善的数据隐私法将使消费者更轻松地购买其感兴趣的许多产品,而无需担心这样做的隐私问题。也许 Wirecutter 评论和指南不需要深入比较评估跑步手表、智能秤或机器人吸尘器的隐私政策,因为它们都有一个隐私的基线,以及清晰、易懂的共享数据的选择规则。

即使是最新的法律也忽略了一些其他的数据问题,例如算法的透明度或政府对面部识别的使用。

目前选择退出系统的一个症结是通知疲劳。当每个应用程序和网站都要求你提供数十项权限时,接受现状比手动选择退出每个跟踪技术更容易。专家们都倾向于选择同意模式和 "默认隐私 "概念。这样的安排会使帐户最初成为私有的,并且应用程序将没有任何权限。这将取决于你是否选择加入这些设置。除了起诉公司的权利外,选择同意是隐私法中最难的事情之一。专家们正在推动使用浏览器扩展程序或其他自动选择退出的工具的能力。

美国联邦贸易委员会前首席技术专家Ashkan Soltani提出了一个技术解决方案,即全球隐私控制(GPC),该解决方案提供了一种在浏览器或设备层面选择退出数据销售的方法——这是对选择需要的一种改进,比在每个网站或服务器上选择退出要好。GPC目前包含在少数浏览器中,并受到包括《纽约时报》在内的多家出版物的尊重。一旦其“全面退出”规则于2023年生效,加州将更明确地要求企业遵守GPC。

正在倡导、提议和通过的基本隐私法不可能也不会解决所有问题。鉴于目前数据经济的复杂性,还有很多事情可以做,也可以说应该做。即使是最新的法律也会忽略各种其他的数据问题,如算法透明度或政府对面部识别的使用。有几项国家隐私法处于立法的各个阶段,但没有一项很有可能很快通过。

但新法律至少可以鼓励对隐私不那么敏感的产品和服务,它们可以针对最有害的数据挖掘类型提供基本的保护,并为未来更多的隐私保护奠定基础。在最好的情况下,数据隐私法可以让消费者买到最新的具有有趣的新功能的小玩意,而不必担心该公司正在收集比你想象到的更多的数据,并将其出售给你从未听说过的公司供广告商用来向您推销。

*原文来源:Wirecutter