华盛顿隐私法由企业和非营利组织迎接

稳定美国数据隐私立法的游行上个月在华盛顿继续推出一个改进的法案，将授予国家居民访问，控制，删除和搬迁数据的权利，以及选择退出数据销售。

账单，叫做华盛顿隐私法案它也在2019年版本的基础上进行了改进，为面部识别技术的使用提供了更强的保障。据一些分析人士称，与它的沿海邻居的数据隐私法——今年生效的《加州消费者隐私法》——相比，《华盛顿隐私法》更胜一筹。

隐私论坛的未来首席执行官Jules Polonetsky叫“迄今为止提出的最全面的州隐私法规”。

“它包括关于数据最小化，目的限制，隐私风险评估，反歧视要求和自动概况的限制的规定，其他州法律不会”还是。

华盛顿州参议员Reuven Carlyle于1月20日提出的《华盛顿隐私法案》将为处理消费者数据的公司创造新的责任，包括实施数据保护流程，制定和发布隐私政策。

已有，该法案已获得公司和非营利组织的热情招待会。华盛顿科技巨头微软表示鼓励了，以及消费者报告对法案的推进表示欢迎，同时敦促进行更多的改进。

“这个新的草案绝对是朝着保护华盛顿居民个人数据的正确方向的一步，”消费者隐私和技术政策贾斯汀布鲁克曼的消费者报告主任表示。“我们希望看到进一步改进，摆脱留在文本中的无意中漏洞。”

华盛顿隐私法案会做什么

与美国在过去18个月推出的许多数据隐私法案一样，《华盛顿隐私法案》(Washington privacy Act)从两个方面来解决缺乏数据隐私的问题——为消费者提供更好的权利，对企业实施更严格的限制。

在消费者方面，华盛顿隐私法将授予华盛顿居民的几个新权利，包括访问，正确，删除和移植数据的权利。此外，消费者将收到“选择退出”的权利，使其具有多种可能侵入方式使用的个人数据。消费者可以说否使他们的数据销售并使他们的数据用于“目标广告” - 这导致一副鞋子，拾取毛衣或4K电视在从设备到设备之后的一个鞋子的广告的稍微不可避免的做法。

消费者可以以简单的要求对处理数据的公司行使其权利。根据该法案，这些请求将在45天内进行回复。如果公司无法满足该截止日期，则可以提交扩展，但需要向消费者通知扩展，以及为什么无法满足截止日期。

此外，未满足的要求对消费者来说并不是一条死胡同——公司还必须向拒绝或未满足要求的消费者提供上诉程序。要求也必须免费回复，每个消费者一年最多两次。

也许该法案中最受欢迎的条款之一是反歧视规定。该法案称，公司不能因为消费者选择行使其数据隐私权而区别对待他们。从表面上看，这让一些危险的想法，比如pay-for-privacy”计划更难以制定。

关于新的商业规定，华盛顿隐私法案将其适用于两类：“控制器”和“处理器”的公司分开。从欧盟借来的这两个术语一般数据保护条例（GDPR），有简单的含义。“控制器”是实际决定如何收集，共享或使用的决策的实体类型。那么，一个小型企业只有一名员工决定将数据销售给第三方？那是一个控制器。一家决定收集数据以发送目标广告的大公司吗？那也是一个控制器。

另一方面，处理器类似于为控制器执行服务的承包商和分包商。那么，一个简单地处理电子商务交易的支付处理器，没有什么？那是一个处理器。

《华盛顿隐私法案》的新规定主要针对“控制者”——facebook、亚马逊(amazon)、twitter、谷歌(google)、airbnb和甲骨文(oracle)等公司。

控制器将不得不发布“合理访问，清晰，有意义”的隐私政策，并将包括以下信息：

• 控制器处理的个人数据类别
• 处理各类个人资料的目的
• 消费者可以如何以及在哪里行使他们的权利
• 第三方的类别，如果有的话，控制员分享个人数据

如果控制器向第三方出售个人数据，或者为目标广告处理，但该法案要求这些控制人员明确披露该活动，以及消费者如何选择退出这些活动的指示。

另外，控制器需要执行“数据保护评估”，其中公司查看，文件，并考虑任何涉及目标广告，销售和“剖析”的任何个人数据处理的风险。

“分析”的规定是数据隐私账单的新增功能。这是令人钦佩的。

根据该法案，“侧写”是指任何形式的个人数据自动处理，以“评估、分析或预测已确认身份的人的经济状况、健康状况、个人偏好、兴趣、可靠性、行为、位置或行动等个人方面”。

在如今越来越具有侵略性的网络广告经济中，侧写无处不在。公司收集数据并创建消费者的“简介”，是的，可能不包括确切的名字，但仍然包括被认为是有关消费者生活方式和行为的重要预测。

这些新的法规使华盛顿隐私法在其同时代人中脱颖而出，斯泰西·格雷斯表示，高级咨询，未来隐私论坛。

“该法案的大局是包括与加州消费者隐私权的相同的个人权利，销售，等等 - 然后更多，”格雷说。“纠正数据的权利，选择退出有针对性的广告，并超出貌相 - 这进一步就是个人权利方。”

格雷补充说，账单的业务义务也比CCPA中的那些进一步进一步，命名先前讨论的数据风险评估。

《华盛顿隐私法案》(Washington Privacy Act)还包括了更多的商业义务，所有这些都为消费者提供了有意义的数据保护。例如，公司需要遵守数据最小化原则，只收集为明确目的所必需的消费者个人数据。在处理任何“敏感数据”之前，公司还需要获得消费者的肯定的、可选择的同意。“敏感数据”是指任何可能揭示种族、民族、宗教、心理或身体健康状况或诊断、性取向、公民身份和移民身份的数据。

但也许华盛顿隐私法案中的大多数有趣是其对面部识别技术的监管。

面部识别规定

2019年，华盛顿州立法者制定了一项旨在改善消费者数据隐私保护的法案。他们称之为......华盛顿隐私法案。这个原始的法案，现在已经取代了2020年的版本，其中包括面部识别的商业使用条款。

在脸上，新规则看起来很好：使用面部识别技术的公司用于商业目的必须从消费者之前获得同意“在部署面部识别服务之前”。

不幸的是，原来的法案非常下一句话同意几乎毫无意义。

根据该法案，获得消费者“同意”不是通过实际询问消费者是否同意记录他们的面部数据，而是通过在公司的场所张贴一个标志。

如法案所述:

“The placement of conspicuous notice in physical premises or online that clearly conveys that facial recognition services are being used constitute a consumer’s consent to the use of such facial recognition services when that consumer enters those premises or proceeds to use the online services that have such notice, provided that there is a means by which the consumer may exercise choice as to facial recognition services.”

解释器的长度与其允许的例外一样广泛。

这款漏洞不安几个隐私权倡导者在2019年2月举行了一封信给主要华盛顿立法者。

“[W]据称，据称，据称消费者同意使用面部识别技术，它实际上允许公司替代通知，以寻求同意的消费者，没有真正的运动选择或控制，”信中说。它由消费者报告，常识，电子前沿基金会和隐私权清算所签字。

2020票据关闭了这款漏洞，而是需要肯定的，选择合同的商业面部认可使用以及强制性通知 - 例如使用面部识别技术的签署空间。新条例草案还要求处理器在外面的调查和测试中开辟他们的数据处理工具，以促进票据呼吁在诸如少数群体，残疾人和老年人的诸如少数群体的“不公平的性能差异”。

移动华盛顿隐私法案

尽管2019年华盛顿隐私法在1月份介绍后的两个月后获得了迅速批准，但该法案最终未能到达房子。多种因素导致法案的失败，包括账单的定义，以某些条款，其执法方法及其对面部识别的处理。

格雷说，一些同样的障碍可能会出现在2020年的法案中。

“如果这项条例草案今年没有通过，那就是我们可能会看到冲突的源泉 - 与面部识别规定或执法有关，”格雷说。对于执行持有的执法，格雷表示，律师将军的办公室任务规定 - 将需要增加资金和人员配置。此外，可能会反对该法案缺乏“私人行动权”，这意味着消费者将无法单独提交诉讼，以违反法律的公司。多年来，这个问题一直是数据隐私立法的症结所在。

格雷说，该法案仍然显示从2019年版本的改进，这可能有助于推动它。

“除了一切之外，”格雷说，“我们比去年更乐观的是它通过。”