经过多年努力和立法尝试失败后，一项联邦数据隐私法的草案近期被公布。美国众议院能源和商业委员会于 2024 年 4 月 7 日公布了《美国隐私权法案》。过去，有几个问题阻碍了立法的通过，例如各州是否可以发布更严格的规定，以及个人是否可以就隐私侵犯起诉公司。
随着《2024 年美国隐私权法案》的出台，美国政府确立了首个国家隐私政策，该政策明确了全国性的消费者数据隐私权利，并设定了数据安全标准。部分特定实体被排除在该立法管辖范围之外，包括小型企业、政府机构、代表政府工作的实体以及国家失踪与被剥削儿童中心 (NCMEC)。非营利性欺诈预防机构仅需遵守数据安全标准。根据该法案，联邦贸易委员会将设立一个新部门来处理违规行为，这些行为将依据《联邦贸易委员会法案》(FTC) 被视作不公平或欺诈性商业行为。
众议院能源和商业委员会主席、华盛顿州共和党议员 Cathy McMorris Rodgers (R-WA)，以及参议院商业、科学和交通委员会主席、华盛顿州民主党议员 Maria Cantwell (D-WA) 在新闻稿中表示：“这份两党、两院共同起草的法案草案，是我们数十年来确立国家数据隐私与安全标准、赋予民众控制其个人信息权利的最佳契机。”“这项具有里程碑意义的立法汇聚了众议院和参议院多年来真诚努力的成果。它在推动全面数据隐私立法通过国会的核心议题上达成了实质性的平衡。美国人理应享有控制自身数据的权利，我们期待众议院和参议院的同事们能与我们共同努力，推动这项法案签署成为法律。”
该法案的一个关键部分是，它取代了目前各州各不相同的隐私法律，这被称为优先适用原则。由于企业必须遵守客户所在州的法律，要确保遵守许多州的不同法律曾颇具挑战性。
然而，在某些情况下，各州仍然可以通过自己的隐私法律，例如涉及民权和消费者保护的领域。在制定 APRA 时，立法者保留了加利福尼亚、伊利诺伊和华盛顿等关键州的标准。
这份长达 140 页的 APRA 草案详细规定了关于数据隐私的具体标准和流程。以下是新法案的五个关键部分。
立法者采用了《加州消费者隐私权法案》(CCPA) 中的措辞，赋予因数据泄露而受损的个人起诉公司的权力。通过诉讼，消费者可以获得实际损害赔偿、禁令救济、宣告性救济以及合理的律师费和诉讼成本。加州居民还可以根据 CCPA 获得法定损害赔偿。
组织将被要求制定隐私政策，详细说明数据收集流程以及消费者如何选择退出。该法案还限制收集和传输特定类型的数据，例如生物识别或基因信息，除非获得个人的明确肯定同意，或为明确允许的目的所特别准许。
APRA 赋予美国人阻止公司及数据经纪商传输或出售其数据的能力。消费者还可以选择退出定向广告。此外，该法案要求公司在将敏感数据传输给第三方时，必须获得消费者的同意。
作为该立法的一部分，联邦贸易委员会将维护一个数据经纪商注册处。所有数据经纪商还必须维护一个公开网站，明确标识自身为数据经纪商。包括残障人士在内的消费者，必须能够通过网站上的“不收集”机制来控制数据并选择退出数据收集。
虽然大多数公司可以指定隐私官或数据官，但大型数据持有者必须同时指定两者，并遵循额外要求，例如每年向联邦贸易委员会提交报告。公司不需要设立单独的职位，但可以将这些职责赋予现有职位。
由于该法案仍处于讨论草案阶段，后续步骤尚未确定。尚未设定投票或批准该法案成为法律的正式日期。鉴于其对企业和消费者的影响，美国人应密切关注相关讨论，企业则应开始为遵守法规做准备——若法案获得通过，将在批准 180 天后生效。