美国合规
行业与各州模式(HIPAA · GLBA · CCPA/CPRA)
从我们法务部门及 LGPD 框架视角,对美国数据治理与保护的协调分析。
第一章:碎片化(拼凑式)模式导论
与在国家层面以《通用数据保护法》(LGPD)集中规范数据保护的巴西法律体系不同,美利坚合众国并无一部统一的联邦法律,横向规范所有行业和经济部门的该议题。
美国的格局由一个去中心化、碎片化的生态构成,分为联邦层面的行业专项规则与各州管辖的一般规则。从专注于降低国际合规风险的法务部门视角来看,运营需要进行细致的地域与行业映射,以避免制裁与监管事件。
第二章:联邦层面
在美国联邦层面,监管范围有限,且严格针对业务领域或商业活动的性质。不符合特定行业标准的企业,仅受一般消费者保护规定的约束(如联邦贸易委员会 FTC 对欺骗性行为的执法)。
以下为该层面现行的主要法规,以数据合规视角加以归纳:
严格规范健康数据、病历及相关信息的处理。以 LGPD 视角,对应于对敏感个人数据的严格保护(第 13.709/18 号法律第 5 条第二项)。
规范金融、信贷与银行市场。要求采取行政与技术保障措施,以确保消费者私人财务数据的安全。
严格旨在保护儿童(13 岁以下)的在线隐私。与 LGPD 第 14 条高度一致,要求在收集前取得父母或法定监护人特定、醒目且明确的同意。
第三章:州层面
在缺乏一般联邦法律的情况下,各州承担起监管主导地位,制定了健全而独立的数据隐私规则。这为跨越不同州界传输数据的企业带来了高度复杂的运营环境。
具有全球参考意义的州法律,与 LGPD 及欧洲 GDPR 的原则高度一致。赋予加州居民诸如访问所收集信息、删除记录,以及反对出售或共享个人数据(“请勿出售我的个人信息”)等基本权利。
已颁布各自隐私法律的州,就数据保护影响报告和信息安全治理施加了不同的企业义务。
第四章:市政层面
在美国,严格的地方或市政监管发挥着补充性或辅助性作用。城市和县拥有自治权制定具体法令——常侧重于限制监控技术、私营实体的人脸识别或地方公共合同中的网络安全。就一般合规而言,法务部门应将市政规则视为额外的保护层,前提是其不与适用的州规则相冲突。
第五章:现状与法务部门意见
美国国会正就建立单一一般联邦法律进行积极讨论并审议相关法案(如 SECURE Data Act 等)。然而,在正式颁布之前,该体系仍按州逐一保持碎片化。
鉴于巴西 LGPD 的严格标准,法务部门建议采用预防与安全原则。在美国设有业务或合作伙伴的巴西企业,应基于数据主体所在地映射数据流。我们建议依据现有最严格标准(CCPA/CPRA 与 LGPD)实施全球治理方案,从而无论州或联邦立法碎片化如何,皆能降低横向风险。
概念对照表
| 美国范围 | 主要规则 / 状态 | LGPD 概念对应 |
|---|---|---|
| 联邦 | HIPAA、GLBA、COPPA(行业专项) | 敏感数据规则(第 5 条)与未成年人数据(第 14 条)。 |
| 州 | CCPA、CPRA 及 20 多个州的法律 | 数据主体权利(第 18 条)与自由访问原则。 |
| 市政 | 地方法令与补充性决议 | 良好治理与地方安全实践(第 50 条)。 |