1.前言
1.1.立法现状
美国没有统一的数据安全或隐私领域的监管法律。相反,美国有适用于某些行业和实体的行业性法律,以及每个州有自己独立的法律,这些法律管理每个特定州居民和实体的网络安全和数据泄露义务。目前有一项联邦法案美国众议院正在审议中,即美国数据隐私和保护法案 (“ADPPA”)。值得注意的是,ADPPA 标志着第一个获得两党和两院制支持的联邦隐私法案。如果颁布,它将取代大多数州和地方法律,使其中的任何类似规定无效。
同时,根据2002年联邦信息安全管理法案(“FISMA”),管理和预算办公室(“OMB”)与美国国土安全部(“DHS”)和其他联邦机构,负责监督联邦信息安全指令。
已经生效或即将生效的美国州立法包括:
加州
2018年加州消费者隐私法('CCPA')-生效
2020年加州隐私权法案(“CPRA”)-2023年1月1日(但许多条款适用于从2022年1月1日起收集的个人信息)
科罗拉多州
科罗拉多州隐私法(“CPA”)-2023年7月1日
康涅狄格州
康涅狄格州个人数据隐私和在线监控法案('CTDPA')-2023年7月1日
犹他州
消费者隐私法('UCPA')-2023年12月31日
弗吉尼亚州
消费者数据保护法('CDPA')-2023年1月1日
1.2.监管机构
管理和预算办公室(Office of Management and Budget)
OMB负责监督联邦政府的网络安全和合规举措,这一监督权力源自FISMA(联邦信息安全管理法案)。根据FISMA,OMB被要求建立网络安全标准和指南,并确保联邦机构遵守这些标准。
国土安全部(Department of Homeland Security)
FISMA要求国土安全部“管理机构信息安全政策和实践的实施”(美国法典(“USC”)第44篇第35章第II分章第3553节)。国土安全部监控联邦网络并检测和防止针对联邦机构的攻击。
国土安全部还制定了实施OMB网络安全标准和指南的指令。自2020年以来,国土安全部已将其部分政策制定职能委托给网络安全和基础设施安全局(“CISA”)。
联邦贸易委员会(Federal Trade Commission)
联邦贸易委员会('FTC')是主要面向消费者的联邦机构,负责对各种隐私和网络安全相关主题进行研究并发布报告。FTC还负责该领域的执法工作。例如,联邦贸易委员会根据1914年联邦贸易委员会法(“FTC法”)授权对被视为具有由于未能充分保护消费者的个人信息,从事“商业中或影响商业的不公平或欺骗性行为或做法”进行执法。
此外,根据 ADPPA,FTC 将有权发布法规,要求公司遵守新引入安全措施要求,以保护个人数据免受未经授权的访问。同时,FTC 将有权与州检察长 ('AG') 和加州隐私保护局('CPPA') 一起执行此类要求。
商务部(Department of Commerce)
美国商务部(“DoC”)负责增强网络安全意识和保护、保护隐私、维护公共安全、支持经济和国家安全等。美国国家标准与技术研究院(“NIST”)是DoC的一个分支机构,发布了其改善关键基础设施网络安全的框架(“NIST网络安全框架”),其中包含网络安全要求和最佳实践。
证券交易委员会(Securities and Exchange Commission)
美国证券交易委员会(“SEC”)向经纪自营商、投资顾问和公司、交易所以及其他市场参与者发布指南,以帮助他们保护客户免受网络安全威胁。SEC还充当监管机构,以确保遵守行业规则。对于必须向SEC报告的公司,2002年的Sarbanes-Oxley法案(“SOX法案”)规定了某些信息安全要求。
国防部(Department of Defense)
美国国防部(“DoD”)对向DoD和美国政府的类似机构销售商品或服务的企业进行监督。国防部发布了有关保护非机密“受控技术信息”(“CTI”)的网络安全法规,称为《国防联邦采购法规补充》(“DFARS”)。
1.3.监管部门指导
FISMA
FISMA提供指导方针和安全标准来保护联邦政府的信息和资产。FISMA委托OMB、DHS和NIST制定本指南的一些细节。
NIST网络安全框架
NIST发布了网络安全风险框架,最初旨在供关键基础设施参与者(例如医疗保健和公用事业)自愿使用。但是,NIST框架可扩展到任何规模或职能的组织。这些框架代表了一种灵活、优先、可重复、基于绩效且具有成本效益的方法,并具有五个关键功能的简单结构:识别;保护;检测;响应;并恢复。鼓励公司采用NIST指南作为其整体业务风险管理的一部分。
CISA事件响应手册
国土安全部通过其运营部门CISA发布了网络安全事件和漏洞响应手册。这些手册确定了事件响应和漏洞管理的最佳实践,以改进和标准化联邦机构做法,以便他们识别、修复网络安全漏洞和事件并恢复。此外,手册旨在为公共和私营部门公司提供指导。
SOX法案
SOX法案的两个条款,第302条和第404条,要求上市公司采用并报告内部控制的有效性。第302节规定首席执行官和财务官有责任证明适当的内部控制是有效的,并且与第404节一起规定了上市公司必须测试这些控制的有效性并将结果报告给董事会。这一要求隐含了实施和评估信息安全内部控制的义务。
2.适用范围
没有普遍适用于美国的联邦级网络安全法。
3.网络安全事件通知
不适用。没有普遍适用于美国的联邦级网络安全法。
4.ADPPA摘要
ADPPA(美国数据隐私和保护法案)对公司如何处理个人数据提出了要求,特别是它要求涵盖的实体和服务提供商将个人数据的收集、处理和传输限制在提供所请求的产品或服务合理必要的范围内。此外,ADPPA 规定了对消费者数据的法律保护,包括访问、更正和删除其个人数据的权利,并要求公司为个人提供选择退出定向广告的方式。最后,ADPPA 通常会优先于其条款涵盖的州法律,但伊利诺伊州(Illinois)和加利福尼亚州的某些类别的州法律和特定法律除外。
虽然 ADPPA 仍在通过立法程序,但有几项相关的联邦法律,包括1996 年的健康保险流通和责任法案('HIPAA'),它规范了健康信息的隐私和安全,Gramm-Leach-Bliley 1999 年法案(“GLBA”)要求金融机构向客户解释其信息共享做法并保护敏感数据,以及1998 年儿童在线隐私保护法(“COPPA”)对运营商提出要求针对13 岁以下儿童的网站或在线服务。由于缺乏联邦隐私法或监管机构,联邦贸易委员会事实上成为监管机构针对侵犯消费者隐私权或未能维护敏感消费者信息安全的行为制定了一系列判例法和和解协议。美国还与瑞士一起参与了隐私保护框架,以及[亚太地区跨境隐私规则]系统,这两个系统都允许数据无缝流向其他司法管辖区。
5.行业特定要求
5.1金融服务
GLBA适用于“金融机构”,定义为“从事向与该机构保持信用、存款、信托或其他金融账户或关系的客户提供金融服务业务的任何机构”。此类机构包括但不限于“任何存款机构[...]、任何经纪人或交易商、任何投资顾问或投资公司、任何保险公司、任何贷款或金融公司、任何信用卡发行人或一家银行的运营商信用卡系统,以及在全国范围内编制和维护消费者档案的任何消费者报告机构”。
GLBA要求涵盖的金融机构采取措施确保其客户的“非公开个人信息”(“NPI”)的机密性和安全性。经最终规则修订的客户信息保护标准(实施GLBA的§§501和505(b)(2))(“保护规则”),要求金融机构具有特定的确保客户信息安全的措施。保障规则进一步要求其涵盖的公司采取措施确保其关联公司和服务提供商也保护客户信息。FTC的金融隐私规则包含额外的隐私和安全要求。
GLBA由联邦贸易委员会、联邦银行机构以及其他监管机构执行。
5.2健康
1996年健康保险流通与责任法案(“HIPAA”)和2009年健康信息技术促进经济和临床健康法案(“HITECH法案”)制定了国家标准,以保护患者的健康信息(“PHI”)免遭未经授权的披露.为满足HIPAA的要求,美国卫生与公共服务部(“HHS”)部长根据164部分颁布了1996年健康保险流通与责任法案隐私与安全规则(“隐私与安全规则”)联邦法规('CFR')第45篇。
安全规则要求保护电子存储的PHI。它要求涵盖的实体评估其安全风险,并实施管理、物理和技术保障措施。它还要求记录安全合规措施(参见美国法典第42篇第6A章第III-A节第290dd-2节)。
5.3电信
根据美国法典第47条的1934年通信法和联邦通信委员会('FCC')颁布的规则要求电信运营商和互连的互联网协议语音('VoIP')服务提供商保护客户专有网络信息('CPNI')。具体而言,它规定了保护CPNI的义务、所需的保障措施以及违反CPNI时的处罚。
5.4就业
美国劳工部雇员福利保障管理局已针对受1974年《雇员退休收入保障法》监管的计划发起人和受托人发布了网络安全指南。包含三个组成部分:
• 雇用服务提供商的技巧;
• 网络安全计划最佳实践;和
• 在线安全提示。
2008年《遗传信息非歧视法》(“GINA”)禁止基于个人遗传信息的健康保险和就业歧视。GINA的第二章要求雇用15名或更多雇员的雇主对申请人和雇员的遗传信息保密和安全。
5.5教育
1974年家庭教育权利和隐私法案(“FERPA”)(参见美国法典第20章第32章第4部分第1232g部分;联邦法规(“CFR”)第34篇第99部分)管辖学生教育记录的隐私。受FERPA约束的学校也可能需要通过合同要求供应商和其他第三方遵守FERPA。
《儿童互联网保护法》(CIPA)修订了《美国法典》的某些条款,《美国法典》要求学校和图书馆实施包括技术保护措施在内的互联网安全政策。参与FCC学校和图书馆计划(“E-Rate”)的实体要获得互联网接入或内部连接计划的折扣,必须证明符合CIPA。
1998年的儿童在线隐私保护法('COPPA')主要关注在线收集的13岁以下儿童数据的隐私。它还包括保护在线收集的儿童个人信息的机密性、安全性和完整性的一般要求,包括仅向能够维护其机密性和安全性的各方发布此类数据的要求。
GLBA适用于高等教育机构收集、存储和使用包含个人身份信息的学生财务记录。联邦贸易委员会FTC同时执行金融隐私规则(消费者金融信息隐私)(根据《联邦金融法规》第16篇第313部分)和保障规则(根据《联邦金融法规》第16篇第314部分),因为它们涉及高等教育机构。
5.6保险
GLBA适用于“金融机构”,包括“任何保险公司”。保障措施规则和财务隐私规则都可能适用于保险公司。
GLBA还要求各州保险当局采用有关适用于保险业的非公开个人财务信息的隐私和披露要求。一些州已经根据全国保险专员协会('NAIC')发布的保险数据安全示范法通过了法律。保险数据安全示范法也称为“Model Law 668”,旨在为数据安全和违规通知提供一些统一标准,并规定数据安全、违规响应和通知的要求。该法律适用的实体的规模和类型因州而异。
6.处罚
不适用。没有普遍适用于美国的联邦级网络安全法。
7.其他领域
关键基础设施
美国国土安全部运输安全管理局('TSA')发布了一项针对管道所有者和运营商的安全指令,该指令于2021年5月28日生效。TSA指令适用于“危险液体和天然气管道或液化天然气管道的所有者和运营商”TSA通知其管道系统或设施处于“关键”状态的“天然气设施”。所有者和运营商必须在发现任何网络安全事件后12小时内通知CISA,并且必须在30天内向TSA和CISA提交漏洞评估。