《美国隐私权法案》正式公布：适用范围超越现行任何州隐私法

《美国隐私权法案》（APRA）于2024年4月7日正式公布，距离成为法律尚有漫长过程。但若最终立法通过，其适用范围将远超现行任何州级隐私法——例如被誉为美国各州隐私法"始祖"的《加州隐私权法案》。该法案的逐条摘要可在此查阅。 

首先，与大多数州级通用隐私法包含针对非营利实体的全面豁免条款不同，《澳大利亚隐私改革法案》将把非营利组织纳入潜在适用范围。 

其次，目前仅有两个州的法律规定了企业需达到的财务门槛方可纳入监管范围。在加利福尼亚州，营利性实体年收入须至少达到2500万美元方可纳入监管范围，或满足下文所述的其他任一门槛标准。 在得克萨斯州，营利性实体必须不被联邦小企业管理局认定为小型企业，或满足下文所述任一标准。若《澳大利亚支付系统监管法案》（APRA）获得通过，任何实体（无论营利或非营利）只要年收入超过4000万美元或满足其他任一标准，都将受该法案约束。 

第三，尽管当前多数州隐私法要求营利性组织处理的个人信息需涉及至少10万名该州居民，但APRA提案将门槛小幅提高至20万人——不过这20万人 需为美国居民。当将全国居民数量相加时，这一门槛显然更易达到 。 

最后，尽管多数州法律仅适用于主要通过出售个人信息获利（有时设有较低最低交易量门槛）的组织，但APRA将把任何从向第三方转移个人信息中获利的实体纳入监管范围。 目前尚不明确该条款是否涵盖各州通用隐私法中常见的"其他有价值对价"形式的收入，以及此类收入是否包含通过广告或分析Cookie披露所获得的对价。 若包含此类情形，则任何运营使用分析型Cookie网站的企业都可能被纳入监管范围——无论网站访问量大小、收入规模高低，或此类披露行为所获报酬（金钱或其他形式）占比多少。 

福莱律师事务所网络安全与数据隐私团队将继续审阅拟议的《加州隐私权法案》（APRA），并在该法案推进立法进程时提供进一步指导。但密切关注美国隐私法的观察者们会产生似曾相识的感觉，意识到我们曾经历过类似情况。 就在两年前，众议员南希·佩洛西等加州国会代表团成员曾以该法案凌驾于加州《消费者隐私法案》(CPRA) 为由提出反对。而《澳大利亚隐私法案》(APRA) 同样凌驾于各州通用隐私法之上，其是否会遭遇相同或类似的反对尚待观察。 

关键定义包括：

受规管实体——任何决定收集、处理、保留或转移受规管数据的目的和方式，且受《联邦贸易委员会法》约束的实体，包括公共承运商及特定非营利组织。小型企业、政府机构、代表政府行事的实体、国家失踪与受虐儿童中心（NCMEC），以及（除数据安全义务外）反欺诈非营利组织均属豁免范围。

小型企业——指年收入不超过4000万美元；收集、处理、保留或转移的受保护数据涉及20万人次以下（不含信用卡刷卡等临时数据）；且不通过向第三方转移受保护数据获利的企业。小型企业可豁免遵守本法案要求。

查看引用文章