2020年2月13日，美国纽约州参议员KirstenGillibrand参加了在华盛顿进行的国会隐私辩论会，并提议了制定《数据保护法（Data Protection Act），并设立专门的联邦数据保护局（ Data ProtectionAgency，以下简称“DPA”）。DPA将是一个独立执行机构，负责保护个人隐私并限制“个人数据的收集，披露，处理和滥用”。Gillibrand将DPA描述为“定义、仲裁和执行规则以捍卫我们的个人数据保护的‘裁判’。”

不同于参议院同事提出的法案，Gillibrand法案草案重点是建立具有规则制定权限的独立执法实体DPA，而不是仅基于特定隐私权和义务的规定。然而该法案也包含了强有力的声明，例如“隐私权是一项受宪法保护的重要基本个人权利”，个人隐私“受到个人数据的收集、维护、使用和传播的直接影响。”

DPA任职资格和目的

根据该提议，DPA主任将由总统任命并经参议院确认，任期五年。任职资格包括科技、个人数据保护、公民权利与自由、法律、社会科学、商业等方面的知识和经验。

DPA目的是保护个人隐私并限制“相关实体”对“个人数据”的收集和使用。“相关实体”是广泛的概念，是指“收集、处理或以其他方式获得个人数据的任何人”。

明确指出的唯一例外是个人处理在个人或家庭活动过程中的个人数据。“个人数据”定义是广泛的，类似《加利福尼亚州消费者隐私法》中的定义“通过特定个人或设备能够直接或间接识别、关联、描述、与之相关或能够合理联系的任何信息”。

DPA做什么？

DPA的功能将是广泛的。该机构将负责为其他联邦部门和机构“提供领导和协调”，包括执行联邦隐私和数据保护法律，检查和监管高风险数据实践以及“保障公平的市场合同条款”。该法案还要求DPA向私营部门提供“积极的”领导、指导和教育，制定有关隐私、数据保护和公平信息实践的标准模板和指南，并推广隐私增强技术。

DPA将具有制定规则的权力来管理和执行该法案和联邦隐私法，并有权：

监管相关实体（a）年总收入超过$ 25,000,000，（b）销售个人数据的收入占年收入的50％及以上，或（c）出于商业目的而购买、接收，出售或出于商业目的而披露50,000及以上的个人、家庭或设备的个人信息。监管包括要求定期报告和检查，以评估这些受监管的相关实体是否遵守联邦隐私法。

禁止相关实体进行不公平或欺骗性行为或做法。

收集、研究和回应消费者投诉，包括要求特定相关实体做出回应。

该法案要求DPA每六个月公开报告其活动，提供有关采用的规则与命令、收到的消费者投诉以及执法活动的信息。

联邦贸易委员会FTC怎么办？

拟议的法案将把美国联邦贸易委员会根据现有联邦隐私法制定规则、发布指南、进行研究或发布报告的权力转移给DPA。

执法

该法案将赋予DPA参与联合调查、为证人证词而发出传票、制定文件以及在违反联邦隐私法时提起民事诉讼的权力。值得注意的是，如果DPA发现了潜在犯罪的证据，应将该信息提供给美国总检察长以进行潜在的刑事诉讼。

在DPA民事诉讼中，可获得的救济不仅是民事处罚，还包括禁令救济、撤销或重新订立合同、退款、恢复原状、追缴或补偿不当得利、支付赔偿金、侵权的公开声明以及限制相关实体的活动或功能。民事罚款额将根据违规的性质进行分级。虽然违法行为的罚款金额通常每天不超过$ 5,000，但公然违反联邦隐私法会使罚款提高至每天$ 25,000，而明知违法行为将导致罚款提高至每天$ 1,000,000。有关执行该法案的民事罚款将被存入数据保护救济基金，用于赔偿受影响的个人或教育目的。

与州法的关系

该法案将保留州法律，除非只提供更少保护。它还将允许州当局执行该法案，并保留其提出州法律要求的权利。

下一步呢？

Gillibrand的参议院同事正在考虑拟议的《数据保护法》，以及参议院提出的越来越多的其他隐私提案，包括参议员Cantwell的《在线消费者隐私权法案（Online Consumer Privacy Rights Act ）》等。

文章来源数据法盟，翻译林洁琼，转载请标明出处，如有侵权请联系删除。