BR 隐私和安全下载：2025 年 3 月

快速阅读: 据《JD Supra》称，弗吉尼亚州通过了《高风险人工智能开发者和部署者法案》，要求开发者防止算法歧视并提供详细文档，部署者需实施风险管理政策。康涅狄格州也提出了类似的人工智能法案。纽约州长签署了多项法案，涉及社交媒体平台和约会应用的合规义务。此外，NetChoice起诉马里兰州的适合年龄设计代码法案违反第一修正案。Kochava公司与集体诉讼达成和解，并受到FTC指控违反数据做法。

欢迎阅读本月的《BR隐私与安全下载》——这是Blank Rome隐私、安全和数据保护业务的电子通讯。州及地方法律与法规弗吉尼亚州立法机构通过了规范高风险人工智能的法案：弗吉尼亚州立法机构通过了HB 2094号法案，即《高风险人工智能开发者和部署者法案》（以下简称“该法案”）。该法案采用了类似于2023年科罗拉多州通过的人工智能法案以及加利福尼亚州提出的自动化决策技术法规的方法。该法案将“高风险人工智能系统”定义为那些做出具有重大法律或类似重要影响的决定的人工智能系统，这些决定会影响消费者的住房、医疗保健服务、金融服务、就业机会和教育等获取。该法案要求开发者采取合理措施防止算法歧视，并提供关于人工智能系统用途、限制和风险管理措施的详细文档。人工智能系统的部署者必须实施风险管理政策，在部署高风险人工智能系统前进行影响评估，向消费者披露人工智能系统的使用情况，并提供更正和申诉的机会。该法案目前提交给了弗吉尼亚州州长格伦·杨金，但尚不清楚他是否会签署该法案。康涅狄格州引入了人工智能法案：在去年康涅狄格州众议院的努力未能通过人工智能立法后，另一项人工智能法案于今年2月在康涅狄格州参议院提出。SB-2号法案将建立针对开发、集成和部署高风险人工智能系统的监管规定，旨在防止算法歧视并促进透明度和问责制。SB-2号法案特别监管高风险人工智能系统，这些系统做出影响就业、教育和医疗等领域的重要决定。该法案包括与2024年考虑的康涅狄格州人工智能法案类似的条款，要求开发者采取合理措施防止算法歧视，并提供关于人工智能系统用途、限制和风险管理措施的详细文档。高风险人工智能系统的部署者必须实施风险管理政策，在部署高风险人工智能系统前进行影响评估，向消费者披露人工智能系统的使用情况，并提供申诉和更正的机会。纽约州长凯西·霍楚尔签署了一系列扩展社交媒体平台、使用社交媒体平台的债务催收者以及约会应用程序合规义务的法案。第895B号参议院法案——自生效之日起180天内——要求在纽约运营的社交媒体平台发布服务条款，说明用户如何标记他们认为违反平台条款的内容。第5703B号参议院法案——立即生效——禁止使用社交媒体平台进行债务催收。第2376B号参议院法案——自生效之日起90天内——扩大了纽约州身份盗用保护法的范围，包括医疗信息和健康保险信息的盗窃。最后，第1759B号参议院法案——自生效之日起60天内——要求在线约会服务通知被已因使用虚假身份而被禁的成员联系过的个人，提供特定信息帮助用户防止欺诈。值得注意的是，《纽约健康信息隐私法案》，该法案将显著扩大可能通过其网站收集广泛定义的“健康信息”的企业义务，尚未签署。联邦法律与法规众议院能源和商业委员会主席（“委员会”）布雷特·古斯里，和副主席约翰·乔伊斯博士，宣布成立了工作组来探讨全面的数据隐私立法。该工作组完全由共和党成员组成，是本届国会新会期中关于全面数据隐私立法的第一项行动。儿童远离社交媒体法案推进至参议院审议：参议院商务委员会推进了《儿童远离社交媒体法案》。该法案禁止社交媒体平台允许13岁以下的儿童创建账户，禁止平台对17岁以下的青少年算法推荐内容，并要求学校在其网络上限制社交媒体的使用作为获得某些资助的前提。该法案受到了数字权利团体的强烈反对，包括电子前沿基金会和美国公民自由联盟，他们声称该法案将违反第一修正案。商业团体认为，拟议规则给医疗行业带来了巨大的财政负担，包括农村医院，这将使它们无法关注其他关键领域。商业团体还指出，拟议规则与公共法116-321相矛盾，该法律明确规定HHS在执行HIPAA安全规则时应考虑受监管实体采用认可的安全实践，但拟议规则并未解决或纳入这一法律要求。国家人工智能顾问委员会采纳了10项人工智能优先事项：国家人工智能顾问委员会（“NAIC”），根据2020年《国家人工智能计划法案》设立，已向拜登政府提交了一份包含10项建议的草案报告，以解决人工智能政策问题。这些建议涵盖了就业中的人工智能、人工智能意识和素养以及教育、科学、健康、政府和执法领域的人工智能，还包括支持小企业发展的建议，以及促进有利于美国人的AI治理和创新的建议。消费者金融保护局代理局长指示机构员工暂停工作并禁止开展任何工作：消费者金融保护局（“CFPB”）代理局长罗素·沃赫特指示机构员工“暂停”工作并禁止开展任何工作。对CFPB员工的这一指示是在暂停监管活动和停止CFPB规则制定之后发出的。沃赫特还暂停了CFPB的监督和检查活动。这一冻结将影响CFPB关于数字支付应用监管的规定，以及赋予金融机构客户数据可携带权的CFPB隐私条例。华盛顿州首例《我的健康我的数据法》诉讼案件提起：亚马逊正面临一起集体诉讼，指控其违反了华盛顿州的《我的健康我的数据法》（“MHMDA”），以及联邦窃听法和州隐私法。这是依据MHMDA的私人诉讼权提起的第一起诉讼，主要针对嵌入第三方移动应用中的亚马逊软件开发工具包（SDK）。原告的诉状指控亚马逊未经用户同意收集用户位置数据用于定向广告。诉状还指控SDK收集带有时间戳的位置数据、移动广告标识符以及其他可能泄露敏感健康信息的数据。根据诉讼，这些数据可能在用户不知情的情况下揭示用户的健康状况，例如访问医疗机构或健康行为的情况。该诉讼寻求禁令救济、损害赔偿和与涉嫌非法行为相关的利润追缴。这一裁决可能会明确法院如何广泛解释MHMDA下的“消费者健康数据”概念。NetChoice向马里兰州联邦法院提起诉讼，指控马里兰州的适合年龄设计代码法案违反了第一修正案。该法案于2024年5月签署并生效。它要求可能被18岁以下儿童访问的在线服务提供增强的安全保障，并限制从未成年人处收集数据。在诉状中，NetChoice声称该法案不会显著提升在线安全，并且会给在线平台带来“不可能的选择”，即要么主动审查受宪法保护的言论类别，要么实施侵犯隐私的年龄验证系统，从而造成严重的网络安全风险。NetChoice一直在全国范围内挑战类似的法规，包括在加利福尼亚州成功延迟实施同名的加州适合年龄设计代码法案。Kochava公司（“科赫瓦”），一家移动应用分析提供商和数据经纪商，已经就集体诉讼达成和解，这些诉讼指控科赫瓦收集并出售源自移动应用的精确地理位置数据。和解协议要求科赫瓦向首席原告和律师支付最高17,500美元的赔偿金，以及最高150万美元的律师费用。作为对其隐私做法的其他变更之一，和解协议要求科赫瓦实施一项功能，旨在阻止与医疗设施、学校、监狱和其他敏感场所相关的原始位置数据的共享或使用。与此相关，爱达荷州地区法院的B.林恩·温米尔法官拒绝了科赫瓦驳回联邦贸易委员会（“FTC”）提起的诉讼的动议，该诉讼指控科赫瓦违反了FTC法案第5条。FTC声称，科赫瓦的数据做法不公平且具有欺骗性，因为它通过其移动广告标识符系统（“MAIDs”）向客户提供客户的“全方位视角”的行为信息，而这些信息是在没有消费者知情或同意的情况下提供的。在驳回科赫瓦动议的命令中，温米尔法官拒绝了科赫瓦关于FTC法案第5条仅限于物质伤害的观点，并写道“FTC合理地指控了科赫瓦的做法在FTC法案下是不公平的”。对Warby Parker处以150万美元的民事罚款，原因是违反了《健康保险可携带性和责任法案》（HIPAA）的安全规定。该处罚是因为一起未经授权访问客户账户的网络攻击事件，影响了近20万人。OCR的调查源于2018年的安全事件。在2018年9月25日至2018年11月30日期间，第三方利用从其他网站泄露的用户名和密码访问了客户账户，这种行为被称为“凭证填充”。泄露的数据包括姓名、地址、电子邮件地址、支付卡信息和眼镜处方。OCR发现Warby Parker未能进行准确的风险评估，没有实施足够的安全措施，并且没有定期检查信息系统活动。寻求对佛罗里达州的数据经纪公司National Public Data处以46,000美元的罚款，原因是该公司涉嫌未按规定注册并支付年度费用，违反了加利福尼亚删除法案。删除法案要求数据经纪公司注册并支付年度费用，以资助加利福尼亚数据经纪注册机构。这一行动是在2024年发生的一起数据泄露事件后采取的，据报道National Public Data曝光了29亿条记录，包括姓名和社会安全号码。这是CPPA针对数据经纪公司采取的第六次执法行动，前五次均已达成和解。

(以上内容均由Ai生成)