前言
随着数据经济的不断发展,个人数据的收集、处理和共享已成为全球隐私保护的核心议题。然而,美国在隐私保护方面长期缺乏一套全面的国家级法律框架,导致各州隐私立法呈现高度分散化的状态。自2018年《加州消费者隐私法案》(California Consumer Privacy Act, CCPA)颁布以来,州级隐私立法活动持续上升,而这种趋势预计将在2025年继续。
趋势一:实质性的数据最小化
数据最小化原则一直是隐私立法的重要内容,大多数州的隐私法通过禁止超出合理必要范围的数据处理来贯彻这一原则。然而,这种“程序性数据最小化”(procedural data minimization)通常依赖于企业在隐私政策中的披露,而消费者权益倡导者长期以来批评这种做法仅停留在形式上,难以有效保护消费者隐私。
2023年通过的《马里兰州在线数据隐私法案》(Maryland Online Data Privacy Act)首次引入“实质性数据最小化”(substantive data minimization)的概念,直接对数据的收集和使用进行严格限制,要求仅在提供消费者所需的特定服务或产品时才可使用相关数据。这一立法突破被视为对传统“通知与同意”(notice and consent)模式的重大改革。
虽然目前只有马里兰州采用了“实质性数据最小化”标准,但类似提案已在佛蒙特州和缅因州提出。与此同时,其他州的行业立法也