2026年4月22日,美国众议院共和党议员正式提出《SECURE数据法案》,旨在建立一套统一的联邦隐私标准,终结当前加州、弗吉尼亚州、科罗拉多州等各州法律“各自为政”的复杂局面。对于在美运营的中企而言,这既是“减负”的机遇,也是“换规”的挑战——统一的规则意味着合规成本的可预期性,但新标准本身也意味着新的合规义务。
美国是中国企业出海的重要目的地。从跨境电商到SaaS服务,从智能制造到金融科技,大量中企在美国市场深耕布局。此次立法如果通过,将彻底改变美国的数据隐私法律版图。
PART 01
立法背景
从“州法拼图”到“联邦统一标准”
PART 02
核心机制
统一的联邦标准优先于州法
PART 03
消费者新权利
与GDPR对标
PART 04
适用范围
门槛与豁免
PART 05
执法机制
仅有公共执法,无私人诉讼权
PART 06
数据经纪人注册制度
PART 07
关键争议与立法前景
PART 08
结语
目前,美国已有19个州颁布了全面的数据隐私法,从加州的CCPA/CPRA到弗吉尼亚州的VCDPA,再到科罗拉多、康涅狄格、犹他等州,各州法律在适用范围、消费者权利、执法机制等方面差异显著,给跨州运营的企业带来了沉重的合规负担。
《SECURE数据法案》正是在这一背景下应运而生。法案全称为“Securing and Establishing Consumer Uniform Rights and Enforcement over Data Act”(《通过数据建立和保障消费者统一权利与执法法案》),由众议员John Joyce(宾夕法尼亚州共和党)牵头提出,得到了众议院能源和商业委员会主席Brett Guthrie(肯塔基州共和党)以及该委员会下属通信与技术小组委员会多位成员的支持。
值得注意的是,该法案与《GUARD金融数据法案》配套推出,后者专注于金融数据保护,由金融服务委员会主席French Hill牵头,旨在更新《格雷姆-里奇-比利雷法》
法律条文参考
SECURE Data Act第2条(定义);第3条(优先权);第4条(消费者权利);第5条(敏感数据);第6条(数据经纪人注册);第7条(FTC执法)
这是法案最核心、最具争议性的条款。
“抢占”条款
法案明确规定,其规定将优先于(即“抢占”)各州所有“与之相关”的隐私法律。这意味着,一旦法案生效,加州CCPA、弗吉尼亚州VCDPA等各州法律中与联邦标准重叠或冲突的部分将被取代,企业只需遵守一套统一的联邦规则。
保留的州法领域
法案并非抢占所有州法,以下领域仍保留州法管辖:
消费者保护领域的一般性欺诈或欺骗行为
数据安全与泄露通知法
涉及隐私或数据安全的刑法
对中企的影响
目前,许多在美运营的中企将加州等严格州的隐私标准作为全美合规的“最高基准”。联邦统一标准出台后,合规要求可能在某些领域降低(如不再需要提供“选择退出”前的通知),但也可能在其他领域提高(如敏感数据同意的具体要求)。
法案赋予消费者以下核心权利:
1. 访问权:消费者有权确认企业是否处理其个人数据,并要求获取数据副本。
2. 更正权:消费者有权要求企业更正不准确的个人数据。
3. 删除权:消费者有权要求企业删除其个人数据。
4. 选择退出权:消费者有权选择退出:
向第三方出售其个人数据
用于目标广告的数据处理
用于数据画像的数据处理
敏感数据的特殊保护
处理敏感数据(包括政府标识号、健康信息、精确地理位置信息、遗传数据、生物特征信息、以及16岁以下儿童的数据)需获得消费者的明确同意。
对中企的影响
这些权利与近年各州隐私法类似,在美运营的中企应有基础。但需注意,法案对“出售”和“目标广告”的定义可能与企业现有理解存在差异,需重新审视数据处理活动。
适用门槛
法案主要适用于数据控制者,条件为:
年处理超过20万人的个人数据
且年收入超过2500万美元
或半数以上收入来自出售个人数据的企业
明确豁免的实体
非营利组织、高等教育机构
受《健康保险可携性与责任法案》管辖的实体(健康信息)
受《格雷姆-里奇-比利雷法》管辖的金融机构(金融数据)
政府机构
对中企的影响
许多在美中企(尤其是初创公司和中等规模企业)可能因未达到20万人或2500万美元门槛而被豁免。但对于大型企业、电商平台、数据中间商,则需要严格遵守。
这是法案最具争议性的设计之一。
执法主体
联邦贸易委员会:主要联邦执法机构
州总检察长:可代表本州居民提起诉讼
无私人诉讼权
法案不包含私人诉讼权,即个人不能因企业违规而直接提起诉讼,只能向FTC或州总检察长投诉,由监管机构决定是否采取行动。
例外情形
个人仍可就违反数据安全实践提起诉讼(该权利来源于联邦贸易委员会法)。
对中企的影响
对于担心“诉讼风险”的企业而言,无私人诉讼权是重大利好,可显著降低集体诉讼风险(如加州的CCPA)。但FTC和州总检察长的执法行动可能带来更高的罚款和更严格的禁令。
法案要求数据经纪人向FTC注册,并纳入公开注册表。
适用范围
主要业务为收集和出售非关联第三方个人数据的企业
注册要求
向FTC注册
在FTC维护的公共注册表中列出
未注册可能面临罚款
对中企的影响
从事数据交易或广告技术服务的中企,需重新评估是否构成“数据经纪人”,并及时完成注册。
支持者的观点
统一的联邦标准终结各州法律的“拼凑”局面,降低合规成本
为企业提供“一站式”合规
无私人诉讼权避免“诉讼瘟疫”
反对者的观点
优先权条款过于宽泛,削弱了各州保护消费者的能力
无私人诉讼权使法律“没有牙齿”
门槛过高,豁免了太多小企业
立法前景
该法案由共和党主导提出,与近年来民主党主导的《美国隐私权法案》存在明显差异
在国会面临激烈博弈,核心争议点在于“优先权”范围和“私人诉讼权”
2028年是大选年,立法窗口期有限
对中企的影响
无论法案是否通过,联邦隐私立法趋势不可逆转,建议持续关注
参考法案核心要求,提前优化数据处理实践
对数据资产进行“联邦标准”合规差距分析
结 语
《SECURE数据法案》目前尚处于立法提案阶段,距离成为法律还有漫长的博弈过程。但无论最终版本如何,美国走向联邦统一隐私标准的趋势已经不可逆转。
对于在美运营的中企,现在是审视现有隐私合规框架的最佳时机:提前进行差异分析、优化数据处理实践,将帮助您在未来的合规变局中占据主动。
如需获取《SECURE数据法案》最新立法动态,或需要针对美国隐私合规体系进行综合诊断,欢迎后台私信我们。
#出海 #美国 #出海美国 #跨境许可 #美国投资 #合规 #涉外法律 #跨境合规 #中国企业出海 #海外投资 #海外市场 #海外劳动法 #DeepSeek #环球法律动态 #出海交流社群 #合规法律咨询 #投资指南 #跨境贸易法律服务 #涉外法律交流群 #中企出海 #劳动法 #工会 #出海企业工会 #数据隐私
[参考链接]
1. 美国众议院能源与商业委员会 – 法案新闻稿:https://energycommerce.house.gov/posts/committees-on-energy-and-commerce-and-financial-services-introduce-pair-of-privacy-bills-to-establish-comprehensive-data-protections-for-all-americans
2. 美国众议院金融服务委员会 – GUARD金融数据法案新闻稿:https://financialservices.house.gov/news/documentsingle.aspx?DocumentID=411100
[免责声明]
本文所载信息(包括但不限于法律法规解读、数据、应对建议等)仅供一般性参考,不构成法律、税务、贸易或任何其他专业领域的建议。使用者应自行核实信息来源的准确性和及时效性。我方不对因依赖本文内容而导致的任何直接或间接损失承担责任。相关政策及法规可能随时变动,请以各国政府及监管机构最新官方文件为准。
往期精选
精选合集
关于我们
LAW PURPOSE
律意是一家创新型综合性跨境法律服务平台。
基于创始团队在法律大数据及法律服务行业近20年的经验,拥有覆盖全球157个国家和地区的资深律师网络及各行业法律专家资源,已经为数十家跨境制造与消费类企业节约了50%的时间与经济成本。致力于为企业出海提供专业、完善、便捷的一站式法律服务。
联系/关注我们
小管家微信
小红书
知乎
播客
电话:+86 021 31200806
邮箱:inquiry@lawpurpose.com
地址:上海市静安区愚园路108号7楼728
