美国国会又一次想给数据隐私立全国规矩。众议院共和党人推出 SECURE Data Act,由宾夕法尼亚州共和党众议员 John Joyce 和众议院能源与商业委员会主席 Brett Guthrie 牵头。法案目前只是提案,还没有通过。
这件事短期内不会立刻改变用户权利。它仍要走委员会审议、众议院表决、参议院处理等立法程序,能否成法还看不清。真正该盯的是文本方向:它给一些州补底线,也可能把已经更强的州法压下去。
法案给了基础权利,也留了关键缺口
SECURE Data Act 不是一张白纸。对没有综合隐私法的州,它确实能补一层保护。
法案要求企业只收集履行服务所需的数据。用户可以查看网站持有的信息,也可以要求删除。位置、性取向等敏感数据,需要用户明确 opt-in 后才能收集。执法权交给 FTC 和州总检察长。
但隐私法的强弱,不只看有没有“用户权利”四个字。还要看用户能不能真正拒绝、谁能起诉、企业有没有绕路空间。
| 关键项 | SECURE Data Act 的设计 | 直接影响 |
|---|---|---|
| 数据最小化 | 企业只能收集履行服务所需数据 | 比无规则强,但“必要”边界容易被企业解释 |
| 访问与删除权 | 用户可查看、删除网站持有数据 | 有基础权利,但用户仍要逐个网站操作 |
| 敏感数据 | 位置、性取向等需明确 opt-in | 对高风险数据有约束 |
| 执法机制 | FTC 和州总检察长执法 | 没有个人起诉权,普通用户很难直接追责 |
| 通用退出机制 | 不强制识别通用 opt-out | 用户不能一键全网拒绝追踪或销售 |
| 假名化数据 | 留出部分豁免 | 可能给广告技术和数据经纪业务留口子 |
EPIC、PIRG、CDT 等隐私倡议组织强烈反对。EPIC 的说法很重:弱联邦标准可能“比没有标准更糟”。
商业团体站在另一边。美国商会、全国零售联合会、NetChoice 等支持法案,理由是多州合规复杂,尤其会拖累小企业。
这话不能一棍子打死。20 多套州法确实会增加合规成本,小公司没有大厂那种法务团队。问题是,省下来的成本由谁承担。若用户少了退出权、申诉权、查询权,这笔账就不是简化监管,而是把企业成本转到用户身上。
最大争议:全国统一,还是低标准吞掉高标准
这份法案最锋利的部分,是 preemption,也就是联邦法可能预先排除许多同等或更强的州隐私条款。
受影响的不只是抽象的“州权”。加州、马里兰、明尼苏达、康涅狄格等州已经在某些领域走得更远。一旦被低水位联邦标准覆盖,用户失去的会很具体。
| 州或规则类型 | 现有更强保护 | 若被覆盖,谁受影响 |
|---|---|---|
| 加州 | 有专门隐私机构,部分场景下消费者可采取法律行动 | 加州用户更难依靠强执法和特定救济追责 |
| 马里兰 | 限制敏感数据销售,限制向 18 岁以下未成年人投放定向广告 | 青少年和敏感数据主体保护变弱 |
| 俄勒冈、特拉华、马里兰、明尼苏达 | 用户可查询第三方数据接收者身份 | 用户更难知道数据被转给谁 |
| 明尼苏达、康涅狄格 | 用户可对某些不利画像决策提出异议 | 被算法影响贷款、保险、服务资格的人申诉空间变窄 |
对普通用户,最现实的变化不是“隐私突然消失”。而是维权路径变窄。你可能还能点删除,但更难知道数据去了哪里;你可能还能拒绝部分敏感数据收集,但不能用统一退出信号挡住全网追踪。
对企业隐私、法务和合规团队,短期动作也会变得保守。大公司会继续维护州法合规能力,不会因为一个提案马上砍系统。中小企业更可能延后采购隐私管理工具,等法案走向清楚后再决定是按高标准做,还是按联邦底线做。
这就是现实约束:法案没通过前,谁都不能按它改业务。但它已经给行业一个谈判方向——把“统一”包装成效率,把“高标准州法”说成负担。
美国历史上,铁路、电力、广播、互联网平台都经历过地方规则碎片化之后的联邦统一。统一本身不是坏事。跨州业务需要清楚规则,用户也需要能看懂的权利。
关键是统一到哪里。统一到高水位,是公共治理;统一到低水位,就是削峰填谷。历史不完全一样,但权力结构很像:全国市场越大,行业越想要一套可预测、低摩擦、少诉讼的规则。
商业阵营要确定性,用户要可执行权利
我不太买账的是,把“全国统一标准”直接说成消费者保护。
企业当然喜欢确定性。平台、零售商、广告技术公司、数据经纪人,都更愿意面对一套全国规则,而不是在加州、马里兰、明尼苏达分别处理更强限制。这不是阴谋,是商业本能。
“天下熙熙,皆为利来。”放在隐私立法里不算刻薄。它只是提醒我们:行业支持监管,常常不是因为监管足够强,而是因为监管足够可管理。
隐私法真正要看的,是三道门。
- 是否允许州法保留更强保护,而不是被联邦底线一把抹平。
- 是否加入个人起诉权,让普通用户在关键场景下能直接追责。
- 是否强制网站识别通用退出机制,让用户不用逐站点、逐弹窗、逐平台拒绝追踪。
没有这三道门,所谓全国隐私标准就会变成漂亮的合规外壳。用户看到的是访问权、删除权、opt-in;企业拿到的是更低诉讼风险、更少州法差异、更可预测的数据生意。
AI 让这件事更敏感。数据不只是广告燃料,也是模型训练、画像推断、自动化决策的原料。今天弱化退出机制,明天用户就更难拒绝被系统理解、分类和交易。
SECURE Data Act 至少承认美国需要联邦隐私底线,这是进步。但如果这条底线拿来压住加州、马里兰这些高线州,结果会很难看:名义上用户多了一部全国隐私法,实际上强保护被削薄。
接下来不用看口号,盯文本。州法更强条款能不能保留,个人能不能起诉,通用退出能不能强制识别。三项都缺,低标称王的风险就很实在。