AI News HubLIVE
站内改写

更多州資料法律訊號企業應對AI與隱私問題

2025年,美國又有八個州實施新的資料隱私法,企業無論位於何處,只要達到一定門檻都將受到影響。州檢察長加大執法力度,FTC加強隱私執法,AI的影響使問題更加複雜。企業需要重新審視資料隱私框架,考慮全國統一或州級差異化的合規策略。

文章情報

工程師中級

要點

  • 八個新州資料隱私法將於2025年生效,企業需注意特定要求。
  • 州檢察長和FTC加大隱私執法,涉及AI的演算法處置等新工具。
  • 企業應選擇全國統一或州級差異化合規方法。
  • 敏感資料和未成年人資料的保護成為焦點。

為什麼重要

這條新聞值得關注,因為八個新州資料隱私法將於2025年生效,企業需注意特定要求。

技術影響

可能影響模型選型、推理成本、產品能力和評測基準。

資料隱私風暴正在醞釀,政府執法行動不斷升級,人工智慧的影響日益增大。隨著2025年又有八個州實施新的資料隱私法,無論企業位於何處,只要達到一定門檻,都將受到影響。

面對日益複雜的監管環境,企業需要重新審視其資料隱私框架,以減輕潛在的集體訴訟和政府行動。

各州檢察長加強了對資料隱私法的執法。加利福尼亞州、新罕布什爾州、得克薩斯州和弗吉尼亞州設立了隱私執法部門,表明對企業審查力度的加強。加利福尼亞州檢察長羅布·邦塔和解了多起《加州消費者隱私法案》違規案件,包括對絲芙蘭、DoorDash和Glow的行動,並對移動應用和流媒體服務發起了調查。得克薩斯州檢察長肯·帕克斯頓今年宣佈積極執行得州隱私法,包括與Meta達成14億美元的重大和解。各州檢察長還透過全國總檢察長協會下的多州聯盟合作調查資料洩露和隱私事件。

聯邦貿易委員會擴大了隱私執法範圍,重點關注健康和位置資料。近期的行動包括針對BetterHelp和Celebral等健康科技公司未經授權共享健康資料的案件。2024年,FTC修訂了《健康違規通知規則》,將健康和健身應用納入覆蓋範圍。FTC還針對Mobilewalla、Gravy Analytics和Venntel、InMarket以及X-Mode和Outlogic銷售位置資料的行為採取了行動,強調位置資料屬於敏感資料。

AI對資料隱私問題的影響增加了複雜性。FTC引入了“演算法處置”作為執法工具,要求企業刪除在違反資料隱私法的情況下收集的資料訓練出的AI模型。

一些州的法律透過賦予消費者選擇退出自動決策(包括畫像)的權利,並要求對存在“較高傷害風險”的活動進行資料隱私評估,來解決AI相關的隱私問題。

各州資料隱私法的拼湊格局變得更加複雜。新罕布什爾州、特拉華州、愛荷華州、內布拉斯加州、新澤西州、田納西州、明尼蘇達州和馬里蘭州將在今年實施自己的資料隱私法。

這些法律在義務和消費者權利方面與現有隱私法基本一致。例如,大多數法律要求企業尊重資料處理的通用退出機制,正如絲芙蘭案所強調的那樣,絲芙蘭未能透過全球隱私控制處理退出請求。全球隱私控制是一種技術規範,允許網際網路使用者有效向企業傳達其隱私偏好。

然而,其中一些法律有獨特要求。特拉華州《個人資料隱私法》不豁免非營利組織,並且只豁免《健康保險可移植性和責任法案》所涵蓋的資料,而非HIPAA豁免的組織。遠端醫療服務提供商可能因收集特拉華州居民的非受保護健康資訊(如網站分析資料或營銷資訊)而受到特拉華州法律的約束。

明尼蘇達州《消費者資料隱私法》豁免小企業,但要求在出售敏感個人資料前獲得選擇同意。它不豁免所有受明尼蘇達州法律約束的組織,僅豁免受明尼蘇達州法律約束的資料和某些金融機構。該法律要求企業維護資料清單,這是大多數其他法律不要求的最佳實踐。明尼蘇達州法律還賦予消費者對基於其資料的畫像結果提出異議的權利,並要求有清晰的超連結標明“您的退出權利”或“您的隱私權利”。

馬里蘭州《線上資料隱私法》禁止出售敏感個人資料,並將收集、處理或共享限制在嚴格必要的範圍內。它還禁止在知道或應知消費者未滿18歲時出售或處理未成年人資料用於定向廣告。從10月開始,馬里蘭州法律還將要求對高風險演算法進行隱私影響評估,可能導致廣泛的評估。

面對這些激進的政府行動、AI的影響以及即將生效的資料隱私法,企業應考慮以下關鍵行動,並決定採用全國統一還是州級差異化的方法。

在全國統一方法下,企業將採取既滿足共同法律要求又滿足各州獨特法律要求的資料隱私實踐。這種方法有助於為未來的州資料隱私法做好準備,但可能因在更為寬鬆的州施加不必要的限制而導致收入損失,也可能導致小企業或資料活動有限的企業在不必要的合規上花費資源。

在州級差異化方法下,企業的合規機制將根據其提供產品或服務的各州法律而變化。這種方法對於僅受少數州法律約束的企業來說可能具有成本效益,但需要隨著新隱私法的頒佈不斷更新。

無論選擇哪種方法,企業都需要根據隱私法的新要求、FTC針對的要素以及與AI相關的部分(特別是涉及敏感資料和未成年人資料)重新審視其資料實踐的各個方面,包括資料收集、處理、共享、儲存和刪除。

根據法律要求實施隱私影響評估,包括高風險AI系統或對消費者構成更高傷害風險的處理活動,是至關重要的。

應審查和修訂面向消費者的隱私政策和通知,以確保符合新的隱私法。同時,為與AI系統互動的員工制定內部隱私準則至關重要。

加強同意機制是遵守新隱私法的另一個關鍵重點。實施針對AI資料處理的細化同意選項,並確保使用的語言清晰明確地說明AI的參與方式。

金融服務和醫療保健提供者應對州資料隱私法的適用性進行徹底的法律分析,即使它們受GLBA和HIPAA約束。

駕馭拼湊式法規、更嚴格的政府執法以及AI驅動的隱私挑戰的複雜性,需要諮詢具有高度技能(而不僅僅是經驗)的隱私律師。

透過建立強大的資料隱私合規計劃並避免代價高昂的執法行動,企業可以在日益注重隱私的世界中獲得客戶信任並加強品牌。

本文不一定反映彭博行業研究集團(《彭博法律》和《彭博稅務》的出版方)或其所有者的觀點。

作者資訊:Lena Kempe是LK律師事務所的首席律師。擁有超過20年在律師事務所和公司(包括總法律顧問角色)的法律經驗,她在人工智慧、資訊科技、智慧財產權和資料隱私方面提供戰略指導。