美國在聯邦層級欠缺通用型個人資料保護法,消費者隱私的保護主要依賴各州各行各業零散堆疊的法規,從加州消費者隱私法(CCPA)到伊利諾州生物辨識資訊隱私法(BIPA),長期以來被批評為是碎片化監理。美國眾議院共和黨籍議員提出《保障消費者數據統一權利與執行法案》(Securing and Establishing Consumer Uniform Rights and Enforcement over Data Act,簡稱 SECURE 資料法),正是在這樣的背景下被提出,試圖在聯邦層級建立最低一致標準,同時以聯邦法優先適用(preemption)的方式,一次性處理各州立法的分歧。對於以美國市場為主要目標的台灣企業而言,無論是布局科技、金融或醫療領域,這部法案的走向均值得密切關注。
為何是現在?聯邦立法的壓力來源
美國聯邦層級目前並無通用型隱私立法,現行治理架構是以行業別法規(HIPAA、GLBA)為骨架,輔以各州消費者保護法令拼接而成。這一架構在跨州業務與跨境數位服務盛行的今日,不僅造成企業法規遵循成本的攀升,也使主管機關的執法效果大打折扣。
2018年歐盟《一般資料保護規範》(GDPR)施行後,歐美企業的數位業務在法規環境上形成明顯落差,美國企業在資料蒐集與商業化利用上享有相對寬鬆的空間,但同時也因缺乏統一聯邦框架而難以向國際合作夥伴提出對等的保護承諾。加州隱私保護局(CPPA)、聯邦貿易委員會(FTC)等機構雖相繼強化執法,然而在欠缺完整立法授權的情形下,各機關的執法邊界仍不清晰。《SECURE資料法》試圖填補此一制度空白,在聯邦層級確立消費者資料保護的基準線,並由FTC與各州檢察長共同執法。
此外,AI大規模應用所引發的資料蒐集與自動化決策爭議,也對聯邦立法形成額外的推力。白宮AI政策框架明確表態反對設立新的聯邦AI監管機構,傾向由FTC等現有機構主導,而若要有效授權FTC介入AI資料實踐,建立統一的聯邦資料保護基準即是不可迴避的制度前提。
法案管誰?適用範圍與豁免體系
《SECURE資料法》採取門檻式適用設計,年蒐集與處理逾20萬名消費者之個人資料,且年收入逾2,500萬美元的業者,或年蒐集與處理逾10萬名消費者之資料,且逾25%營收來自資料銷售或移轉的業者,均落入規範範圍。此一門檻設計,排除了規模較小的中小型業者,將主要規範對象指向具有實質資料處理能力的中大型平台與服務商。
豁免體系則依現行行業別法規為基礎架構,HIPAA適用的醫療健康機構、GLBA適用的金融機構、非營利組織及高等教育機構均明確排除在外;信用資料(FCRA)及教育資料(FERPA)亦不在適用範圍。此一設計反映美國長期以來的立法習慣——針對特定行業建立專屬保護框架,而非以單一通用規範涵蓋所有業者。
值得注意的是,金融業者並非毫無新的法規壓力。眾議院金融服務委員會(House Committee on Financial Services)於同期提出的《金融數據使用、存取及負責任揭露準則法案》(Guidelines for Use, Access, and Responsible Disclosure of Financial Data Act,簡稱 GUARD 金融資料法),目的在因應現代科技與開放銀行的發展,修正已沿用超過 25 年的《格萊姆-里奇-比利法》(Gramm-Leach-Bliley Act, 簡稱 GLBA),要求金融機構揭露其以AI蒐集及處理非公開個人金融資訊的方式與目的。換言之,《SECURE資料法》與《GUARD 金融資料法》構成分軌並行的架構,兩者分別規範一般業者與金融機構,共同推動美國資料保護法制的系統性升級。
消費者取得哪些權利?與GDPR及我國個資法的對照
《SECURE資料法》賦予消費者存取、更正、刪除、攜帶及同意選擇(opt-in/opt-out)等核心權利,架構上與GDPR的消費者權利設計有相當程度的對應。消費者得要求業者揭露其蒐集的個人資料類別、處理目的及分享對象,並得請求刪除或限制特定資料的進一步利用。
然而,若與GDPR及我國個人資料保護法相較,《SECURE資料法》在個資當事人的權利保護機制上存在明顯落差。我國個資法第29條及第30條分別就損害賠償及排除侵害設有明文規定,且採舉證責任倒置,使個別資料當事人得直接向法院主張權利。GDPR亦賦予當事人向主管機關申訴及對控管者提起訴訟的雙軌救濟管道。《SECURE資料法》目前草案則明確排除個人訴訟請求權(private right of action),救濟管道僅限於FTC及州檢察長的行政執法,個別消費者無法自行對違規業者提起訴訟。這一設計對業者而言降低了訴訟風險,對消費者而言則縮限了救濟空間。
在同意機制的設計上,法案採取差異化安排:針對敏感個人資料(如健康資訊、精確位置、生物辨識資料、兒童資料)要求明確的事前同意(opt-in),對一般資料則採退出機制(opt-out)。此一分層設計試圖在消費者保護與商業實踐之間取得平衡,但其中對「敏感資料」的定義範圍,仍是立法過程中各方持續角力的核心議題之一。
兩個值得關注的制度缺口
第一,個人訴訟請求權的缺位。如前所述,欠缺個人訴訟請求權意味著法案的實際執行力高度依賴FTC及州檢察長的資源配置與執法優先順序。在歐盟,GDPR配合公民社會團體的集體訴訟及各國資料保護機關的高頻率執法,形成相當密集的執法生態;美國目前的設計在執法密度上能否達到相近的嚇阻效果,尚待觀察。
第二,聯邦法優先適用的邊界問題。法案採取強度較高的聯邦法優先適用設計,可能使各州現行的個人資料保護立法部分或全部失效。然而,哪些州法屬於「涵蓋同一事項」而遭優先取代,哪些屬於「更嚴格但不衝突」而得以保留,目前草案對此邊界並未清晰界定,相關爭議預期將在立法完成後進入司法審查程序。
對台灣各行業的觀察意義
對於以美國市場為主要銷售或服務對象的台灣科技與SaaS業者而言,《SECURE資料法》最直接的影響在於資料蒐集與處理流程的合規架構。若業者的美國用戶資料達到門檻,即須建立符合法案要求的消費者權利回應機制、資料類別揭露實踐及同意管理流程,並視服務性質評估AI資料利用的法律風險。尤其是SaaS業者往往同時擔任資料控管者與處理者雙重角色,其產品設計中嵌入的資料收集邏輯,在法案通過後均可能面臨重新檢視的需要。
就金融與Fintech業者而言,GLBA的豁免雖使此類業者暫時不在《SECURE資料法》直接適用範圍之內,但《GUARD 金融資料法》對AI驅動資料處理的揭露要求,將對金融機構的演算法服務設計形成新的透明度壓力。台灣金融業者若在美設有分支機構或向美國消費者提供服務,應一併納入評估。
對於醫療與生技業者,HIPAA豁免的制度,並非免除所有資料保護義務,而是意味著HIPAA仍是主要的規範框架。隨著數位健康服務與AI輔助診斷的快速普及,受保護健康資訊(PHI)的定義邊界及AI訓練資料的使用規範,在HIPAA架構下仍存在相當的解釋空間,業者不宜以豁除為由放鬆對資料處理合法性的自我審查。
結論
我國個人資料保護委員會甫於2026年正式成立,個資法修正草案亦完成立法院審查。就制度設計而言,我國個資法已在獨立監督機制、事故通報義務及消費者救濟管道等面向完成階段性建構,相較於《SECURE資料法》尚缺乏個人訴訟請求權的設計,我國個資法在消費者直接救濟途徑上反而較為完備。
此外,聯邦法優先適用的設計所引發的各州法規存廢爭議,與我國個資法對特種個人資料採較嚴格規範、各目的事業主管機關各自發布補充規定的多層次架構,在制度邏輯上具有一定的可比性。如何在統一基準與行業特殊性之間取得平衡,是台美兩地監理機關均面臨的共同課題。
《SECURE資料法》代表美國聯邦隱私立法的一次重要嘗試,但其最終面貌仍取決於國會立法過程中各方利益的折衝。就現行草案而言,個人訴訟請求權的缺位、AI訓練資料的規範空白,以及聯邦法優先適用邊界的模糊,均構成制度設計上的實質缺口,也是後續立法動態中值得持續追蹤的核心議題。
對台灣企業而言,無論是在美直接運營的業者,還是透過跨境數位服務接觸美國消費者的供應商,《SECURE資料法》的立法進展均構成法規遵循評估的重要參數。然而,法案適用的具體情形因業者的商業模式、資料蒐集範疇及所涉州別而有所差異,難以以單一結論概括,實務上須就具體業務進行個案分析,方能妥善判斷法規遵循的優先順序與因應方向。
