出海企业美国数据合规要点概览（上）

在联邦法律层面，美国目前并无具有强制性效力的综合性个人数据保护立法，而是就大量涉及敏感个人数据处理的重点行业或场景立法以进行针对性地保护。例如：

在医疗领域，《健康保险携带和责任法案》（Health Insurance Portability and Accountability Act of 1996，HIPAA）为美国第一部综合性的医疗隐私保护法律，要求医疗服务提供者在向第三方披露受保护的个人健康信息前获取个人的明示同意；

在金融领域，《公平信用报告法》（The Fair Credit Reporting Act，FCRA）赋予了消费者就其信用报告所享有的个人数据查阅和更正权，要求信用报告中个人数据收集的准确性，并对报告的使用加以目的限制；《格雷姆-里奇-比利雷法案》（Gramm-Leach-Bliley Act, GLBA）要求金融机构以安全方式保存非公开的个人金融数据，并就个人金融数据的共享向消费者提供选择退出机制；

在教育领域，《家庭教育权利和隐私法案》（Family Educational Rights and Privacy Act, FERPA）赋予了学生就其教育记录的控制权，未经学生或家长的同意不得将其考试分数和在校表现等信息对外披露；

美国还十分重视儿童个人信息的保护。《儿童在线隐私保护法》（Children’s Online Privacy Protection Act, COPPA）就处理13岁以下的儿童个人信息提出了全面且严格的要求。

在州法律层面，目前美国有六个州正式发布了综合性的数据保护立法，分别是加利福尼亚、科罗拉多、康涅狄格、弗吉尼亚、犹他州和爱荷华州¹，其中，以加州的《加利福尼亚消费者隐私法案》（California Consumer Privacy Act，CCPA）最具代表性，该法案被后来的《加利福尼亚隐私权法案》（California Privacy Rights Act, CPRA）所修订——二者相结合通常被认为是美国内容最全面且严格的个人数据保护法律。

就联邦法律与州法律之间的关系，企业需要注意的是，并非所有联邦立法都优先适用，例如在医疗领域，各州可以通过比HIPPA更加严格的州立法。因此，出海美国的中国企业需要较为全面了解美国数据保护立法的情况，并根据自身业务涉及的行业、数据处理场景以及处理数据的类型之不同，对出海适用的美国数据保护法律的具体情况，进行个案判断。

在联邦层面，联邦贸易委员会（Federal Trade Commission, FTC）对不公平或欺骗性贸易行为（unfair and deceptive trade practices）具有普遍意义上的行政执法权，还就儿童在线隐私、商业电子邮件营销等具体的数据保护问题负有更为明确的法定监管义务。FTC曾因儿童隐私保护、精准营销、数据安全等问题，向musical.ly (Tik Tok)，Youtube，Facebook及Equifax（美国三大个人征信机构之一）等公司，开出从几百万到几十亿美元不等的巨额罚单。此外，还有多个联邦机构负责特定的数据保护立法或个人数据处理场景下的行政监管，如卫生与公共服务部（Department of Health and Human Services）主管HIPPA涉及的医疗隐私问题，消费者金融保护局（Consumer Financial Protection Bureau, CFPB）主管金融个人数据保护方面的问题等。

在州层面，各州的总检察长（attorney general）通常有权就个人数据保护问题依据本州及部分联邦数据保护法律提起执法活动。

1. 适用范围

以欧洲通用数据保护条例（General Data Protection Regulation, GDPR）为代表的各国数据保护法律通常具有普遍的域外效力，即适用于在本国境内没有实体，但向本国居民提供产品或服务的过程中涉及到个人数据处理行为的处理活动²。相比GDPR，美国综合性数据保护法律域外效力的门槛相对更高，例如，在加州开展业务的企业需至少年总收入超过2500万美元，或处理5万以上消费者个人信息，或年收入50%以上来自出售消费者个人信息，才受制于CCPA的域外效力³；因此，未达上述规模的国内企业出海美国，可能无需受到CCPA等部分数据保护法律的规制。不过，就重点行业及数据处理场景进行规制的联邦层面法律，如COPPA, HIPAA等，仍然具有普遍的域外效力。

2. 个人数据处理的合法性基础

GDPR要求企业开展个人数据的收集和处理活动必须具有一项其列明的合法性基础，例如同意、为履行与数据主体间的合同所必需、为履行自身法定义务、为自身合法利益等⁴，此种立法逻辑也被其它许多国家的数据保护立法所沿用。相比之下，美国数据保护领域则习惯以个人是否有权选择提供自身数据为衡量标准，将数据处理的合法性基础区分为opt-in, opt-out及no option三种情形⁵；其中，opt-in类似于GDPR规则中的同意，即企业在处理特定个人数据前需要取得用户明确的事前同意，如前文提到的COPPA要求就13岁以下儿童个人数据的处理取得儿童父母的opt-in；opt-out则是无需就个人数据处理征得用户事前同意，但需要为其提供选择退出的方式，如CCPA允许企业向第三方出售或共享消费者的个人数据，但同时消费者也有权随时要求其不得出售或共享其个人数据；no option则是指数据处理与个人同意与否无关，其可能的原因归结起来很大程度上与GDPR下非基于同意的个人数据处理合法性基础类似，如企业为跨境电商，则为履行订单而收集用户订单信息并与支付机构、物流公司进行必要的个人数据共享，无需征得用户同意。

3. 用户作为个人数据主体的权利

和GDPR统一赋予欧盟全部个人数据主体多项权利不同，美国数据保护法律对个人权利的规定较为零散。总体来说，大部分数据保护法律要求企业应当允许用户查阅掌握的个人信息（Right to access），以及在特定情况下要求删除企业保留的个人信息（Right to deletion）；州层面的综合性数据保护法律还普遍赋予用户类似GDPR数据携带权（Right to portability）的权利，即用户有权要求企业将其掌握的关于自身的数据以常用格式转移给其它数据处理者，以及就企业出售用户个人数据的选择退出权（Right to opt out of sales）。

此外，部分联邦和州层面的数据保护法律还规定了用户对不准确的个人信息记录享有纠正权（Right to correct），以及对企业仅依靠自动化决策做出的商业决定的拒绝权（Right against automated decision making）⁶。

4. 企业作为数据处理者的义务

美欧数据保护立法对企业作为数据处理者应履行的义务要求之差异主要体现在以下几点：

· 对数据跨境的法律要求。

作为一项具体的处理活动，GDPR要求受其管辖的数据跨境传输必须具备一项其列明的合法性前提，如境外接收方位于白名单国家，境内的数据控制者或处理者与境外接收方签订了欧盟的标准合同等；相比之下，美国数据保护法律就数据跨境的监管较为宽松，大部分法律并未限制个人数据的跨境流动，或要求企业为个人数据出境设立合法性前提。

· 个人数据泄露时的通知义务。

美国在数据泄露通知上缺乏联邦层面的法律要求，但各州都有包含要求企业履行数据泄露通知义务的立法；在通知时限上，GDPR要求企业在知悉数据泄露后的72小时内通知数据保护监管机构，而美国各州法律就通知时限的要求在10-90天不等；在通知对象上，GDPR和美国多数州法都要求将数据泄露通知给监管机构和当事人；在通知应当包含的内容上，美欧法律亦都做出了较为明确和具体的要求，包括泄露事件的基本情况、泄露信息的种类、已采取的措施等。

· 数据风险评估义务。

对于高风险的数据处理,GDPR均要求企业进行事前的数据保护影响评估（Data Protection Impact Assessment, DPIA），并在确认企业有足够的技术和组织措施可消除过高风险的情况下，再进行相应的数据处理活动；相比之下，美国仅有个别数据保护立法对企业应开展类似的风险评估做出了明确的要求，如HIPAA要求医疗机构对持有的受保护的健康数据的保密性、完整性和可用性的潜在风险及漏洞进行准确而彻底地评估。

· 设立数据保护官的义务。

GDPR要求进行某些特定数据处理活动的企业必须设立DPO，并就DPO的专业能力、具体职责和利益冲突保护等进行了较为系统和全面地规定；相比之下，美国大部分数据保护法律则无类似设置数据保护专门负责人的硬性要求。