数据保护法案2021：高风险数据实践与隐私伤害的广泛定义

关键要点

新的监管机构：数据保护法案DPA提议成立新的独立政府机构，负责保护美国人的数据和隐私。高风险数据实践：法案覆盖广泛的高风险数据处理实践，包括使用自动决策系统和大规模个体画像。隐私伤害的定义：隐私伤害的定义包括对个人财务、身体及心理健康的负面影响。合规与资金：DPA通过对大型数据收集者收取费用来筹集资金，且对违反法律的组织可处以高额罚款。民权保障：设立民权办公室，确保DPA在落实隐私保护时不出现歧视性行为。

在近期，纽约州参议员基尔斯滕吉尔布兰德重新提出了她的法案，旨在建立一个独立的政府机构数据保护局DPA。该机构将“保护美国人的数据，维护他们的隐私，并确保数据实践公平透明”。

小火箭安卓版

法案规定，DPA拥有执行国会或自身设定的任何数据保护规则的权限和资源，利用诸如民事处罚、禁令救济等多种执法工具。此外，DPA还将与组织合作，推广数据保护并促使采用模型隐私和数据保护标准与政策。

新法案对吉尔布兰德2020年的原始立法进行了重大修改，明确了DPA的三项核心使命：

授权DPA制定和执行数据保护规则，为美国人提供更多对其数据的控制和保护，规范高风险数据实践与个人数据收集。促进创新，确保数字市场的公平竞争，DPA的研究部门将分析和报告各行业的数据保护与隐私创新。为数字时代准备美国政府，向国会提供有关新兴隐私和技术问题的建议，并与联邦机构及州监管部门协调，促进个人数据的一致监管。

高风险数据与隐私伤害的定义

关于高风险数据实践，法案涵盖了广泛的做法。根据法案文本，高风险数据实践包括从使用自动决策系统到大规模个体画像的所有行为。

隐私伤害的定义同样广泛。根据草案语言，隐私伤害意味着对任何个人的财务、身体甚至心理健康造成的不利后果。这也可能影响个人享有住房、教育、就业、医疗等权利的能力。该法案甚至将对言论自由或信息技术使用造成的损害视为隐私伤害。

DPA的资金来源

法案提议通过对大型数据收集者征收费用来为DPA的运作提供资金，这些数据收集者不仅限于数据经纪人，年收入超过2500万美元或收集、使用或共享5万名以上个人、家庭或设备个人数据的聚合商，均需缴纳相关费用。DPA还将公开列出收集、处理或共享超过1万人或家庭数据的数据聚合者，并说明其收集个人数据的合法目的。

法案中还明确了法院可对违反相关法规的组织采取的救济措施，包括每天最高达100万美元的罚款。然而，禁止对其处以“惩罚性或示范性赔偿”。此外，针对尝试重新识别匿名数据的人，法案规定每日罚款100万美元，除非此行为是出于测试目的。

并购审查

法案的一项重要条款将使新设的DPA拥有一定的反垄断并购审查权。目前，只有联邦贸易委员会FTC和司法部DOJ具有明确的反垄断并购审查权，而这种审查通常取决于并购是否增加市场或经济权力。

根据法案，DPA将审核大型数据聚合商的并购事务，并将这些并购的隐私影响报告提交给FTC和DOJ，后者在审查时也会考虑数据市场的权力情况。

DPA不会取代州法律

尽管作为独立机构，DPA由总统提名并得到参议院确认，该机构的运作并不会明显地优于州法律。例如，加利福尼亚州、弗吉尼亚州和科罗拉多州拥有强有力的州级隐私