美国FTC:第5条款AI隐私执法
2026年最新更新。
美国联邦贸易委员会(FTC)依据《FTC法》第5条款执行美国隐私法律,该条款禁止「不公平或欺骗性行为」。美国没有类似GDPR的单一联邦隐私法,但FTC于2024年创下新的执法记录。
2024年:创纪录的执法年度
2024年,FTC共发起19项人工智能相关执法行动,超过此前三年的总和。加之全美25部州隐私法同步施压,两者叠加形成了美国企业极为复杂的合规负担。
2024年重点案例:
亚马逊Alexa案(2500万美元,2023年/持续中): 亚马逊因违反《儿童在线隐私保护法》(COPPA)被罚款2500万美元,原因是超期保存儿童语音文件,并在未获适当同意的情况下将这些文件用于AI训练,被命令删除相关保留文件。
Meta未成年人广告禁令: 联邦监管机构禁止Meta将18岁以下用户的数据用于广告投放,这一决定建立在既有同意令的基础上。
AI数据经纪人执法: FTC对多家数据经纪商采取行动,这些经纪商在未作适当告知或取得同意的情况下,出售AI生成的个人档案,案件确立了一项关键规则:对个人记录进行AI画像属于「敏感」处理,触发额外的告知义务。
医疗记录案件: FTC有权管辖HIPAA覆盖范围之外的医疗记录,消费者类应用、可穿戴设备和部分远程医疗公司均在其管辖范围内。2024年多起案件针对在未取得适当同意的情况下共享此类记录的企业。
25部州法律:美国的隐私拼图
目前没有任何单一联邦法律覆盖全体美国居民,而是由25部州法律共同保护全国大多数居民。
加利福尼亚州CPRA(2023年起): 美国最宽泛的州隐私法,覆盖该州4000万居民,适用于年营业额超过2500万美元或持有逾10万名消费者记录的企业,并设立了加州隐私保护局(CPPA)作为专职监管机构。
弗吉尼亚州、科罗拉多州、康涅狄格州: 三部权利内容相近的法律,合计覆盖逾2000万居民。
德克萨斯州和佛罗里达州: 两个大州也已颁布并实施各自的隐私法。
华盛顿州《我的健康数据法》: 加利福尼亚州以外美国最强的医疗数据法,将权利保护延伸至HIPAA覆盖范围之外的消费者健康应用。
对于在全美50个州运营的企业,这25部法律共享一套核心义务体系:消费者权利、隐私告知、供应商合同和数据保留限制均为必要条件,但具体规则因州而异。
关于这些义务的叠加关系,请参阅法律合规指南。
2024年执法行动对技术团队的启示
2024年的案件为技术团队提供了清晰的指引。
训练数据留痕: 企业必须追踪哪些个人记录参与了每个AI模型的训练,证明同意范围覆盖了该训练用途,并确认适用的时间限制。
目的限制: AI画像不得超出用户注册时所告知的用途范围。若仅告知广告用途,将行为分析用于招聘筛选,即构成第5条款违规。
供应商责任: FTC将SaaS供应商的风险视同部署企业自身的风险——若工具处理用户记录,必须在隐私告知中加以说明,供应商行为须与声明目的一致。
零知识架构: 大多数AI供应商案件针对的是未告知的数据使用。零知识系统仅持有加密文件,供应商无法解密,因此无法以未经披露的方式使用数据。这一技术特性与FTC执法重点高度契合。
了解anonym.legal如何运用零知识架构,请访问/security-compliance。
拟议中的商业监控规则
截至2025年,FTC关于商业追踪的拟议规则仍在审议中。若获通过,该规则将建立明确的联邦条款:
- AI使用的数据限制规则
- 自动化画像的退出权利
- 禁止将采集数据用于新目的
- 个人数据存储的安全规则
该规则将为向美国消费者提供服务的所有企业引入类似GDPR的义务,全面提升美国隐私法的底线标准。
关于数据保留限制,请阅读/docs/faq。
参考资料
- FTC:联邦贸易委员会。ftc.gov
- FTC:2024年AI执法行动。ftc.gov/news-events/news/press-releases/
- CPPA:加州隐私保护局。cppa.ca.gov
- FTC:拟议商业监控规则。ftc.gov/legal-library/browse/rules/commercial-surveillance-rulemaking