A.2 美国的数据保护法规
不同于欧盟,美国还没有单一的法律或条例来实施对一般数据的保护。在美国,有一些特定行业和特定媒介的用户隐私和数据安全国家法律和法规,适用于金融机构、电信公司、个人健康信息、信用报告信息、子女信息、电话营销和直接营销[10,343]。美国在50个州和地区中也拥有数百条用户隐私和数据安全法律,比如数据保护的要求、数据的清理、隐私政策、社会安全号码的正确使用及数据泄露通告等。
美国的隐私法律是一个非常复杂的体系,包括涉及特定问题或行业的国家隐私法律和法规,涉及个人信息的隐私和安全的州法律,以及禁止不公平或欺骗性的数据使用的联邦和州禁令等[10]。
加利福尼亚州就是一个典型的例子。仅在加利福尼亚州就有超过25个用户隐私和数据安全法律,包括2018年颁布的《加利福尼亚州消费者隐私法》(California Consumer Privacy Act,CCPA),该法案于2020年1月1日生效[344]。CCPA适用于多个行业,引入了广泛的定义和个人权利,并对个人信息的收集、使用和披露实施了实质性的要求和限制。CCPA授予了消费者了解收集了什么信息以及与谁共享这些信息的权利,消费者还可以选择禁止科技公司出售他们的数据[344]。
美国联邦贸易委员会(Federal Trade Commission,FTC)对绝大多数商业实体拥有管辖权,有权在特定领域发布和执行隐私法规,例如电话营销、商业邮件及儿童隐私。FTC可以采取法律措施,保护消费者免受不公平或欺骗性商业行为的侵害,包括实际的不公平的隐私和数据安全行为。此外,卫生保健、金融服务、电子信息和保险等特定部门的监管机构也有权就其管辖范围内的实体颁布和实施用户隐私和数据安全条例[10]。