美国数据合规法律法规汇编

01

文件名称：《服务条款标签、设计和可读性法案》(the Terms-of-service Labeling, Design and Readability Act，简称“TDLR”)

提出时间：2022年1月13日

内容简介：

TLDR要求商业网站和移动应用创建简单易读的服务条款协议摘要。该法案将提高数据的在线透明度，确保消费者了解他们的个人数据是如何被收集和使用的。该法案要求服务条款摘要包括以下内容，从而给予消费者服务透明度：（1）所收集的消费者信息的种类；（2）所收集的数据是否为公司向消费者提供服务所必需的；（3）消费者数据如何与第三方共享的图表；（4）消费者是否可以删除其数据以及如何删除的说明；（5）使用服务的消费者的法律责任，包括对服务内容的权利、强制仲裁和放弃集体诉讼的权利；（6）过去三年内已报告的数据泄露事件清单。

02

文件名称：《保护美国人的数据免受外国监视法案》（草案）（Protecting Americans’ Data from Foreign Surveillance Act）

发布时间：2021年4月15日

内容简介：

该草案以《2018年外国投资风险评估现代化法案》为基础，旨在规制将美国人的敏感个人信息输出到潜在敌对国家的行为。该法案提出了多项由商务部主导的措施，包括建立一套跨部门识别程序，以识别由第三方出口的个人数据是否会损害美国国家安全；编制数据出口安全国家清单并对数据的批量出口施 加许可要求；确保该出口规则不适用于受宪法保护的新闻业或相关言论；对其下属涉及非法出 口个人数据的高级管理人员适用出口管制处罚；要求商务部公布个人数据出口的季度报告等措施。

03

文件名称：《信息透明度和个人数据控制法案》（提案）(The Information Transparency and Personal Data Control Act，简称“ITPDCA”)

提出时间：2021年3月

内容简介：

ITPDCA旨在为消费者个人信息保护设定一个统一的联邦标准，并在国际上形成示范效应，推动全球个人信息保护制度的完善。若ITPDCA正式颁布，其将取代美国所有州的个人信息保护相关立法，以一个单一的全国性个人信息保护监管系统取代目前针对特定辖区的分散监管，但不会取代美国各州的数据泄露通知、窃听或生物识别信息保护相关的法律。ITPDCA将联邦个人信息保护执法权力集中于联邦贸易委员会（FTC），赋予州总检察长代表该州居民对涉嫌违反ITPDCA行为提起诉讼的权力，但存在多项限制条件。

与GDPR相同，ITPDCA对个人数据控制者和个人数据处理者进行了区分，以确保个人数据控制者对与其共享信息的任何第三方所采取的个人信息处理活动负责。然而，相较GDPR，ITPDCA对于个人信息控制者等主体而言相对更友好。

04

文件名称：《国家生物识别信息隐私法》（提案）(National Biometric Information Privacy Act)

提出时间：2020年8月

内容简介：

该法案于2020年8月提交国会，若审议通过有可能成为联邦法律。该法案以伊利诺伊州的生物识别信息隐私（BIPA）为蓝本，包含三个关键条款。要求在收集和披露个人生物识别符和信息之前，必须获得个人的同意。对违反该法保护的实体的私人诉讼权，使受侵害的个人有权追回，除其他外，1000美元的违约赔偿金或实际赔偿金，以较大者为准，因为他们疏忽地违反了该法所赋予的保护。有义务以类似于组织保护其他机密和敏感信息(如社会安全号码)的方式保护生物特征识别器或生物特征信息。该法将适用于"私人实体"，一般包括拥有任何个人的生物识别符或生物识别信息的任何规模的企业。联邦、州和地方政府机构和学术机构不在该法的适用范围内。

05

文件名称：《病毒接触通知隐私法》（提案）（ENPA）

提出时间：2020年6月1日

内容简介：

ENPA仅适用于“自动通知病毒接触风险的服务”所收集的数据，该服务被定义为一种“以数字化方式自动通知可能已感染传染病的个人”的工具。收集、处理和传输的与个人有关的数据，以及有理由认为与个人相关的数据，均将作为自动化病毒接触通知服务的一部分而受到ENPA的保护。ENPA的适用对象涵盖了受联邦贸易委员会（FTC）监管的主体、1934年《通信法》所定义的公共承运人、非营利组织，排除了代表其他对象传输或处理数据，但本身不收集数据的服务提供商。

06

文件名称：《公共卫生紧急情况隐私法》（提案）（PHEPA）

提出时间：2020年5月14日

内容简介：

PHEPA规制的对象比较广泛，包括政府机构，但不包括医疗保健提供者、公共卫生部门、服务提供者以及以个人或家庭身份行事的人。同时，该法案要求相关机构在收集、使用、披露相关信息之前要取得用户的明示同意，为用户提供撤销同意选项，在公共卫生紧急情况结束后及时删除相关数据。在监管方式方面，法案要求相关机构就收集数据的数量、范围、类别、用途等信息定期向社会公众提交透明度报告。在效力范围上，明确规定法案不会优先于或取代任何州法律。

07

文件名称：《COVID-19消费者数据保护法案》（提案）（CCDPA）

提出时间：2020年5月7日

内容简介：

CCDPA的适用对象涵盖了受联邦贸易委员会（FTC）监管的主体、1934年《通信法》所定义的公共承运人、非营利组织，排除了代表其他对象传输或处理数据，但本身不收集数据的服务提供商。CCDPA规制的数据范围包括：“精确的地理位置数据、距离数据、永久性标识符”（可用于在任何时间识别用户身份的信息），“以及个人健康信息”。同时，排除了某些类型的数据，例如无法识别特定个人身份的汇总数据。对于被允许进入法案所规制对象的实际经营场所之人（包括雇员、供应商和访客）的信息，并不在CCDPA的保护范围内。此外，还规定了各义务主体应当承担的义务，例如不得出于法案规定以外的任何目的披露或转让个人数据、在收集个人数据之前获得个人的明确同意、赋予个人数据删除权等。在效力范围上，不同于PHEPA，CCDPA将禁止各州通过或强制执行“任何有关法案所涉数据使用”相关的法律。

08

文件名称：《数据保护法案》（提案）(Data Care Act)

提出时间：2019年12月3日

内容简介：

该法案旨在保护用户个人信息，并要求大型科技公司、网站、应用程序和其他在线提供商采取合理措施保护个人信息并防止用户数据滥用。如果该法案获得通过，它将是第一个在联邦政府层面解决美国隐私问题的法案。法案主要包括以下几方面内容：一是法案明确个人信息的范围，包括个人社保账号，驾照，护照或军事身份证号码，金融帐号、信用卡或借记卡号码，以及为进入该金融帐号所必需的密码，唯一性的生物特征数据，包括指纹、声音、视网膜图像或其他独特的物理表征，账户信息、个人姓名等一系列信息。二是法案明确了在线提供商应承担的责任和义务，包括保护责任，在线提供商需要保护用户数据免遭未经授权的访问；忠诚度责任，要求在线提供商不得以最终对用户造成损害的方式使用个人数据；保密责任，要求在线提供商将职责扩展到与其共享用户数据的任何第三方。三是法案指定联邦贸易委员会作为该法案的规则制定机构。

09

文件名称：《国家安全和个人数据保护法案2019》（提案）（National Security and Personal Data Protection Act of 2019，简称“NSPDPA”）

提出时间：2019年11月18日

内容简介：

《法案》以保护美国国家安全的名义阻止美国数据流入中国及相关国家。《法案》明确提出，“通过实施数据安全要求，加强对外国投资审查及其他目的，保护美国人民的数据从而避免外国政府对国家安全构成侵害。”首先，《法案》主要适用于相关“科技企业”对“特别关注国家”的数据跨境传输和存储行为。同时，《法案》对于运营或影响洲际/跨境贸易、提供网站或互联网应用程序等以数据为基础服务的企业（包括特别关注企业和非特别关注企业）均提出了严格的数据出境限制要求，禁止向特别关注国家传输用户数据以及破译相关用户数据所需的密钥数据（包括间接通过第三方非特别关注国家传输），仅设置两种例外允许情形。其次，《法案》根据企业类型提出差异化数据存储位置限制要求。再次，《法案》对于根据我国和俄罗斯等特别关注国家法律成立的实体（特别关注企业）的数据收集范围和使用目的提出明确限制。

10

01

文件名称：《科罗拉多州隐私法案》(Colorado Privacy Act)

生效时间：2023年7月1日

效力范围：科罗拉多州

内容简介：

《科罗拉多州隐私法案》的内容要点包括：一是适用范围，法案设置了适用“门槛”，适用于每年收集和存储超过100,000名消费者数据或从超过25,000名消费者数据中赚取收入的企业，不适用于受《格拉姆-里奇-布莱利法案》(Gram- Leach-Bliley Act，GLBA法案）监管的部分金融机构及高等学校。二是消费者权利，明确了消费者享有访问权、纠正权、删除权、数据可携带权、选择退出权和申诉权等权利。三是数据处理者的义务，主要包括透明性义务、目的告知义务、数据最小化义务、避免数据二次使用义务、数据防护义务、避免非法歧视义务、敏感数据处理义务、数据保护评估义务、数据处理合同约束等。四是法案执行，规定由州总检察长和22名州检察官进行执法，虽然没有明确具体罚则，但违反《消费者权益保护法》的行为受该法案管辖，由此可以判定，针对违法企业单次罚款最高可达20,000美元。

02

文件名称：《弗吉尼亚州消费者数据保护法案》（VCDPA）

生效时间：2023年1月1日

效力范围：弗吉尼亚州

内容简介：

法案将适用于“在弗吉尼亚州开展业务或向弗吉尼亚州居民提供产品或服务的主体，并且控制或处理至少10万名弗吉尼亚人数据的企业，或者那些总收入的50%来自个人数据销售的企业，以及控制或处理至少2.5万名消费者的个人数据的企业。法案对“个人数据”“同意”“去识别的数据”“精确地理位置数据”“敏感数据”“假名数据”等名词进行了定义。同时，该法案规定了许多豁免情形：例如受《健康保险流通与责任法案》(HIPAA)管辖的实体和商业伙伴，非营利组织，高等教育机构以及受联邦《金融服务现代化法》约束的金融机构。此外，区分控制者和处理者，在控制者和处理者之间施加合同规范，为消费者提供权利，提供有关数据实践的透明性，进行风险评估。

03

05

文件名称：《身份盗窃保护与缓解服务法》(Identity Theft Protection and Mitigation Services Act)

生效时间：2019年9月23日

效力范围：纽约州

内容简介：

该法扩大了纽约数据泄露报告法所涵盖的个人信息类型，要求企业实施具体的数据安全保障措施；同时规定，只要受信贷报告机构监管的企业出现涉及社会安全号码的违规行为，它必须向任何受影响的人提供5年的身份盗窃预防与补救措施服务。这是所有州中规定的最长的监管时间。

06

文件名称：《学生在线个人信息保护法》（Student Online Personal Information Protection Act）

通过时间：2014年

效力范围：加利福尼亚州

内容简介：

该法案被誉为美国教育信息隐私法律改革的重要里程碑。该法案规定，禁止网站、在线服务、在线应用或移动应用的运营商，故意向学生或其父母/法定监护人实施有针对性的广告宣传。为了保护学生信息免遭未经授权的访问、破坏、使用、篡改或披露，该法还规定了针对所涵盖的信息，运营商应遵循的安全程序及其实施规则。

07

08

文件名称：《纽约州管制药物法》（New York State Controlled Substances Act）

效力范围：纽约州

内容简介：

该法案要求医生在开具可能有害的处方药时必须填写一份正式的处方表格，包括医生姓名、配药房、药物名称、剂量以及患者姓名、地址和年龄等信息，表格的副本将被送往纽约州医疗部门，进行统一的电子化存储，期限为五年。然而，政府强制性报告和存储要求，是否侵犯了病人的隐私权存在极大的争议。在Whalen v. Roe案中，地区法院判定该法案违宪，不得实施，纽约州医疗局不服并随即上诉。最高法院认为，地区法院的裁判依据不够充分，议会有权制定管制药物滥用的法律。虽然该案最终并没有判定纽约州的法律违宪，但该案细分隐私权的范围，也为后续信息隐私的宪法保护奠定基础。

09

01

文件名称：《澄清海外合法使用数据法案》（Clarifying Lawful Overseas Use of Data Act，简称“Cloud Act”）

生效时间：2018年3月23日

效力范围：联邦

内容简介：

Cloud Act是一项可跨境调取公民海外信息的法律。该法案规定美国联邦执法部门将有权获取美国公民在境外计算机上的电子邮件及其他个人信息，无论这些个人信息是否存储在美国境内，只要该网络服务商拥有或监控着这些信息，均需要按照Cloud Act的要求保存、备份、披露。虽然法案要求网络提供者履行提供境外数据的义务，但是也给出了司法协助义务的例外情形，即当同时满足下列条件时，服务提供者可以向法院申请撤销或者修正的动议。CLOUD法案在给予美国政府跨境调取数据证据的同时，也为与外国合格政府向美国企业请求司法协助做出了规定，在满足下列条件时，外国政府可以获取美国企业的相关数据。

02

文件名称：《电子邮件隐私法案》（Email Private Act, EPA）

通过时间：2017年2月

效力范围：联邦

内容简介：

       该法案更新了《1986年电子通信隐私法案》（ECPA），澄清和扩大执法的搜查令条例，以迫使服务提供商交付其服务器上的客户电子邮件或其他数据。根据《电子邮件隐私法案》，执法人员需要批准才能访问从服务提供商那里获取客户的电子通信数据。

03

文件名称：《反垃圾邮件法》（CAN -SPAM Act）

通过时间：2003年5月25日

效力范围：联邦

内容简介：

      立法规定了什么是“商业性电子邮件”，“交易性邮件或关系性邮件”，并对电子邮件的欺诈和相关行为做出了重新的定义。当然，也对电子邮箱用户提供了保护措施。该法案不仅使用户可以更加容易地将那些未经授权而闯进来的垃圾邮件拒之于门外，同时也赋予了网络服务商们(ISP)对抗垃圾邮件新的法律武器。

04

文件名称：《美国爱国者法案》（USA Patriot Act）

通过时间：2001年10月

效力范围：联邦

内容简介：

《美国爱国者法案》作出了涉及隐私保护的规定，以使得政府的调查和执法更为方便可行。这个法案以防止恐怖主义的目的扩张了美国警察机关的权限。根据法案的内容，警察机关有权搜索电话、电子邮件通讯、医疗、财务和其他种类的记录；减少对于美国本土外国情报单位的限制；扩张美国财政部长的权限以控制、管理金融方面的流通活动，特别是针对与外国人士或政治体有关的金融活动；并加强警察和移民管理单位对于居留、驱逐被怀疑与恐怖主义有关的外籍人士的权力。这个法案也延伸了恐怖主义的定义，包括国内恐怖主义，扩大了警察机关可管理的活动范围。

05

文件名称：《网上儿童隐私权保护法》(Children's Online Privacy Protection Act)

生效时间：2000年4月21日

效力范围：联邦

内容简介：

该法案要求网络从业者要确实告知其网站的隐私权政策，并且在收集13岁以下儿童个人信息前，必须首先获得其家长同意。根据这项法律，美国在线等著名网络服务提供商己将所有未满13岁的登录者的个人信息全部删除。以后，13岁以下的用户将使用一种处于美国在线家长监控系统监测之下的个人信息登记表，而且未成年用户在网上的活动也会受到一定的限制。

06

文件名称：《身份盗窃认定和威慑法案》(Identity Theft Assumption and Deterrence Act)

生效时间：1998年

效力范围：联邦

内容简介：

为应对日益增长的身份盗窃现象，1998年， 国会通过了《身份盗窃认定和威慑法案》，将身份盗窃列为一项联邦刑事罪名，并且可以判处罚金。

07

文件名称：通信协助执法法（Communication Assistance for Law Enforcement Act，简称“CALEA”）

生效时间：1995年1月1日

效力范围：联邦

内容简介：

CALEA的目的是增强执法和情报机构进行电子监听的能力。该法要求电信运营商和电信设备制造商修改并设计其设备，设施，及服务，以确保它们带有监听功能，以允许联邦机构对所有电话，宽带互联网，以及VoIP通信内容进行实时监听。在CALEA通过后的数年中，该法经历了大范围扩张，使其覆盖VoIP和宽带互联网通信内容。从2004年到2007年，在CALEA下进行的窃听行动数量增长了62%，而有关互联网数据（如email）的截获的增长则超过3000%。至2007年，联邦调查局已在其DCSNet系统上花费了3900万美元，该系统用于收集，存储，索引和分析通信数据。

08

文件名称：《电话消费者保护法》(Telephone Consumer Protection Act，简称“TCPA”)

通过时间：1991年

效力范围：联邦

内容简介：

美国国会于1991年通过了TCPA规定电话营销公司不得向消费者发送与商业营销、产品推广、服务广告有关的垃圾短信，本法是为回应二十世纪八十年代末的技术进步而制定的。用户只能在两种情况下接受此类手机短信：一是明确表示同意接收；二是这些短信用于紧急情况。TCPA通过后的25年时间里为适应时代发展需要，美国国会曾两次修改法律。然而，社交媒体网络通过联络用户来提高连通性的商业利益与旨在限制未经许可的联络的监管结构是相矛盾的，那么随着这些企业的发展，二者之间的矛盾就会引发一系列的集体诉讼，因此现有的TCPA的框架体系给现代科技公司留下了许多悬而未决问题，这使法律制定最初想要实现平衡消费者与企业利益的目标更加难以实现。    

09

文件名称：《电脑资料比对与隐私权保护法》 (the Computer Matching Privacy Protection Act of 1988)

生效时间：1988年

效力范围：联邦

内容简介：

 该法确认了个人信息计算机比对的合法，亦对其加以严格限制和规范：第一，政府机关之间应当签订正式的书面“比对协议”；第二，当比对的结果对个人不利时，政府机关在采取行动之前要确认比对结果的真实性；第三，政府机关要在《联邦通知》上公示正在实施的比对项目；第四，每个参与计算机比对项目的政府机关必须设立“数据整合委员会”负责该法案的实施。数据整合委员会的职责相当广泛，除评估比对协议的合法性外，还要评估比对项目的经济性，负责审批书面比对协议。

10

文件名称：《录像带隐私保护法》

生效时间：1988年

效力范围：联邦

内容简介：

该法旨在防止录像带出租和售卖记录的不当披露。1970年，《公平信用报告法》中认定使用数据的服务商只有征得消费者的统一才可以使用与其相关的数据。以此为前提下，《录像带隐私保护法》进一步规定服务商披露客户信息时需将允许的客户列入一个名单之中，客户有权拒绝加入这个名单，服务商的数据使用是要收费的。

11

文件名称：《电子通信隐私法》(Electronic Communications Privacy Act)

生效时间：1986年

效力范围：联邦

内容简介：

该法的制定旨在延伸原先在电话有线监听的相关管制（包含透过电脑的电子数据传递），从而保障个人通讯，即在没有法院的命令之下是不能实施政府之通讯监察，而第三方在没有合法的授权是不可去接取讯息（像从ISP等营运商中截取讯息）。但是关于雇员被雇主的设备监听通讯，却不会保障其隐私权。该法第一篇规范有线、口头与通讯在传输上的保障。其对于搜索的令状上的条件比其他状况更显严格；第二篇规范通讯上的电子储存之保障，尤其是强调储存在电脑上的讯息，然而其保障弱于第一篇，而且并未提高对于令状取得之标准；第三篇禁止监视记录器与/或追踪装置在未有搜索票下，去记录传递有线或电子通讯的过程中之通话、路由、定位、讯号资讯。

12

13

文件名称：《保护学生权利修正案》（Protection of Pupil Rights Amendment，简称“PPRA”）

生效时间：1978年

效力范围：联邦

内容简介：

该修正案是一项旨在保护美国教育部资助项目中学生和学生家长权利的法律。PPRA 采用以下两种方式保护家长和学生的数据权益：（1）如果该资助项目的教学材料被用于其子女参与的某些项目的调查、分析或评估，则学校及其供应商应提供这些教学材料供家长们检查；（2）如果未成年学生参加某些特定的教育部资助项目的调查、分析或评估，则学校及其供应商必须事先获得家长的书面同意。

14

16

文件名称：《信息自由法》(Freedom of Information Act)

生效时间：1967年7月6日

效力范围：联邦

内容简介：

《信息自由法》确保了公众对政府信息的获取权，对于政府机构应当公开而没有公开的信息，以及政府机构拒绝公众的请求而不公开的信息，公众有权向法院提起诉讼。其次，该法强调信息的自由传播，规定了公民获取政府信息的办法和公众可以查询的信息。政府部门不得以任何方式强迫任何人服从应该公布而没有公布在《联邦登记》上的文件，也不应使其受此种文件的不利影响，除非他实际上已经及时地得知该文件的内容。此外，明确规定了九项豁免条款，旨在保护特殊种类的信息，同时确立了“可分割性”原则，即信息中可以合理分离的任何部分，在删除根据豁免条款应予保密的部分之后，应当提供给请求获取该信息的任何人。

17

文件名称：《联邦贸易委员会法》（Federal Trade Commission Act）

生效时间：1914年

效力范围：联邦

内容简介：

联邦贸易委员会法案的第5部分对从事大数据分析的企业形成了一定的约束。如果企业的大数据实践可能会导致对消费者的伤害（只要这种伤 害并非不可避免，或总体来说对消费者弊大于利），则就会被认定为违规。企业不能违背在信息共享方面对用户的承诺，同时必须确保所披露的信息是客观真实的。 将大数据分析用于形成征信、雇佣、承保、租房、社会福利等方面的企业，必须审查自己是否遵守了《联邦贸易委员会法案》的隐私和公平类条款。另一方面，从外部引入数据或技术用于上述领域的企业同样需要注意遵守《联邦贸易委员会法案》。

01

文件名称：《综合最终规则》（Omnibus Final Rule）

生效时间：2013年

效力范围：联邦

内容简介：

2013年，美国健康与公共服务部发布了《综合最终规则》（Omnibus Final Rule）。对HITECH的安全规则与违规通知制度进行了部分修改，包括将覆盖实体（covered entities）范围扩大到商业伙伴（business associates），将数据保护时间从“无期限”改为“死后五十年”等。

02

文件名称：《健康信息技术促进经济和临床健康法案》(The Health Information Technology for Economic and Clinical Health Act，简称“HITECH”)

生效时间：2009年

效力范围：联邦

内容简介：

这项法案旨在推动电子病历的有效应用，而不仅仅是病理电子化技术本身。有效应用包括几个主要方面，比如电子处方，电子化的信息传送等。其中影响电子病历行业最关键的一点是，此法案规定医院或诊所必须为病人提供一个平台，以便他们查询自己的健康档案或数据。该法案作为《医疗保险可携带性与责任法案》的增强版本，进一步加强了《医疗保险可携带性与责任法案》的隐私规则（比如违规的高额处罚），并提出了违规通知制度。违规通知制度要求，如果涵盖实体所持有的受保护的健康信息，存在安全漏洞或处于类似的不安全的状况，必须及时通知个人，通知最迟不得超过危险发生的60天。

03

文件名称：《医疗保险可携带性与责任法案》（Health Insurance Portability and Accountability Act，简称“HIPAA”）

生效时间：1996年

效力范围：联邦

内容简介：

《健康保险可携性和责任法案》要求建立国家标准，以保护敏感的病人健康信息在未经病人同意或知情的情况下被披露。该法案对如何访问、更新和保护电子医疗记录提出了具体要求《健康保险便携性和责任法案》也确保了更多的患者隐私根据规定，只有病人才有权查阅自己的医疗记录，保险公司、医生办公室和其他保存医疗记录的机构都必须采取严格措施，确保信息不被未经授权的访问。这包括任命个人负责安全，限制访问医疗记录，并及时报告任何安全漏洞。此外，还制定了医疗记录电子存储的具体规定，规定采取计算机安全措施，并严格限制授权人员访问存储有医疗记录的计算机。

01

文件名称：《金融消费者保护法》（Consumer Financial Protection Act）

生效时间：2010年7月21日

效力范围：联邦

内容简介：

该法案旨在对与消费者金融产品或者服务有关的不公平、欺骗或者滥用行为进行规定。美国《消费者金融保护法》没有采用“金融消费者”这一术语，它定义了“消费者”和“消费者金融产品或服务”两个术语。美国《消费者金融保护法》通过对消费者金融保护署监管对象的范围进行确定，来进一步明确监管对象的范围。通过对什么是“金融产品或服务”作了列举式规定，允许后者对消费者有“重大影响”或目的在于规避该法律的金融产品或服务进行认定，把这些产品列人监管的范围，但也留给消费者金融保护署空间。

02

文件名称：《公平和准确的信用交易法》(Fair and Accurate Credit Transactions Act，简称“FACTA”)

生效时间：2003年

效力范围：联邦

内容简介：

该法部分修订了《公平信用报告法》，以管理信用报告机构，保护公民的金融隐私。同时，这一规定确保了信用信息在美国境内的自由流动，防止州政府制定标准更严格的金融隐私保护措施，而导致征信机构、信息的提供者与使用者适用不同的标准，最后阻碍信用信息的有效供给。

03

文件名称：《金融服务现代化法案》（Financial Services Modernization Act）

生效时间：1999年

效力范围：联邦

内容简介：

《金融服务现代化法案》允许金融机构共享每个附属机构拥有的“非公开个人信息”，个人无法阻止这种信息共享。如果金融机构与非附属机构的第三方分享个人的金融信息，那么金融机构需要提供个人选择退出的权利。由于此种信息分享存在着隐私担忧，该法案也为个人的隐私设置了保护条款。首先，金融机构不能为了直接的营销目的，而透露个人的银行账号或信用卡号码，但向信用报告机构透露除外。其次，该法案要求金融机构将其隐私政策告知个人。再次，该法案要求联邦贸易委员会等机构建立安全规则。

04

文件名称：《金融隐私权法案》(Right to Financial Privacy Act)

生效时间：1978年

效力范围：联邦

内容简介：

在1976年的United States v. Miller案中，美国最高法院认为个人在银行记录中缺乏隐私的合理期待，因为它们仅包含自愿传达给银行的信息，并且在银行日常工作中被暴露给员工。为了更好地保护金融机构持有的个人数据，消除Miller案的不良影响，国会于1978年通过了《金融隐私权法案》（Right to Financial Privacy Act，简称RFPA）。法案规定，未经个人同意，银行和其他金融机构不得向政府披露个人的金融信息，除非政府获得传票或搜查令的许可。但2001年的《爱国者法案》（USA Patriot Act）修订了该法案，要求银行和其他金融机构向调查恐怖主义的机构披露相关金融信息。

05

文件名称：《联邦证券法》（Federal Securities Act）

生效时间：1933年5月27日

效力范围：联邦

内容简介：

       该法没有直接对数据保护进行规定，但是对公司的数据安全保护措施和泄露报告义务进行了规定，即要求公司应采取防止数据泄露的控制措施，在发生数据泄漏时及时向证券交易委员会披露相关情况。