《在美国保持“低干涉”的数据保护方法(翻译)20220809-.docx》由会员分享,可在线阅读,更多相关《在美国保持“低干涉”的数据保护方法(翻译)20220809-.docx(12页珍藏版)》请在第一文库网上搜索。
1、ITICI信息技术我将创新基础在美国保持一种轻触式数据保护方法阿什利约翰逊和丹尼尔卡斯特罗数据隐私法规给企业和经济带来了巨大的成本。有效的、有针对性的联邦立法将解决实际的隐私损害问题,同时降低阻碍生产力和创新的成本。重要发现 隐私条例包含两组成本:直接强加给企业的合规成本和影响整个经济的“隐藏成本”。 在美国模仿般数据保护规例(GDPR)的方法的支持者忽视了这样项法律的重大成本以及更高的合规成本对企业和消费者的影响。 GDPR式的法律每年将耗资1220亿美元,包括1060亿美元的隐藏成本。一个更有针对性、但仍然有效的法律每年需要60亿美元,减少95%。 国会应通过联邦数据隐私立法,先于州法律,
2、处理与隐私有关的具体危害,区分敏感和无意义的个人数据,不包含私人行动权。itif.org导言综合数据隐私立法已列入国会待办事项清单多年。由于党派纷争和不愿妥协已使联邦一级在这个问题上的运动停滞不前,五个州一一加利福尼亚、弗吉尼亚、科罗拉多、犹他州和康涅狄格州一一已经通过了自己的法律,这带来了更多州可能遵循的趋势。1与此同时,欧洲的隐私监管般数据保护规例(GDPR)今年是它的六周年。国会未能满足联邦领导对数字经济这个Crrr问题的需要,在这样做时,它面临个游戏状态的风险,即处理个人数据的组织必须遵守州立法拼凑,抬高成本,在消费者中制造混乱。2国会最近才提出了一项全面的、两党的隐私法案,美国数据陷
3、私和保护法(ADPPA),由于未能就多个关键问题达成一致,该法目前的形式仍不可能通过,而且至关重要的是,该法并未优先于所有州隐私法。3此外,国会拖延的时间越长,更困难的IT将在数据隐私问题上达成妥协,因为隐私活动人士将要求一项联邦法律,不要先行于更严格的州法律一一或者IT在加州过于宽泛且代价高昂的隐私法加州消费者隐私法(Ca1iforniaConsumerPrivacyAct,CCPA)之后,制定联邦法律,这两种结果都会给处理个人数据的组织带来更高的合规成本,成本组织可能会转嫁给消费者。过于宽泛的隐私立法将带来巨大的合规成本和巨大的隐藏成本,而更有针对性地保护消费者隐私的法律对组织、消费者和经
4、济的负担要小得多。美国GDPR风格的数据隐私法的支持者认为,通过让组织遵守他们在欧洲联盟必须遵守的同样规则,这样一项法律将降低遵守成本。这个论点有两个问题。首先,存在可变合规成本,因此更严格的规章可以增加可变成本。第二,这一论点没有考虑到合规成本不是与数据隐私立法相关的唯一成本。这些额外的或“隐藏”的成本,代表了一项新的隐私法将通过降低消费者和企业的生产力以及限制数据收集和分享而带来的经济影响,从而推动创新。此外,他们辩称,合规成本将由公司承担,而非消费者承担,有证据证明。过于宽泛的隐私立法将带来巨大的合规成本和巨大的隐藏成本,而更有针对性地保护消费者隐私的法律对组织、消费者和经济的负担要小得
5、多。为了尽量减少隐私立法的经济影响,国会应通过一项全面的法律,先于州和地方法律,尽量减少数据保护的成本,同时仍然处理实际的隐私损害和保护消费者隐私。通用教据保护条例欧洲议会于2016年通过了通用数据保护条例,该法于2018年生效。IT包含若干条款,旨在让消费者对其个人数据有更多的控制权,包括用户对数据访问、可移植性、删除和整理的权利,以及获取关于如何处理其数据的信息的权利、对数据处理提出反对的权利,以及避免自动决策的权利;关于数据管制人员和数据处理人员必须如何保护个人数据的义务:成员国数据保护当局的执法和私人行动权津贴:以及高达2000万欧元或占全球年度收入的4%的高额罚款些隐私倡导者呼吁美国
6、通过一项类似于通用数据保护条例(GDPR)的法律,认为这样做可以更好地保护美国消费者的隐私,简化目前联邦和州法律的拼凑,并协调美国和欧盟的法律。6这将遵循各州在其隐私法律和法案中从通用数据保护条例(GDPR)中得到启发的趋势,加州的法律不仅借鉴了通用数据保护条例(GDPR),而且华盛顿和纽约的拟议立法也有虽然精简美国的各种隐私条例是项重要目标,可为那些原本受多重重复规则约束的企业节省数十亿美元,但类似GDPR的法律将带来巨大成本,也可能无法产生预期的结果。8在总数据保护条例(GDPR)实施的第一年后,信息技术和创新基金会(IT1F)的数据创新中心发现,通用数据保护条例(GDPR)对欧盟经济和企
7、业产生不利膨响,同时未能提高用户间的信任,对用户的在线访问产生不利影响,并使监管资源紧张教据保护的双重成本数据隐私法要求遵守法律规定的组织承担费用。这些费用的程度以及这些费用对组织的负担,取决于某项法律以及执法机制中包括哪些规定。隐私立法费用估计分为两类费用。第一是法律通过要求组织遵守某些规定而直接强加给它们的合规费用。这些规定可能包括雇用和保留数据保护干事、进行隐私审计、建立和维护数据基础设施、确保数据访问、可移植性、删除和用户纠正的要求。其中一些可以是固定成本,例如创建用于处理数据删除请求的过程和基础设施,而另些可以是可变成本,例如响应每个删除请求的成本。合规成本还可包括与对监管机构或民事
8、诉讼作出回应相关的成本。例如,一些隐私法允许用户直接起诉组织进行民事处罚,这被称为私人行动权。第二组成本是“隐藏成本”。这包括以数据为动力的行业生产率降低和创新的代价一一在当今经济中,数据几乎就是每个行业。隐藏成本的实例包括较低的消费者效率、较少的数据访问以及较低的广告有效性。合规成本影响法律范围内的每个组织,而隐性成本则影响整个经济。就经济影响而言,广泛的数据隐私法与较量身定做的法律之间的差别很大。信息技术和创新基金会(ITIF)2019年进行的研窕确定,反映通用数据保护条例(GDPR)或加利福尼亚消费者隐私法(CCPA)关键条款的联邦立法每年可能使美国经济损失约1,220亿美元,而一项重点
9、更突出、但仍然有效的国家数据隐私法将耗费这包括高达170亿美元的直接监管合规成本和高达1060亿美元的间接“隐藏”成本值得注意的是,这些隐藏成本占与类似GDPR的美国隐私法相关的总成本的比例要大得多。一个有效但精简的隐私法将不仅将合规成本降至最低,而且还将降低生产力和创新带来的间接经济成本降至最低,每年为美国经济节省数十亿美元。表1:PR式法律与目标法律相关的年度费用(百万美元)费用说明GDPR-风格法(M)目标法律(男)数据保护干事6370美元N/A私隐审计440美元440美元摊基础触5380美元5380美元数据存取340美元90美元数据便携性510美元$130数据删除780美元200美元数
10、据校正190美元50美元$2710$210降低消费者效率1870美元N/A融数据的获取71OOO美元N/A降低广告效率32900美元N/A共计122790美元6500美元遵守费用立法者在制定新的隐私法时更有可能考虑合规成本,因为这是法律直接对组织施加的成本。这类别包括因组织为了遵守隐私法的规定而改变其运作方式而产生的任何费用。IT还包括重复或轻率的执法机制的费用,其形式是法律费用和私人诉讼权可能造成的民事处罚。这些合规费用每年总计约167亿美元首先,隐私法可能要求组织指定一名负责遵约的数据保护干事。这通过要求组织雇用额外的人员来处理消费者隐私请求、系统维护和监管合规,或者将这些任务委托给现有人
11、员,从而将时间从其他活动中转移,从而给组织带来成本。信息技术和创新基金会(IT1F)估计,为处理个人数据的所有美国组织要求数据保护干事的年度费用为64亿美元第二,隐私法可能要求组织提交由组织本身或第三方进行的合规审计,甚至直接检查。信息技术和创新基金会(ITIF)估计,处理个人数据的所有美国组织需要这些审计的年度费用将达到4.4亿美元第三,许多隐私法赋予用户的权利给处理这些用户的个人数据的组织带来了成本。这些权利可以包括访问由组织存储的个人数据的权利(数据访问)、将数据移植到其他服务(数据可移植性)、删除该数据(数据删除)或对该数据进行修正(数据纠正)。为了满足这些要求,组织需要建立和维护数据
12、基础设施,使其能够存储、查找和更新用户的个人信息:创建一个机制来验证和验证用户,以防止数据盗窃:处理他们收到的访问、端口、删除或纠正用户个人数据的每个请求。在美国,提供数据访问、可移植、删除和修改权的估计年度费用为72亿美元,其中包括54亿美元用于数据基础设施,3.4亿美元用于访问需求,5.1亿美元用于可移植,7.8亿美元用于删除,1.9亿美元用于更正根据通用数据保护条例(GDPR)或加利福尼亚消费者隐私法(CCPA)的关键条款,联邦立法每年可能使美国经济损失约1220亿美元,而一项重点更突出、但仍有效的国家数据隐私法每年将损失约60亿美元,约减少95%.在欧洲,公司报告称,2017年,在遵守
13、通用数据保护条例(GDPR)方面的支出平均为130万美元,预计2018年IT将增加180万美元。16国家的数据保护机构(DPAs)通过做出更难遵守通用数据保护条例(GDPR)的决定,进一步增加了遵守成本。2023年2月,比利时DPA发布一项裁决,认为为出版商、广告商和技术供应商建立广泛使用的技术标准以获得用户对数据处理的同意不符合GDPR。17这要求想要实施符合GDPR的过程的网站和出版商必须建立自己的框架,造成额外费用,尤其给资源较少的小型组织带来负担。最后,有效的隐私立法需要某种执行机制。有多种执行途径不是相互排斥的,每种途径都有各自的成本和权衡。18国会可以授予联邦贸易委员会(FTC)执
14、行全面数据隐私法的权力,扩大联邦贸易委员会作为消费者隐私的主要联邦监管机构的现有作用。19或者,国会可以成立一个新的数据保护机构,专门负责监督和执行新的隐私法。国会还可以通过授权州检察长执行新的隐私法,以及联邦执法,让州参与。最后,国会可以建立私人行动权,使用户可以直接起诉违反隐私法的公司。这种私人行动权可能范围宽泛或有限,只提供强制令救济或强制令和货币救济,并适用于所有侵权行为或只适用于具体侵权行为,如数据侵权行为。如果立法允许重复或轻率的强制执行,特别是在广泛的私人行动权的情况下,强制执行的经济成本将高得多。这将打开闸门,对处理个人数据的组织提起不必要的、亳无根据的诉讼,这将阻止组织提供创
15、新的新产品或服务,从而使它们承担赔偿责任。伊利诺斯州的生物计量信息隐私法(BIPA)就是一个很好的例子。该法对在伊利诺伊州经营或产品到达伊利诺伊州消费者的公司收集生物特征数据进行了规定,并包括允许消费者集体诉讼和雇主诉讼的私人诉讼权。虽然生物计量信息隐私法(BIPA)于2008年通过成为法律,但在2019年法院裁定原告无须出示伤害后,诉讼数量激增。20在2008年至2018年期间,生物计量信息隐私法(B1PA)共有163起集体诉讼案件,而仅在2019年就有超过300起,最近的生物计量信息隐私法(B1PA)诉讼案包括几起引人注目的案件,和解金额达6.5亿美元。21这导致一些公司撤出伊利诺伊州,或限制伊利诺伊州消费者可获得的技术隐私活动人士将广泛的私人行动权作为赠予消费者的礼物,为消费者提供对侵犯其隐私的组织的补救。23然而,即使在合法的隐私诉讼中,支付往往很少,律师费往往很高。归根结底,隐私律师是唯一能从广泛的私人诉讼权利中受益的群体与此同时,由于诉讼费用高昂,处理个人数据的组织成本急剧上升,资金从创新转向创造新产品和服务,经济将受到影响。消费者也会受到影响,因为企业通过推高价格、向以前免费的服务收费、或者提供较少的折扣,将这些成本转嫁给他们。信息技术和创新基金会(ITIF)估计,如果联邦数据隐私法包含广泛的私人行动权,重复执行机制的年度成本将为27亿美元美国数据隐私和保护