《美国隐私权法案》对覆盖数据的定义

在梳理拟议的或草案时，隐私专业人士自然会通过寻找定义的术语来定位。在制定国家全面隐私法《美国隐私权法案》的最新讨论草案中，这样的搜索结果是空的。

澳大利亚审慎监管局的起草者避免在其涵盖的数据的基本定义中附加“个人”修饰词。尽管名义上偏离了现有隐私立法中的现有术语，但澳大利亚审慎监管局对“覆盖数据”的定义在很大程度上借鉴了美国和国外的隐私和数据保护制度。

澳大利亚审慎监管局的讨论草案将“涵盖数据”定义为“单独或与其他信息相结合，识别或链接或合理链接到一个或多个个人的个人或设备的信息。”

在基本层面上，这一定义仅与美国其他州全面隐私立法中使用的“个人信息”和“个人数据”略有偏离，但进一步挖掘揭示了范围上的重要差异。

所涵盖的数据与个人“链接或合理链接”的要求将范围从仅从一个或多个个人收集的数据扩展到包括与一个或更多个人相关的创建数据。同样，任何未来有合理可能性与个人相关的数据也将符合涵盖数据的定义。

将这一定义与欧盟数据保护法进行比较，《欧盟通用数据保护条例》中的个人数据被定义为“与已识别或可识别的自然人有关”的信息。尽管措辞相似但不同，但通过合理性测试，这两个定义都标记了构成个人或覆盖数据的外部界限。

如果处理识别或链接到某个个人，但仅在可能用于识别或链接该个人的处理手段合理的情况下，未立即显示为个人或覆盖的数据可能会变成个人或覆盖。

涵盖的数据定义还导致包含衍生或推断的数据，鉴于许多实体在多大程度上依赖基于先前收集的数据创建的新数据，特别是在广告技术和人工智能行业，这些话题变得越来越有争议。

如果此类数据与个人或设备单独或与其他数据组合链接或可合理链接，则可能被视为澳大利亚审慎监管局的涵盖数据。

近年来，技术使实体能够从个人和公共数据中推导或推断敏感个人数据的程度有所提高，这是少数州立法者提出的担忧。

加州总检察长Rob Bonta认为，《加州消费者隐私法》对从个人信息中得出的此类推论给予了保护。到目前为止，俄勒冈州消费者隐私法案是唯一一个效仿的州法案。

在澳大利亚审慎监管局中，涵盖的数据是通过参考“个人”而不是“消费者”来定义的，“消费者”是许多美国州法律的首选术语，或“数据主体”，就像GDPR和GDPR风格的法规一样。

它将“个人”定义为“居住在美国的自然人”，这类似于州法律中“消费者”定义中的类似居住要求，只将该要求延伸到各自的州边界。

将这一规定与《通用数据保护条例》下的“数据主体”的规定进行对比，后者根据第3条关于领土范围的规定，对“自然人”提供普遍保护，无论其居住国或国籍如何。

通过指出涵盖的数据可能与“一个或多个个人”有关，起草者旨在解决这样的情况，即实体可以合理地辩称从设备收集的数据——例如从家庭成员共享的台式电脑收集的数据，不是个人数据，因为它与单个自然人无关。

欧盟和实施《华盛顿隐私法》模式的15多个国家中的大多数都没有考虑到这些论点，将其个人数据的范围限制在与一个人有关的范围内。

加利福尼亚州和俄勒冈州的立法者致力于通过将与特定“家庭”或共享公共设备或服务的同居消费者群体有关的信息纳入法案范围来缓解这一问题。这种方法防止实体声称其没有从特定个人收集信息，因为位于住所的任何人都可能使用该设备。

澳大利亚审慎监管局采取了类似的方法，但在其定义中包括了与任何个人群体相关的信息，扩展到仅与消费者或家庭相关的数据之外。

除了定义的各个角落之外，澳大利亚审慎监管局涵盖的数据范围还与明确和隐含的排除和豁免相冲突，这些排除和豁免将广泛类别的信息排除在法案的管辖范围之外。

“覆盖数据”的定义明确排除了“公开可用信息”，这一限制通常由美国各州立法机构实施，因为它们担心其全面的隐私法会受到第一修正案的保护。

然而，随着生成性人工智能模型的爆炸性激增，围绕公开信息的讨论有了新的生命，其中许多模型都是根据其提供者认为公开的信息进行训练的。

联邦人工智能立法的支持者呼吁将隐私立法作为人工智能监管的先导，因此澳大利亚审慎监管局中包含的框架可能会在随后关于培训模型是否以及如何利用公开信息的对话中产生巨大影响。

如上所述，澳大利亚审慎监管局限制了公开信息的排除，当数据“来源于公开信息，揭示了符合敏感覆盖数据定义的个人信息”，将从公开信息中获得的某些数据纳入其范围时。

根据美国最全面的州隐私法，澳大利亚审慎监管局涵盖的数据不包括“员工信息”。在这些州法律中，“员工信息“通常分为与就业相关的信息，例如与申请、解雇、付款或福利相关的信息和企业对企业员工信息，即用于尽职调查或B2B销售联系的商业信息。

在2023年取消就业和B2B豁免后，加州在不排除任何一种类型的员工信息方面仍然是独一无二的。

澳大利亚审慎监管局豁免了这两类信息，但与州法律和其前身《美国数据隐私和保护法》不同，它只对公开的“商业联系信息”或“在网站或在线服务上向所有公众提供的信息，包括员工的姓名、职位或头衔、商业电话号码、商业电子邮件地址或地址”提供了更窄的B2B豁免。

这种轻微的重新安排可能会对拥有B2B销售和营销部门的实体产生影响，因为它可能会对基于非公开信息和类似信息收集技术的勘探施加限制。

如果由豁免实体处理，即使是本应涵盖的数据也可能不在澳大利亚审慎监管局的范围内。覆盖豁免通常有两种形式：实体级或数据级。虽然确定这些豁免中的哪一项可以很简单，但它们各自的影响并不总是那么明确。

上述讨论都明确涉及涵盖数据定义中包含或排除的某些类型的数据，但实体级排除可能会产生类似的效果，尽管是间接的。澳大利亚审慎监管局下的“涵盖实体”的构成有待未来分析，但实体层面的排除最终会在由某个实体处理时将数据从澳大利亚审慎监管机构的范围中分割出来。

正如美国各州法律普遍适用的那样，澳大利亚审慎监管局草案包括对政府实体及其服务提供商的实体级豁免。这将从澳大利亚审慎监管局的范围中删除大量数据，只要这些实体收集、处理、保留或传输这些数据。

澳大利亚审慎监管局的小企业除外条款——免除了三年滚动平均总收入低于4000万美元、处理少于20万个人数据或不代理数据的企业——也有助于缩小其监管的数据范围。

它也将某些专注于欺诈的非营利组织和国家失踪和被剥削儿童中心排除在外。

澳大利亚审慎监管局草案可能会经过几轮审查，但早期分析揭示了该法案的深度及其与美国和世界其他国家的关键差异。IAPP将继续监测这些进展，并就可能成为美国历史上最关键的隐私立法提供见解和分析。