私人诉讼权为消费者提供了对在某些情况下违反法律的企业提起民事索赔的理由。

当州立法者考虑隐私法草案时，企业通常会大力游说反对纳入私人诉讼权。许多组织和政治家更愿意执法完全由州政府总检察长等公职人员担任。

目前，美国唯一具有私人诉讼权的综合性州隐私法是《加州消费者隐私法》（CCPA）。将于2023年1月1日生效的《加州隐私权法案》（CPRA）也包含私人诉讼权。

CCPA的私人诉讼权相对有限

消费者只能起诉对涉及某些非常特定类型的个人信息（狭义定义）的数据泄露负责的企业。

与其他几个州立法机构一样，佛罗里达州众议院在2021年考虑了一项隐私法，其中包含更广泛的私人诉讼权，但该法案未能通过。今年，该州再次进行了尝试。

佛罗里达州2021年众议院隐私法案

以下是佛罗里达州的HB 696，这是去年未能通过的众议院隐私法案。与CCPA相比，HB 696包括相对强大的私人诉讼权。

根据HB 696的早期版本，消费者可以在以下任何条件下起诉企业：

未能维护法律的“合理安全”义务，导致未经授权的访问和渗透，盗窃或披露消费者的未加密和未修改的电子邮件地址以及允许访问帐户的信息（即涉及电子邮件地址和密码的数据泄露）;

未能满足法律赋予的删除或更正权下有效的“可验证消费者请求”;

继续出售或分享消费者的个人信息，如果消费者已经根据法律的“选择退出权”提出了有效的请求;

在未经父母同意的情况下出售或共享16岁以下未成年人的个人信息。

与加利福尼亚州的隐私法非常相似，佛罗里达州的法案将授权法院命令控制者和处理者支付100至750美元的法定损害赔偿金或实际损害赔偿金，以及合理的费用。对于大规模的数据泄露，这可能加起来高达数十亿美元。

同样值得注意的是，佛罗里达州2021年的另一部隐私法草案SB 1734最初也包含私人诉讼权，但该条款被修正案删除——该法案最终未能在2021年4月该州立法会议结束前通过。

参议院本届会议面前还有另一项隐私法案SB 1864，与其参议院前身一样，该法案不包含私人行动权。

佛罗里达州2022年众议院隐私法案

现在让我们来看看佛罗里达州众议院今年将考虑的新隐私法案HB 9。

与去年的HB 696一样，2022年的HB 9也包含私人诉讼权。但是，该法律与其前身有何不同，其差异是否会使法律更有可能通过？

HB 9与去年的HB 696一起提出民事索赔的四个理由中的三个：

未能满足法律赋予的删除或更正权下有效的“可验证消费者请求”;

继续出售或分享消费者的个人信息，如果消费者已经根据法律的“选择退出权”提出了有效的请求;

在未经父母同意的情况下出售或共享16岁以下未成年人的个人信息。

该法案包含与2021年法律草案相同的损害赔偿规则（法定损害赔偿额在100美元至750美元之间，或实际损害赔偿金，加上合理费用）。

有趣的是，HB 9不允许消费者以数据泄露为由提起民事诉讼。这就将该法案与CCPA和CPRA区分开来，后者仅允许因数据泄露而导致的民事索赔。

在数据泄露后取消民事起诉权代表了对法律私人诉讼权的重大淡化。

当然，任何州的消费者如果因数据泄露而遭受损害，都可以起诉企业侵权行为，前提是他们可以证明疏忽责任（以及其他要求）。

如前所述，在发生大规模数据泄露的情况下，法定损害赔偿制度可能导致一些令人瞠目结舌的潜在损害赔偿索赔。也许取消这些提出民事索赔的理由将足以安抚紧张的企业，否则这些企业可能会游说反对该法案。

HB 9的私人行动权会导致该法案未通过吗？

如前所述，企业讨厌私人行动权。这些规定导致许多隐私法案草案的垮台。

例如，华盛顿多年来一直试图通过注定要失败的隐私法。最常见的争议焦点是这些法案中存在私人诉讼权。

在某种程度上，可以理解的是，那些容易成为民事隐私索赔对象的企业是令人担忧的。

根据律师事务所Perkins Coie的数据，截至2022年1月，加州有近200起正在进行的案件引用了CCPA。虽然这些案件中的大多数不太可能导致巨额赔付，但它们都给一些CCPA覆盖的实体带来了重大不便——其中许多实体似乎根本没有违反法律。

通过削减HB 9的私人行动权，立法者可能已经做了足够的工作来让它越过终点线。

但佛罗里达州的另一项隐私法草案SB 1864不包含私人诉讼权，可能比众议院的同行更有希望通过。（本文出自SCA安全通信联盟，转载请注明出处。）