2022年6月15日，美国参议员Elizabeth Warren提出了《健康和位置数据保护法》（Health and Location Data Protection Act），禁止数据经纪人出售美国人的位置和健康数据。法案由参议院财政委员会主席、参议员Ron Wyden，参议院卫生、教育、劳工和养老金委员会主席Patty Murray，Sheldon Whitehouse以及参议院预算委员会主席Bernie Sanders共同发起。

6月23日，美国参议员Ron Wyden与Sheldon Whitehouse、Cynthia Lummis、Marco Rubio、Bill Hagerty一起提出了《2022保护美国人数据免受外国监视法案》（The Protecting Americans’Data from Foreign Surveillance Act of 2022），以控制将某些敏感类别的美国公民数据共享和传输给被视为国家安全风险的外国实体。该法案目前已被提交至参议院委员会。

以上两项法案都针对庞大的数据经纪生态系统，在这个生态系统中，美国公司收集、汇总、分析、打包并提供数百万美国人的数据。这一生态系统对公民权利、消费者隐私、人身安全和国家安全造成的危害，需要立即进行监管。特别是对特定社群造成的伤害，从警力密集的黑色和棕色人种社区，到穷人、老年人、家庭暴力幸存者，再到患有创伤后应激障碍的退伍军人。虽然国会必须通过一项全面的消费者隐私法，但立法者没有理由允许当前数据经纪人的危害继续下去。

美国许多现有的隐私法里不包括数据经纪人的相关规定。例如，《健康信息可移植性和责任法案》（Health Information Portability and Accountability Act，以下简称“HIPAA”）狭义地引入了对健康实体（如医生）的隐私和安全控制。但不包括经期跟踪应用程序、虚拟治疗应用程序、数据经纪人和许多其他类型的公司，这意味着这些应用或公司完全有权出售用户健康数据，如处方清单、手术史等。

危害是多方面的。健康保险公司等利用数据经纪人购买数亿美国人的数据，包括种族、教育水平、婚姻状况和网上购物等数据。消费者通常不知道这种情况正在发生，他们通常也没有追索权。即使在加利福尼亚等少数几个州，消费者可以向公司提交“请勿出售我的数据”请求，数据经纪人也可能不回应。加利福尼亚州的一项2021年消费者报告研究发现，数据经纪人甚至设置了非法且繁重的退出流程。

再以执法为例。目前，执法机构在没有授权、公开或严格监督的情况下从公司购买数据以监视美国人，现有法律（类似于HIPAA）并未充分涵盖执法环境中的数据经纪人。正如非营利组织民主与技术中心（Center for Democracy&Technology）在其2021的报告中所述，《电子通信隐私法》实际上包含一个漏洞，允许执法部门从数据经纪人处以商业方式获取通信数据，并规避其他适用的要求，如必须使用法律程序直接从服务提供商那里获得数据。许多执法机构以这种方式购买数据，从联邦调查局到移民和海关执法部门。

反过来，数据经纪生态系统又使执法部门在没有监督和控制的情况下能够加强对美国公民的监视，并进一步推动种族主义和其他歧视性警务做法。

健康和位置数据极其敏感，可用于一系列危害，从剖析和剥削消费者到在没有授权的情况下监视公民，再到实施跟踪和暴力。对这一危险行为实施强有力的法律和监管控制对于保护每个美国人的隐私至关重要，尤其是女性、LGBTQIA+社区、有色人种、穷人和其他弱势群体。

法案指出，目前外国政府很容易购买有关美国公民、政治家、法官、政府官员的人口信息、政治偏好、互联网搜索历史、心理健康状况和GPS移动的敏感数据，甚至连情报官员和军人都没有受到任何实质性的控制。这些信息可用于分析、勒索、情报行动、在线虚假信息活动的设计和执行等等。

鉴于数据经纪人在公民权利、消费者隐私、人身安全和国家安全方面对个人和整个社会构成风险，杜克大学桑福德公共政策学院高级研究员Justin Sherman认为，美国国会应该立即采取行动。

（来源：安全内参）

（原文链接：https://www.secrss.com/articles/44075）