美国个人信息保护法：历史与现状

来源：网络西东

整理与撰写：

周天宇，中国人民大学法学院硕士研究生

目录：

一、隐私法与个人信息保护法的由来

二、联邦层面个人信息保护历史与现状

（一）联邦层面的分散模式

（二）联邦层面的统一模式

三、联邦贸易委员会法与联邦贸易委员会

四、州层面个人信息保护历史与现状

（一）加州

（二）其他州

五、简评

关键词：

美国个人信息保护法数据法个人数据数据保护 CCPA FTC APRA

-------------------------

一、隐私法与个人信息保护法的由来

个人信息保护是数据法中的重要内容。数据法是关注个人信息（personal information）、个人数据（personal data）或其他数据如何收集、处理、使用、披露等的法律。隐私法是关注隐私权的法律，隐私保护与个人信息保护之间存在密切联系。在美国，隐私保护是一个历史的概念。在很长一段时间内，隐私保护都没有进入大众视野，直到1890年，路易斯·布兰代斯（Louis Brandeis）和塞缪尔·沃伦（Samuel Warren）在哈佛法律评论上出版了名为“隐私权利”的文章，普通法对于隐私的关注才日益增多。在二十世纪，随着隐私侵权事件不断增多，大多数州政府才逐渐承认：每一个个体都享有一定合理程度的隐私权利。

到了二十世纪中叶，虽然隐私权利的概念已经流传，但隐私与数据保护问题远没有如今突出，因此部分州有意减少对典型隐私侵权行为的认定以降低隐私侵权的影响，或者通过普通法设定针对数据保护的救济方式，这些保护主要通过侵权规制和合同规制得以实现。尽管法律框架类似，但各州对于法条的适用并不相同，受到判例法的影响，实际上数据法的具体内容与司法裁判标准并不统一。

在联邦法律层面，彼时的隐私法侧重于规制政府对于个人隐私的侵害而不是来自其他主体的侵害，例如美国宪法第三修正案规定士兵驻扎应保护私人住宅，第五修正案规定公民不必自证其罪。对于个人隐私最一般和直接的保护见于第四修正案，其规定“任何公民的人身、住宅、文件和财产不受无理搜查和查封，没有合理事实依据，不能签发搜查令和逮捕令，搜查令必须具体描述清楚要搜查的地点、需要搜查和查封的具体文件和物品，逮捕令必须具体描述清楚要逮捕的人。”

时过境迁，在后来的隐私保护实践中，第四修正案渐渐演变成为规制进入私人住宅的专门法而不是规定隐私保护的一般法。在1976年卡兹诉美国（Katz v. United States）一案中，法院确立了至今沿用的法律精神——即使第四修正案没有确立隐私保护领域的一般法，但是法律应当保护“人”而不是“住宅”，第四修正案可以保护个人免受政府实施的某类侵害。而在2018年卡彭特诉美国（Carpenter v. United States）一案中，最高法院确立第四修正案可以将隐私保护拓展到数据（信息）保护领域，个人享有获得第四修正案保护的合理期待，可以对抗政府未经批准从个人手中获取手机信息等数据隐私。该案也许算是数据保护领域的独特案例，其首次承认向第三方传输数据的行为也应受到第四修正案的规制，从而推翻了以往的法律原则。

在1977年沃伦诉罗伊（Whalen v. Roe）一案中，美国最高法院认为宪法规定的隐私权实际上包含两个方面的利益，一方面是个体防止其他个人泄露其隐私的利益，另一方面是个人独立作出重要决定的利益。其中，前者代表的利益也被称为信息隐私权利。事实上，在最高法院涉及信息隐私权利的每一个案件中，法院基本驳回了原告的宪法性主张，而维持了被诉侵害信息隐私权利的政府计划。在沃伦（Whalen）案中，纽约州的一项法律要求记录所有获得某些药物的人的姓名和地址，对此医生和患者提出了质疑，法院认为这些质疑确实体现出相关披露对于个人信息隐私的威胁，但法院并没有支持原告，其认为披露仍是现代医疗实践的重要组成部分。在美国宇航局诉纳尔逊（NASA v. Nelson）一案中，原告对政府实施招聘背景调查计划提出了质疑，法院甚至认为该权利可能不存在。

事实上，美国宪法和普通法规定的信息隐私权利都侧重于规范公开披露私人事实的纠纷，并且规范的主体只涉及政府行为而不涉及私人行为，宪法与普通法并没有为私人行为提供完整的框架。而如今对现代信息隐私的争论更加关注数据的收集、保护和利用，这些讨论显然超越了信息隐私权利起源时的争议背景和法律建构框架，随着数字隐私（digital privacy）和消费者数据隐私（consumer data privacy）遭受到越来越多的威胁，关于数据隐私的标准被随后规定于成文法（statutory law）中。

相比过去，如今个人数据流动的数量、速度与机会率显著增加，网站、数据中介以及广告公司等存在大量收集、存储以及使用消费者个人数据的行为。个人在交出个人信息以获得对应商品与服务的同时，丧失了个人对数据的控制权和自决权，个人信息或个人数据的保护由此显得必要。

美国宪法已为个人隐私提供了不同类型的权利保护，但这些权利的设定通常是为了防范政府公权力的侵扰，在调整网站、互联网企业等主体滥用个人数据方面作用有限。现有的联邦法律仅对特定行业的数据保护作出过单行立法，联邦贸易委员会（Federal Trade Commission，FTC）的执法也仅针对数据保护实践中不公平和欺诈的行为（unfair or deceptive acts or practices，UDAP），很难说联邦在规范个人数据的收集和使用方面已经做到法律统一且体系完备。相比于欧盟以及其他国家采取统一的立法模式，美国的立法呈现出分散式零散化的特点，这些法律主要规制企业数据保护实践。

二、联邦层面个人信息保护历史与现状

二十世纪六十年代至二十一世纪初，美国联邦层面并没有一部完整统一的数据保护法，相反，美国一直采取分散式专门立法的模式对特定领域的数据保护进行规定，这些法律在适用范围和立法目的方面差异很大，有的适用主体仅限于特定工业领域的参与者，比如金融机构、健康医疗实体、通信媒体，有的只适用于特定的数据类型，比如儿童数据。具体而言，在金融、医疗健康、银行信用、家庭教育、证券、儿童、计算机、贸易等领域都存在专门的数据保护法律。

（一）联邦层面的分散模式

《格拉姆-里奇-比利雷法》（Gramm-Leach-Bliley Act，GLBA），即《金融现代化法》，由美国国会于1999年11月12日颁布。首先，该法对金融机构规定了部分数据保护义务，主要涉及金融机构处理非公开个人信息（nonpublic personal information）。GLBA及其实施条例禁止金融机构与非关联第三方共享非公开个人信息，除非其已通知消费者并提供选择退出（opt-out）的机会，金融机构也被完全禁止为直接市场行为向第三方分享账户号码或信用卡号码。此外，金融机构应向客户通知其“隐私政策与做法”，内容包括收集与披露的信息类别、保护这些信息的政策与做法等。最后，GLBA规定金融机构应采取措施对非公开个人信息进行保护，维护其安全，防止预期威胁、危害和未经授权的访问。消费者金融保护局（Consumer Financial Protection Bureau，CFPB）、FTC和联邦银行机构共同享有对GLBA隐私条款的民事执法权，根据相关条款，联邦银行监管机构对存款机构拥有专属执法权，FTC对非存款机构拥有专属执法权。GLBA未规定私人诉讼权。对于通过虚假或欺诈性陈述或故意获取客户信息的行为，GLBA规定了刑事责任。

《健康保险流通和责任法》（Health Insurance Portability and Accountability Act，HIPAA）由美国国会于1996年8月21日颁布。首先，该法旨在保护健康信息（protected health information），适用的主体包括使用或共享健康信息、向消费者披露信息、确保健康信息安全保障措施以及在违法后通知消费者的企业实体。其次，HIPAA规定未经患者同意禁止使用或共享健康信息，除非此类信息被用于治疗、付款或健康医疗目的。实体应按消费者的要求向其提供充分的通知，个人有权要求其提供有其维护的健康信息副本。在特定情况下，个人可以要求实体向其提供健康信息的披露事实，包括披露的日期、接收者和目的。在发现健康信息“不安全”时，实体应通知受影响的个人。再次，在数据安全方面，实体应采取保障措施，以防止健康信息受到安全威胁或危害。最后，同样的，该法未规定私人诉讼权，卫生与公众服务部（The Department of Health and Human Services，HHS）拥有民事执法权，可针对违法行为处以民事罚款，司法部拥有刑事执法权，可进行罚款或监禁。

《公平信用报告法》（Fair Credit Reporting Act，FCRA）由美国国会于1970年10月26日颁布。首先，该法侧重于确保信用报告机构（credit reporting agencies）和供应商报告中关于消费者信用信息的准确性，且这些信息仅可在某些允许的目的下使用。其次，与HIPAA或GLBA相比，FCRA未规定在收集或向第三方共享消费者信息时应当获得消费者“选择加入”或者“选择退出”同意的要求，也没有规定未经授权不得访问消费者的信息。此外，消费者享有知情权，可以审查信用报告机构收集的有关自己的信息，以确保信息的准确性。机构须根据消费者的要求披露消费者档案中的信息，以及信息的来源和最近获得消费者报告的人员的身份。消费者还享有异议权，可对其信息的准确性提出异议。最后，FTC和CFPB享有民事执法权，FCRA为因故意或疏忽违反该法而遭受损失的消费者提供私人诉讼权，因疏忽违反该法案而提起此类诉讼的消费者可以要求获得实际损害赔偿、律师费和其他诉讼费用。

《通信法》（Communications Act）颁布于1934年6月19日。该法包含一些适用于公共运营商、有限运营商和卫星运营商的数据保护条款，并授权建立联邦通信委员会（Federal Communication Commission，FCC）。1996年《电信法》（Telecommunication Act）修订了《通信法》，对公共运营商提出了数据隐私和数据安全的要求。首先，运营商主要保护客户专有网络信息（customer proprietary network information，CPNI），主要包括客户订购的电信服务的数量、技术配置、类型、目的地、位置和使用量等。其次，运营商须遵守使用和披露规则，未经客户批准，承运商不得使用、披露或允许访问可识别个人身份的CPNI，运营商须采取某些保障措施确保该类数据的正确使用和披露。再次，当数据泄露后，运营商需向执法机构披露此行为。最后，FCC有权对违反《通信法》的民事行为进行强制执行。《通信法》还规定了私人诉讼权和刑事处罚。除公共运营商外，《通信法》还对有线运营商和卫星运营商收集使用个人可识别信息（personally identifiable information）施加了许多数据隐私和安全要求，包括隐私政策告知，数据收集、披露、访问、更正和销毁等。

《视频隐私保护法》（Video Privacy Protection Act，VPPA）由美国国会于1988年颁布。首先，该法旨在保护租赁、购买或交付录像带和视听资料过程中的个人隐私。其次，该法规定了录像带服务提供商（video tape service providers，包括数字视频流服务者和实体视频租赁店）的禁止义务，禁止其在未经消费者同意的情形下故意披露任何与消费者有关的个人可识别信息，但是发生在正常业务中的披露除外。最后，该法赋予私人诉讼权，受害人可获得损害赔偿或惩罚性赔偿，但是未授权联邦机构执法权，也没有针对违法行为规定刑事处罚。

《家庭教育权和隐私权法》（Family Educational Rights and Privacy Act，FERPA）颁布于1974年。该法旨在保护学生教育记录隐私信息，该类信息包括任何“与学生直接相关的信息”且“由教育机构维护”。这里的教育机构含义同样宽泛，包括“根据任何适用计划接受资金的任何公共或私人的机构”。其次，该法赋予家长与学生（学生从18周岁或加入高等教育（postsecondary）机构开始享有权利）决定学生教育信息披露、审查的权利。再次，披露信息需获得家长或学生的同意，为了合法教育利益、开展研究进行披露可获得同意豁免。在家长或学生行使审查权利时，教育机构应提供更正或删除的机会，并提供解释。最后，家长或学生可通过投诉的方式授权教育部长采取停止对相关教育机构的资助等方式维权。

《联邦证券法》（Federal Securities Laws）没有直接规定数据保护相关内容，但是要求公司采取防止数据泄露的措施，并要求公司向证券交易委员会（Securities and Exchange Commission，SEC）披露包括登记发行报告、每年每季度的定期报告、风险信息等在内的相关情况，以应对数据泄露问题。该法完整地规定了刑事责任、行政责任和民事责任。SEC可以通过向法院提起民事诉讼或行政“停止”程序来强制执行违反《证券法》（Securities Act）和《证券交易法》（Securities Exchange Act）的行为。

《儿童在线隐私保护法》（Children’s Online Privacy Protection Act，COPPA）由美国国会于1998年颁布。首先，该法意在规范儿童信息的在线收集和使用，商业网站或网络服务提供商应向家长提供隐私政策，在网站上对其隐私政策的链接进行显著且明确的标记，在未事先获得家长同意的情况下禁止收集或使用13岁以下的儿童的个人信息。其次，该法要求相关运营商建立和维持“合理的程序”，以确保个人信息的机密性、安全性和完整性。相关运营商还应遵守数据保留和删除的要求。再次，若违反FTC批准的自律准则或实施条例，则相关运营商的行为将被视为“不公平或欺诈做法”，FTC有权处罚或寻求公平救济。最后，该法授权州总检察长执法权，但未规定私人诉讼权和刑事处罚。

《电子通信隐私法》（Electronic Communications Privacy Act，ECPA）于1986年颁布，该法由《窃听法》（Wiretap Act）《存储通信法》（Stored Communications Act）《笔登记法》（Pen Register Act）三项法案组成。该法大部分内容规范的对象为执法部门，但许多条款也适用于广泛的私人和公共行为者。该法旨在为电子通信提供隐私保护，但往往侧重于规范窃听和电子窥探，对于商业活动中数据收集的保护力度并没有想象中的大。《窃听法》适用于截取传输中的通信，如果故意拦截与通信实质内容相关的信息，则违反该法，当然排除获得通信方事先同意的情形；《存储通信法》禁止不当访问或披露存储中的某些电子通信；《笔登记法》禁止在未经法院命令的情况下安装“笔记录器”或“陷阱和追踪设备”，与《窃听法》相反，《笔登记法》适用于获取非内容信息。

《计算机欺诈和滥用法》（Computer Fraud and Abuse Act，CFAA）于1986年颁布。该法最初是为了规范计算机黑客，规制未经授权侵入计算机的行为，而不是为了解决数据的收集使用等数据保护问题。具体而言，当未经授权故意访问计算机或超出授权访问范围进行访问，从而获得相关内容时，将承担责任。该法规定了刑事责任和私人诉讼权，个人可使用私人诉权来对抗跟踪其在线活动的公司，但起诉门槛要求原告遭到5000美元或身体伤害等特定类型的损失。

《金融消费者保护法》（Consumer Financial Protection Act，CFPA）颁布于2010年。该法旨在禁止机构从事不公平、欺骗或滥用行为或做法（unfair, deceptive, or abusive act or practice，UDAAP）。首先，CFPA新设了CFPB，CFPB专门负责消费者金融保护，享有包括采取行动防止相关人员在提供消费者金融产品或服务方面进行UDAAP的权力。其次，CFPB在CFPA下的UDAAP权限与FTC在FTC Act下的UDAP权限非常相似，主要区别在于CFPA对UDAAP的禁令包括“滥用”（abusive）行为，且CFPA仅禁止与提供“消费者金融产品或服务”有关的UDAAP。最后，CFPB在数据隐私安全领域并不活跃，其可以制定规则，也可以提起民事诉讼或行政执法诉讼，CFPB可以针对所有违法活动寻求民事处罚以及公平救济，包括没收或实施禁令。CFPA未规定私人诉讼权和刑事处罚措施。

（二）联邦层面的统一模式

2022年7月20日，美国众议院能源和商业委员会通过了《美国数据隐私和保护法》（American Data Privacy and Protection Act，ADPPA），该法即将进入全众议院投票阶段。正式版的ADPPA需经过两院表决和总统签署方可通过公布，虽至今为止ADPPA尚未正式发布，但ADPPA草案已经产生了重要影响。当年，ADPPA被认为是最有潜力冲击该年美国统一隐私立法的种子选手，凝聚的两党共识也比以往的议员提案要高。该项立法草案将联邦标准引入数据隐私保护领域，对于构建全美范围内的个人数据保护国家框架具有重要意义。目前存在的ADPPA草案内容共有四章节，包括第一章忠诚义务、第二章消费者权利、第三章企业问责制、第四章执行、适用和其他，以及二十七小条。其不同于其他数据隐私立法的重要内容如下：

第一，ADPPA草案在最开始的章节中就规定了企业的忠诚义务（duty of loyalty）。这一义务要求企业实体在提供或维持特定产品或服务的过程中遵守合理必要性、适当性进行数据收集、处理和传输活动，并禁止企业进行收集、处理或传输社会安全号码、生物特征信息、未经同意的私密图像和遗传信息活动，限制传输个人精确地理位置信息、密码、汇集的互联网搜索或浏览历史痕迹、来自智能手机或可穿戴设备的身体活动信息。此外，该义务要求企业进行隐私设计（privacy by design），减轻未成年人（17岁以下）相关隐私风险等，禁止价格歧视，并规定FTC负责在一年内发布关于数据最小化（data minimization）的指南。不同于《消费者在线隐私权法》（Consumer Online Privacy Rights Act）和其他法案规定忠诚义务是防止数据控制者出于自身利益做出欺骗性做法或会对个人造成伤害，该草案在明确忠诚义务包括数据最小化、隐私设计、敏感个人信息（sensitive personal information）处理限制、价格忠诚之外，可能在具体规定方面走得更远。

第二，ADPPA草案规定联邦享有优先权（preemption）,它并不优先于联邦隐私法，如《儿童在线隐私保护法》，但优先于州隐私法，如《加州消费者隐私法》《加州隐私权法》《弗吉尼亚州消费者数据保护法》《科罗拉多州隐私法》（下文介绍）等。ADPPA草案并不是第一个规定联邦优先权的联邦提案，但在国会真正推动ADPPA成为正式法律文本时，各州可能会为维护自己的权益展开激烈争辩或反对，该做法可能形成新的“隐私游戏”（privacy play）。

第三，ADPPA草案规定了私人诉讼权（private right of action），该草案规定的私人诉讼权将在颁布四年后生效，允许“任何遭受可以通过允许的救济解决的伤害的人或类别的人”向联邦法院提起民事诉讼，裁决仅限于补偿性损害赔偿、禁令或宣告性救济以及法律费用。但在提起诉讼之前，个人需以书面形式通知总检察长和相关的委员会。另外，该草案授权建立类似FTC的新的执法机构，并指示FTC建立“青少年隐私和市场部门”，以促进隐私执法活动。

第四，ADPPA草案规定所有数据持有者须指定一名以上的隐私官或数据安全官。此外，草案对于大型数据持有者施加了多项特殊限制，包括强化其告知义务、限缩其对于个人权力请求的响应时间，施加算法影响评估的强制性义务、报告义务、隐私影响评估义务、内部人员报告义务、记录和保存义务等，以及定期实施全面审计和员工培训计划等。

2024年4月7日，美国议员发布了美国隐私权法案（The American Privacy Rights Act，APRA）草案。APRA的主要重点是管理涵盖实体如何使用涵盖数据。对于“涵盖实体”和“涵盖数据”的定义是该法案的核心。APRA定义“涵盖实体”包括大多数“单独或与他人共同确定收集、处理、保留或传输涵盖数据的目的和方式”的个人、商业实体和非营利组织。小型企业不在该定义的范围内。APRA定义“涵盖数据”包括“识别、链接或合理链接”个人的任何信息。另外，APRA对敏感个人信息提供了额外的保护。“敏感涵盖数据”包括政府发布的标识符、遗传信息、健康信息、财务信息、精确地理位置信息和有关17岁以下的儿童的信息等。APRA将授权FTC通过监管扩大敏感数据的类别。

其次，APRA将为收集所涵盖数据的个人确立权利，并对所涵盖实体施加义务。个人有权访问、更正、删除和导出特定涵盖实体持有的涵盖数据。在义务方面，APRA对涵盖的实体提出数据最小化要求。APRA还要求所涵盖的实体遵守选择退出和同意要求，以及其他的义务，比如透明度规则、数据安全标准和算法选择退出要求。

另外，大型数据持有者和数据经纪人必须遵守额外的要求。例如，大数据持有者必须进行算法影响评估和隐私影响评估，其首席执行官必须向FTC就其公司遵守APRA的情况进行年度认证。数据经纪人需要向FTC注册，FTC将建立一个中央数据经纪人登记处，并采用“不收集”机制，允许个人选择不让数据经纪人收集其所涵盖的数据。更新后的众议院草案将更进一步，要求FTC创建“删除我的数据”机制，允许个人请求所有注册数据经纪人删除其所涵盖的数据。数据经纪人还需要建立面向公众的网站，其中包含数据经纪人注册表的链接。

再次，APRA授权FTC强制执行违反该法案的行为。APRA还授权FTC补充和澄清APRA的某些条款，并且FTC能够就APRA的实施发布指导。APRA授权州总检察长和州隐私机构代表本州居民提起民事诉讼。此外，APRA还将设立私人诉讼权。

最后，APRA借鉴了ADPPA的大量内容，包含大致相似的个人权利和所涵盖实体的义务，但也存在差异。例如，APRA将小企业完全排除在其范围之外，而ADPPA将仅将小企业排除在某些要求之外。APRA没有像ADPPA一样为17岁以下未成年人制定的一些保护措施，例如禁止定向广告（尽管更新后的众议院草案中添加了此类禁令）以及设立青少年隐私部门。然而，APRA包含ADPPA中没有的一些义务，例如要求所涵盖的实体为个人提供选择不使用某些算法的机会。虽然这两项法案都包含私人诉讼权，但APRA的私人诉讼权将立即生效，而 ADPPA它将在该法律颁布后推迟两年。两项法案的优先购买权条款具有相同的基本结构，但ADPPA明确保留几项特定的州隐私法，APRA表示这些法律不会被明确保留。

三、联邦贸易委员会法与联邦贸易委员会

《联邦贸易委员会法》（Federal Trade Commission Act，FTC Act）最初于1914年颁布，旨在加强隐私保护，现在已经成为全美范围内数据隐私领域相当重要的法律，FTC也利用该法案赋予的权力成为“隐私保护的首选机构”，FTC依据此法的执法活动填补了联邦法规留下的空白，极大地促进了美国的数据保护实践。1938年，惠勒—莱亚（Wheeler-Lea）修正案修订了该法第5条，以禁止对消费者有害的各种不择手段或误导性的做法。该法关键条款第5条即规定“在商业中或影响商业的不公平或欺骗性行为或做法（即UDAP）”是非法的。该法规定，当一种行为导致或可能导致对消费者的重大损害，这种损害是消费者自己无法合理避免的，且无法通过对消费者或竞争的反补贴利益来抵消，则该行为构成“不公平行为或做法”。同时，虽然该法未定义“欺骗性”，但FTC在指导中阐明若一个行为涉及“可能误导合理行事的消费者的重大陈述、遗漏或做法”，则该行为将被视为具有欺骗性。根据FTC Act，FTC可以制定规制，定义UDAP等具体行为，这些规则被称为“贸易监管规则（trade regulation rules，TRR）”。但是若FTC需颁布贸易监管规则，必须遵守行政程序法律，履行通知、听证、发布声明等程序，因此FTC很少行使其规制制定权，实际上FTC也未颁布任何有关数据保护的贸易监管规则。

FTC主要通过执法活动履行职责。在大部分执法活动中，FTC执法的结果以公司签订同意令告终，即要求公司采取一定的措施防止进一步的违规行为。虽然这些同意令对非缔约方不具有法律约束力，但这些做法已经反映出FTC针对UDAP的执法类型，从这些做法中提炼出的原则被视为一种“隐私普通法”。FTC“隐私普通法”中最确定的原则是公司受到其数据隐私安全承诺或隐私政策的约束，在违背承诺或做出虚假陈述诱使个人泄露个人信息时，公司就存在欺骗性行为。FTC进一步认为，当公司的隐私政策或声明未能充分说明其隐私保护做法时，就存在欺骗性行为。此外，FTC还会声称某些数据隐私或数据安全做法是不公平的。例如，公司对个人信息追溯性地应用经过重大修订的隐私政策是不公平的做法。FTC还会认为某些隐私设置是不公平的，例如，在应用程序安装后立即共享存储在用户设备上的个人文件。FTC最近坚持认为公司未能保护个人信息可能是不公平的，即使该公司没有违反其隐私政策。

相关判例完善了FTC Act，同时也完善了FTC的执法实践。在LabMD公司诉联邦贸易委员会（LabMD v. FTC）一案中，FTC发布的命令要求LabMD公司彻底检查和更换其数据，但不包含具体的停止命令和改进措施，法院认为该命令不可执行，并认为FTC在不遵守清晰标准的情况下向相关公司发布禁令可能违反正当程序，该案实际上确立：任何FTC的停止或终止命令须基于公司实施的不公平的数据安全措施，并阐明具体的补救措施。

在诉讼方面，如果FTC的命令受到质疑，FTC可以针对涉嫌违规者提起行政执法程序或民事诉讼程序。在行政执法程序中，行政法法官（Administrative Law Judge）会听取FTC的申诉，法官可以发布禁令禁止被告从事不当行为。在民事诉讼中，FTC可以寻求公平救济，例如禁令或没收非法所得。如果相对方违反了禁令、同意令或TRR，FTC只能寻求民事处罚。FTC Act未规定私人诉讼权和违反第5条的刑事处罚措施。

近两年，FTC继续在数据隐私和网络安全方面采取积极的执法措施，重点关注人工智能、儿童和青少年、健康和其他敏感数据。

四、州层面个人信息保护历史与现状

不同于全美就特定领域进行的分散式数据立法和FTC补充式的执法活动，州层面的数据法概况相对清晰。侵权法、合同法和判例法共同构成了州层面个人信息保护领域的主要规范雏形。侵权法规定的损害赔偿是规范实施侵害隐私和数据行为的手段之一，合同法同样为主体之间的权利义务提供了法律保护。除此之外，大多数州都有自己的立法，会涉及数据保护和私人实体对数据使用方面的规范。例如，许多州都有消费者保护法，有时禁止不公平或欺骗性行为，通常被称为“小FTC法案”。

（一）加州

2018年6月28日，加州州长签署通过了《加州消费者隐私法》（California Consumer Privacy Act，CCPA），该法于2020年1月1日起生效，是美国州层面第一个且产生重大影响的数据立法文件。与以往联邦或州立法完全不同的是，CCPA不只规定了某一数据处理活动或者某一数据处理主体，而是适用于加州境内开展业务，并以盈利为目的，符合一定组织门槛的任何收集加州人个人信息的企业。CCPA对于法律适用主体的规定显然非常宽泛，除了能规制大型的互联网企业外，还可能会覆盖相当一部分的小型企业。CCPA将“个人信息”广泛地定义为“识别、描述特定消费者或家庭、或能够与特定消费者或家庭直接或间接关联、或合理关联的信息”，比如浏览历史记录、搜索历史记录、应用程序使用情况、与广告有关的交互信息等或能从这些信息中获取的信息。CCPA对个人信息的定义非常广泛，几乎涵盖了企业从消费者处收集的所有信息。于此而言，CCPA并没有区分数据的来源，也没有明显区分从消费者处获取的数据类型。

CCPA赋予了消费者三种主要的权利。第一，消费者享有“了解企业收集或出售有关他们信息的权利”，这意味着企业在收集消费者个人信息之前，应通过邮件或者电子方式告知消费者要收集的个人信息的类别以及信息的用途；第二，消费者享有“删除权”，消费者可以在为了侦察安全事件、公共利益、言论自由等之外的情形下要求企业删除收集的有关消费者的任何信息，一旦符合CCPA的规定，企业必须删除消费者的个人信息并通知其服务提供商；第三，消费者享有“选择退出的权利”，企业应告知消费者其享有这项权利，并且消费者有权随时指示企业不得出售消费者的个人信息，在消费者后续明确再授权之前，企业都不得再次出售消费者的信息。

CCPA规定的提起诉讼的方式主要有两种，其一，由加州总检察长提起诉讼。根据该法，未能提供该法要求的保护，且在30天内未能纠正这些违规行为的企业将面临每项行为最高7500美元的民事处罚。其二，由个人和集体针对企业提起诉讼，该诉讼理由仅适用于由于“企业没有实施和维持合理的安全程序”导致“未加密或未编辑的个人信息”受到“未经授权的访问和泄露、盗窃或披露”的消费者，另外，只有消费者提前30天向企业提供书面通知并为企业提供纠正违规行为的机会，才能提起该类诉讼，除非消费者遭受了实际的金钱损失。

2020年11月3日，加州选民投票通过了《加州隐私权利法》（California Privacy Rights Act，CPRA），该法进一步细化修正了CCPA中的部分规定并于2023年1月1日生效。简言之，该法加强了加州居民的权利，对于个人信息处理活动的监管更加严格，并规定需建立一个新的政府机构（California Privacy Protection Agency，CPPA）负责全州数据隐私执法，可以说CPRA是CCPA的修改、补充和“附录”。具体而言，CPRA还有以下重要修改：第一，CPRA限缩了企业的认定范围，将相对小型的企业排除在法的适用范围之外，其更改后的企业门槛为“每年购买、出售或共享100,000或更多消费者或家庭的个人信息”，其将共享消费者个人信息的实体也定义为“企业”；第二，CPRA赋予加州居民四个全新的个人信息权利，分别是更正权（right to correction）、选择退出自动化决策的权利（right to opt-out automated decision making）、对于自动化决策的知情权（right to know about automated decision making）、限制敏感个人信息使用的权利（right to limit use of sensitive personal information），并修改了五个个人信息权利，分别是在删除权（right to delete）方面，新增企业向第三方通知删除的义务，知情权（right to know）的行使不再受到CCPA规定的十二个月的期限限制，针对行为广告（behavioral advertisement）方面的个人信息的分享和出售行为享有选择退出的权利（right to opt-out），企业在面向未成年人（right of minors）时选择加入的权利扩大到包括共享行为广告在内，个人享有数据携带权（right to data portability），可要求将个人信息传输给其他企业或组织；第三，CPRA新增了敏感个人信息这一类别，敏感个人信息包括种族、民族数据、宗教信仰、政治与哲学信仰、性生活或性取向数据、遗传与生物特征数据、健康数据、地理位置、社会安全号码与驾驶执照以及财务信息；第四，CPRA对行为广告及其对个人信息的使用专门进行规范，将其划分为跨情境的行为广告（cross-context behavioral advertising）和非个性化广告（non-personalized advertising）两类，并修改了选择退出权；第五，CPRA要求企业对第三方使用、共享或出售其首先收集的个人信息的行为进行负责；第六，CPRA扩大了同意的要求，如用户选择退出后出售、共享个人信息或二次使用、出售、共享敏感个人信息需要同意，出售或共享未成年人个人信息需要同意等；第七，增加了类似GDPR的条款，如数据最小化、目的限定、存储限制条款等。

总体而言，CCPA和CPRA是加州立法的产物，但它已经在美国各地和国际社会产生重要影响。CCPA广泛的管辖范围可能会使世界各地的企业落入其法律效力的范畴。后续的实践表明，CCPA确实成为了美国州层面一长串类似立法中的第一部，有时也达到了与GDPR对标的程度。CPRA则是在CCPA生效之后由选民投票通过的一部法律，其针对CCPA进行了扩展补充与更改，从主体、信息类别到权利的扩大与修改再到监管机构的创设，CPRA的实施有利于在加州形成综合性的隐私与数据保护框架，其引入了更多GDPR的规则，毫无疑问是更加全面、完整和严格的法律。

（二）其他州

除加州外，美国其他州也陆续出台了数据隐私法案。如弗吉尼亚州的《弗吉尼亚消费者数据保护法》（Virgina Consumer Data Protection Act，VCDPA）于2021年3月2日由该州州长签署批准，于2023年1月1日起生效。在个人数据概念定义中，VCDPA排除了公开可用的信息和去识别化的信息，将之定义为“与已识别或可识别自然人有关联或可合理关联的任何信息”。

科罗拉多州的《科罗拉多隐私法》（Colorado Privacy Act，CPA）于2021年7月7日由该州州长签署通过，于2023年7月1日起实施。该法规定了企业的积极保护个人数据的义务，总检察长和地方检察官享有专属执法权，可针对违法的企业施加禁令和进行民事处罚。

犹他州的《犹他州消费者隐私法》（Utah Consumer Privacy Act，UCPA）于2022年3月24日由该州州长正式签署，于2023年12月31日起生效。UCPA定义个人数据为“与已识别或可识别自然人有关联或可合理关联的数据”，其将去标识化的数据、公开数据和汇集数据排除在保护范围之外。与VCDPA和将要介绍的CTDPA（见下文）不同的是，UCPA对数据保护评估未作要求。与CPRA、VCDPA、CPA和CTDPA不同，该法未规定消费者享有对个人信息的更正权。与VCDPA、CPA和CTDPA不同，该法未规定企业收集敏感数据时需要消费者的同意，但消费者享有选择退出的权利。总体而言，该法较为温和，犹他州采取的数据隐私保护框架较为宽松。

康涅狄格州的《康涅狄格州数据隐私法》（Connecticut Data Privacy Act，CTDPA）于2022年4月28日经州议会通过，经过批准后，该法于2023年7月1日起生效。康涅狄格州是全美第五个拥有全面消费者数据隐私立法的州，与上述州立法相似，该法规定消费者享有访问权、更正权、可携带权、选择退出的权利、删除权，并规定企业应遵守告知义务、数据最小化、目的限制、数据安全保护规则等，并且上述法律都存在对未成年人数据的特别保护要求。与CCPA和CPA一样，CTDPA赋予消费者选择拒绝个人数据销售、行为广告和特征分析的权利。

另外，上述非加州的数据隐私法律存在一定的相似之处，如采取了GDPR中的“控制者”（controller）和“处理者”（processor）的概念，并且排除了消费者对潜在侵权行为的私人诉讼权。与CCPA不同，上述非加州法律规定雇员与企业之间的进行的个人信息收集与处理关系不适用相应的数据法。此外，这些法律不适用于受GLBA管辖的金融机构和数据、受HIPAA管辖的实体、受FCRA管辖的个人数据、B2B（Business to Business）商业背景下的个人数据和非盈利组织。

在2023年3月至2024年6月间，越来越多的州也陆续通过了它们各自的综合性数据法律，这些法律的立法框架、部分内容与上述介绍的CCPA等存在很多相似之处，但也有略微不同，具体而言：

爱荷华州的《爱荷华州消费者数据保护法》（Iowa Consumer Data Protection Act，Iowa CDPA）于2023年3月28日被签署通过，并将于2025年1月1日生效。较特别的是，该法不要求组织数据保护操作或执行隐私风险评估。

蒙大拿州的《蒙大拿州消费者数据隐私法》（Montana Consumer Data Privacy Act，Montana CDPA）于2023年4月21日通过，将于2024年10月1日生效。与其他综合性数据法类似，MCDPA规定了消费者享有访问、编辑、删除等多项权利，隐私政策应包含的内容以及总检察长的纠正行动。

印第安纳州的《印第安纳州消费者数据保护法》（Indiana Consumer Data Protection Act，Indiana CDPA）于2023年5月1日签署成为法律，该法将于2026年1月1日生效。该法规定了适用企业范围、豁免、个人数据定义、消费者权利、数据保护评估和潜在处罚等内容。

田纳西州的《田纳西州信息保护法》（Tennessee Information Protection Act，TIPA）于2023年5月11日通过，该法将于2025年7月1日生效。与VCDPA和ICDPA类似，TIPA的监管力度相对较轻，其被认为是“商业友好”的。

德克萨斯州的《德克萨斯州数据隐私和安全法》（Texas Data Privacy and Security Act，TDPSA）于2023年5月28日经议会通过，于2023年6月18日被签署，并将于2024年7月1日生效。TDPSA与VCDPA的相似程度更大，但其对“个人数据出售”的定义更类似于CPRA，其定义为“控制者出于金钱或其他有价值的考虑而向第三方共享、披露或传输个人数据”。此外，该法规定违规者享有30天的补救期以纠正自身的违规行为，若违规行为得到纠正，则总检察长不会采取行动。

佛罗里达州的《佛罗里达州数字权利法》（Florida Digital Bill of Rights，FDBR）于2023年6月6日通过，并将于2024年7月1日生效。该法与其他州的综合性数据法不同的地方在于，其明显针对大型公司适用，其将1亿美元的年收入总额作为门槛，与将门槛设定为仅25万美元的CPRA显著不同。另外，该法特别规定了儿童保护、社交媒体和技术监管方面的内容。

特拉华州的《特拉华州个人数据隐私法》（Delaware Personal Data Privacy Act，DPDPA）于2023年6月30日通过，于2023年9月11日签署，并将于2025年1月1日生效。DPDPA一般性地规定了个人数据权利和企业合规要求等。

俄勒冈州的《俄勒冈州消费者隐私法》（Oregon Consumer Privacy Act，以下OCPA）于2023年7月18日被签署，将于2024年7月1日开始部分生效，并将于2025年7月1日起全面生效。OCPA与其他州的综合数据法相类似，在敏感个人数据定义方面，OCPA是美国范围内第一部将跨性别或非二元性别以及犯罪受害者身份列为敏感个人数据的数据法。

新泽西州的《新泽西州数据保护法》（New Jersey Data Privacy Act，NJDPA）于2024年1月16日被签署成为法律，并将于2025年1月15日生效。该法为消费者提供了一套熟悉的个人数据权利，将未满13周岁的消费者个人数据定义为敏感数据，要求控制者提供隐私声明，进行数据保护评估。该法豁免了部分实体和类型的数据，对通用选择退出机制做出了规定。

新罕布什尔州的《新罕布什尔州隐私法》（New Hampshire Data Privacy Law，NHDPL）于2024年3月6日被当地州长签署，并将于2025年1月1日生效。该法涵盖的企业门槛远低于多数其他州的隐私法。在关键定义、主要义务、消费者权益与执法方面，该法与其他州的数据隐私法案基本一致。

肯塔基州的《肯塔基州消费者数据保护法》（Kentucky Consumer Data Protection Act，KCDPA）于2024年4月4日签署，将于2026年1月1日生效。值得注意的是，该法案并不要求控制者通过通用选择退出机制启用选择退出，并且该法案允许30天来纠正涉嫌违规行为的规定。

内布拉斯加州的《内布拉斯加州数据隐私法》（Nebraska Data Privacy Act，NDPA）于2024年4月11日被投票通过，并将于2025年1月1日生效。NDPA 和TDPSA之间最为相似，它们有着共同的广泛的适用范围、与敏感数据处理相关的规定以及包含30天的补救期等。

马里兰州的《马里兰州在线数据隐私法》（Maryland Online Data Privacy Act，MODPA）于2024年5月9日被签署颁布，并将于2025年10月1日生效。MODPA的某些方面与其他州的综合隐私法类似，主要区别集中在敏感数据、消费者健康数据、未成年人数据和反歧视措施这几个方面。例如，MODPA更进一步地明确，敏感个人信息包括来自控制者知道或“有理由知道”是儿童消费者的个人数据。另外，MODPA的数据最小化要求更具限制性。

明尼苏达州的《明尼苏达州消费者数据隐私法》（Minnesota Consumer Data Privacy Act，Minnesota CDPA）于2024年5月25日签署，将于2025年7月31日生效。明尼苏达州是全美第18个颁布全面消费者数据隐私法的州。除了包含一些新条款，该法案采用与其他大多数州隐私法相同的框架。

罗得岛州的《罗得岛州数据透明度和隐私保护法》（Rhode Island Data Transparency and Privacy Protection Act，RIDTPPA）于2024年6月10日被当地议会通过，将于2026年1月1日生效。与其他一些州不同，罗德岛州不需要控制者允许客户使用用户选择的通用退出机制选择退出处理其个人数据。

为了较为清晰地展现各州法案之间的异同，有观点选取了部分角度，以表格形式对各州法案的异同进行了比较：

下表展示了美国各州相关法案的生效时间：

五、简评

GDPR定义了个人信息保护法的基本框架，包括个人数据等基本语言单元的定义、个人数据权利、数据处理者与控制者的义务、数据流动治理规则、监管侧的管理措施等，在欧盟范围内摹画了数据严格保护与监视流动的蓝图。自欧盟2016公布GDPR后，该法在全球范围内产生了重大影响，各国纷纷进行个人信息保护数据立法，不仅是出于保护本国范围内的个人信息，促进其流动，也有攻占立法高地、影响全球范围内隐私与数据保护规则、赢取国际竞争新优势的考虑。

美国的个人信息保护法由隐私法发展而来，诞生于上个世纪的GLBA等法律更像是从隐私法转型至个人信息保护法或数据法过程中弥合的产物，尽管数据和隐私在一定程度上趋于重合。这些法律属于美国联邦层面的专门法律，受影响于美国在全球范围内科技的领先发展速度，这些法律对新式的数据处理活动和互联网企业主导的商业模式处理个人信息的现象作出了较快反应，毫无疑问它们的存在为美国的数据法发展奠定了基础。除了立法活动，以FTC为首，包括CFPB、FCC在内的执法机构的执法实践也构成了美国数据法网络中的基本线条，在执法活动中产生的案例及相关司法判例同样成为了这些法律的重要补充。但这些执法机构在功能上可能存在冲突，在执法内容上可能存在交叉，如何协调联邦法律的适用与FTC等机构在各州的执法活动，应当会是美国数据法方面待解决的问题。

加州颁布的CCPA和CPRA引领了美国地方州的数据立法，并且顺理成章地发挥了标准性模板的作用，以至于后续产生的数据法律中有较大部分框架与内容与之无异，而事实可能也恰恰是，在美国一贯促进数据流动，采取自由市场、消费者权利保护的立场下，这些法律的形状和内容也大致符合时代要求。从某种意义上说，CCPA与CPRA规定的在表示同意时“选择加入”的做法创造了州层面更为严格的规范，从而与它之后产生的数据法相区分。

不同于ADPPA，APRA草案也许被期待在更短的时间内通过以成为正式法律，这是美国在全国范围内建立统一数据立法的又一次强有力的尝试。除去豁免情形，联邦法律将优先于州法律适用，APRA同时建立的更严格的法律标准并强化了FTC的执法实践。相较于以往的法律，APRA除了关注了私人诉讼权、未成年人数据保护等争议焦点，其开始关注一些额外的因素，例如数据经纪人、投放广告与监控技术、与人工智能模型与工具、机器学习有关的问题，可以想象这些将成为未来的热点话题。

在法律豁免与优先权方面，正在推进的全美范围内的统一数据立法意图从各州手中抢夺话语权，也许这也是统一数据立法迟迟难以出台的原因之一，可能慎重的考虑在中央出具全国性法律打破地方一贯独立局面时不可或缺，由此可见，联邦与州之间的对抗也成为理解这些法律的暗线。

参考文献：

[1] Stephen P. Mulligan & Chris D. Linebaugh, Data Protection Law: An Overview, Congressional Research Service Reports (Mar. 25, 2019), https://crsreports.congress.gov/product/pdf/R/R45631.

[2] Warren, Samuel & Louis Brandeis. The Right to Privacy, 4 Harvard Law Review. 193 (1890).

[3] Restatement(Second) of the Law Torts § 652, The American Law Institute, (1977). https://cyber.harvard.edu/privacy/Privacy_R2d_Torts_Sections.htm.

[4] Daniel J. Solove, A Brief History of Information Privacy Law. 2006, p.14-16.

[5] U.S. CONST. amend. III.

[6] U.S. CONST. amend. V.

[7] U.S. CONST. amend. IV.

[8] Katz v. United States, 389 U.S. 347 (1967).

[9] Carpenter v. United States, 138 S. Ct. 2206 (2018).

[10] Whalen v. Roe, 429 U.S. 589 (1977).

[11] Daniel J. Solove & Paul M. Schwartz, Information Privacy Law, Aspen Publishers Press, 2018, p.564.

[12] NASA v. Nelson, 562 U.S. 134 (2011).

[13] Congressional Research Service, Data Protection and Privacy Law: An Introduction, Congressional Research Service Reports (Oct. 12, 2022), https://crsreports.congress.gov/product/pdf/IF/IF11207.

[14] Edith Ramirez, Opening Remarks at PrivacyCon (Jan. 12, 2017), https://www.ftc.gov/system/files/documents/videos/privacycon-2017-part-1/ftc_privacycon_2017_-_transcript_segment_1.pdf.

[15] 王广辉，苗晓阳：《个人数据权保护宪法分析：国际比较与中国进路》，载《河南社会科学》2023年第5期，第42页；王苑：《数据权力视野下个人信息保护的趋向——以个人信息保护与隐私权的分立为中心》，载《北京航空航天大学学报（社会科学版）》2022年第1期，第45页。

[16] Gramm-Leach-Bliley Act, 15 U.S.C. §§ 6801–6809.

[17] Health Insurance Portability and Accountability Act of 1996, Pub. L. 104-191, 110 Stat. 1936 (1996).

[18] Fair Credit Reporting Act, 15 U.S.C. §§ 1681–1681x.

[19] Communications Act of 1934, 47 U.S.C. ch. 5.

[20] Telecommunication Act, Pub. L. No. 104-104, 110 Stat. 56 (1996).

[21] Video Privacy Protection Act, Pub. L. No. 100-619, 102 Stat. 3195 (1988).

[22] Family Educational Rights and Privacy Act, Pub. L. No. 93-380, § 513, 88 Stat. 484, 571–74 (1974).

[23] Securities Act of 1933, 15 U.S.C § 77a.

[24] Securities Exchange Act of 1934, 15 U.S.C. §§ 78a–78qq.

[25] Children’s Online Privacy Protection Act of 1998, 15 U.S.C. §§ 6501–6506.

[26] Children's Online Privacy Protection Rule, 16 C.F.R. pt. 312.

[27] Electronic Communications Privacy Act, 18 U.S.C. §§ 2510–3127.

[28] Orin S. Kerr, A User’s Guide to the Stored Communications Act, and a Legislator’s Guide to Amending It, 72 The George Washington Law Review. 1208, 1212 (2004).

[29] Daniel Solove & Woodrow Hartzog, The FTC and the New Common Law of Privacy, 114 Columbia Law Review. 583, 592 (2014).

[30] Computer Fraud and Abuse Act, 18 U.S.C. § 1030.

[31] Consumer Financial Protection Act of 2010, Pub. L. No. 111-203, tit. X, 124 Stat. 1376, 1955–2113 (2010).

[32] Thomas Pahl, The CFPB is a Sleeping Giant on Data Security. Let’s Not Wake It., THE HILL (Dec. 28, 2016), https://thehill.com/blogs/pundits-blog/finance/311974-the-cfpb-is-a-sleeping-giant-on-data-security-lets-notwake-it.

[33] Hunton Andrews Kurth’s Privacy and Cybersecurity, House Committee Passes Comprehensive Federal Privacy Legislation, The National Law Review (June 27, 2022), https://www.natlawreview.com/article/house-committee-passes-comprehensive-federal-privacy-legislation.

[34] 网络西东：《<美国数据隐私保护法案>如何落地忠诚义务？》，载安全内参2022年6月9日，https://www.secrss.com/articles/43297，访问日期：2023年10月9日。

[35] Müge Fazlioglu, Distilling the essence of the American Data Privacy and Protection Act discussion draft, The International Association of Privacy Professionals (Jun 6, 2022), https://iapp.org/news/a/distilling-the-essence-of-the-american-data-privacy-and-protection-act-discussion-draft/.

[36] 陆斯珮：《美国统一隐私立法萌芽：<美国数据隐私保护法>草案解读》，载君合律师事务所2022年9月28日，https://www.junhe.com/legal-updates/1940，访问日期：2023年10月9日。

[37] Chris D. Linebaugh et al. The American Privacy Rights Act, Congressional Research Service Report (May 31, 2024), https://crsreports.congress.gov/product/pdf/LSB/LSB11161.

[38] Federal Trade Commission Act, 15 U.S.C. § 58.

[39] Daniel Solove & Woodrow Hartzog, The FTC and the New Common Law of Privacy, 114 Columbia Law Review. 583, 588,604 (2014).

[40] LabMD, Inc. v. Federal Trade Commission, 894 F.3d 1221, 1228 (11th Cir. 2018).

[41] Federal Trade Commission, POLICY STATEMENT ON DECEPTION 1–2 (Oct. 14, 1983), https://www.ftc.gov/system/files/ documents/public_statements/410531/831014deceptionstmt.pdf.

[42] Woodrow Hartzog & Daniel J. Solove, The Scope and Potential of FTC Data Protection, 83 The George Washington Law Review. 2230, 2300 (2015).

[43] Jeffrey S. Lubbers, It’s Time to Remove the“Mossified”Procedures for FTC Rulemaking, 83 The George Washington Law Review. 1979, 1985–1989 (2015).

[44] Daniel Solove & Woodrow Hartzog, The FTC and the New Common Law of Privacy, 114 Columbia Law Review. 583, 610 (2014).

[45] Justin Hurwitz, Data Security and the FTC’s Uncommon Law, 101 Iowa Law Review. 955, 966–967 (2016).

[46] Daniel Solove & Woodrow Hartzog, The FTC and the New Common Law of Privacy, 114 Columbia Law Review. 583, 630 (2014).

[47] In the Matter of Facebook, Inc. FTC File No. 0923184 (Nov. 9, 2011). https://www.ftc.gov/sites/default/files/documents/cases/2012/08/120810facebookcmbltrs.pdf.

[48] Federal Trade Commission v. Frostwire LLC, No. 1:11-cv-23643 (S.D. Fla. Oct. 7, 2011), https://www.ftc.gov/sites/default/files/documents/cases/2011/10/111011frostwirecmpt.pdf.

[49] United States v. Rental Research Services, Inc., No. 0:09-cv-00524-PJS-JJK (D. Minn. Mar. 5, 2009), https://www.ftc.gov/sites/default/files/documents/cases/2009/03/090305rrscmpt.pdf.

[50] LabMD, Inc. v. Federal Trade Commission, 894 F.3d 1221. (11th Cir. 2018).

[51] Federal Trade Commission, A Brief Overview of the Federal Trade Commission’s Investigative and Law Enforcement Authority (2008), https://www.ftc.gov/about-ftc/what-wedo/enforcement-authority.

[52] Henry N. Butler & Joshua D. Wright, Are State Consumer Protection Acts Really Little-FTC Acts?, 63 Florida Law Review. 163,165 (2011).

[53] Christopher A. Ott, Privacy and Security Partner Christopher Ott on the California Consumer Privacy Act of 2018, Westlaw Journal Computer & Internet (Aug. 6, 2018), https://www.dwt.com/files/Uploads/Documents/Publications/Privacy%20and%20security%20expert%20Christopher%20Ott.pdf.

[54] Cookiebot, California Privacy Rights Act (CPRA), (Jan. 1, 2023), https://www.cookiebot.com/en/cpra/.

[55] Michael R. Overly, Is California’s Consumer Privacy Act of 2018 Going to be GDPR Version 2?, The National Law Review. (Sept. 6, 2018), https://www.natlawreview.com/article/california-s-consumer-privacy-act-2018-going-to-be-gdpr-version-2.

[56] DLA Piper, Federal and State Privacy Laws and Regulations, DLA Piper Intelligence (Jan. 29,2023), https://www.dlapiperdataprotection.com/index.html?t=law&c=US&c2=.

[57] 合规Geeks：《美国首批五个州级个人隐私保护法简要比较》，载知乎专栏2022年5月15日，https://zhuanlan.zhihu.com/p/514570675. 访问日期：2023年10月9日。

[58] Cookiebot, Tennessee Information Protection Act (TIPA) – a comprehensive guide, (Oct. 6, 2023) https://www.cookiebot.com/en/tennessee-information-protection-act-tipa/.

[59] Nancy Libin et al. New Jersey Governor Signs Comprehensive Privacy Law, Davis Wright Tremaine LLP (Jan. 22, 2024), https://www.dwt.com/blogs/privacy--security-law-blog/2024/01/new-jersey-data-privacy-law-signed.

[60] Kate Lucente et al. US: New Hampshire Enacts 15th Comprehensive State Privacy Law, DLA PIPER (Apr. 12, 2024), https://privacymatters.dlapiper.com/2024/04/us-new-hampshire-enacts-15th-comprehensive-state-privacy-law/.

[61] Kirk J. Nahra et al. New Hampshire Legislature Passes A Comprehensive Privacy Law, mondaq (Jan. 12, 2024), https://www.mondaq.com/unitedstates/privacy-protection/1411216/new-hampshire-legislature-passes-a-comprehensive-privacy-law.

[62] Andrew Folks, US State Privacy Legislation Tracker, iapp Resource Center (Jul. 22, 2024), https://iapp.org/resources/article/us-state-privacy-legislation-tracker.

[63] Jevan Hutson, Kentucky Consumer Data Protection Act Signed Into Law, Davis Wright Tremaine LLP (Jun. 4, 2024), https://www.dwt.com/blogs/privacy--security-law-blog/2024/06/kentucky-consumer-data-protection-act-signed.

[64] Maureen Fulton & Mikaela Witherspoon, Nebraska: An overview of the Data Privacy Act, Data Guidance (Apr. 2024), https://www.dataguidance.com/opinion/nebraska-overview-data-privacy-act.

[65] Kate Lucente et al. US: Maryland Online Data Privacy Act summary and comparative analysis, DLA PIPER (Jul. 2, 2024), https://www.dlapiper.com/en-us/insights/publications/2024/07/us-maryland-online-data-privacy-act-summary-and-comparative-analysis.

[66] Nancy Libin, Apurva Dharia & Donara Aghajani, Maryland Creates a New Paradigm for Data Privacy, Davis Wright Tremaine LLP (May 15, 2024), https://www.dwt.com/blogs/privacy--security-law-blog/2024/05/maryland-online-data-privacy-act-signed.

[67] Anokhy Desai, Minnesota Consumer Data Privacy Act: First Look & Summary, Termly (Jul. 30, 2024), https://termly.io/resources/articles/minnesota-consumer-data-privacy-act/.

[68] F. Paul Pittman & Abdul M. Hafiz, Rhode Island Enacts the Data Transparency and Privacy Protection Act, Joining the US Data Privacy Landscape, WHITE&CASE (Jul. 2, 2024), https://www.whitecase.com/insight-alert/rhode-island-enacts-data-transparency-and-privacy-protection-act-joining-us-data.

[69] Stefani Schmidt, Iowa Consumer Data Protection Act: First Look & Summary, Termly, (Sep. 28, 2023) https://termly.io/resources/articles/iowa-consumer-data-protection-act/#iowas-data-privacy-law-vs-other-states-laws-similarities-and-differences.

上下滑动查看更多

end

免责声明：本号所载内容均为原创、投稿、授权转载或网络公开资料搜集整理，仅供读者交流学习使用，版权归原作者所有，且仅代表作者个人观点，与本号立场无关。若所引用的图片、数据、文字等来源标注有误或涉及侵权，烦请及时联系删除。

首页 ꄲ 政策法规 ꄲ 法规标准 ꄲ 美国个人信息保护法：历史与现状

ꄴ前一个：无

ꄲ后一个：无

创建时间：2024-08-13 09:05

浏览量：0