2011年4月12日,美国参议员约翰·克里(John Kerry)和约翰·麦凯恩(John McCain)正式提出了2011年《克里·麦凯恩商业隐私权利法案》("CPBRA"). 拟议的立法将适用于所有要求并记录其客户的零售商,包括时装,美容和服装行业的零售商’个人信息。 If passed in its current form, 的 胸罩 would preempt similar state laws, would not provide a private right of action upon which an individual claim could be based, and would cap penalties at $3 million. While that is good news in light of 的 burgeoning class action privacy-related litigation filed against companies by private plaintiffs under state consumer protection laws, compliance with 的 胸罩 could potentially be 上 erous because 的 胸罩 replaces industry self-regulation with government regulation.
 

以下是一些 proposed 胸罩, in its current form: 
 

  • The 胸罩 will apply to "covered information", which includes: "个人身份信息" ("PII"), "唯一标识符信息",以及以合理的方式用来识别特定个人的方式,与前两种信息类别相关的收集,使用或存储的任何信息。 [CPBRA节。 3(3)(A)]。 
  • "Covered information" does not include 个人身份信息 from public records not merged with "covered information" gathered elsewhere, 个人身份信息 obtained from a forum where 的 information was voluntarily shared and is widely and publicly available (think Facebook), 个人身份信息 reported in 的 public media, or 个人身份信息 dedicated to contacting an individual at work. 
  • 个人身份信息包括:姓名,邮政地址,电子邮件地址,电话号码,社会安全号码, credit card account numbers, "唯一标识符信息"(定义如下),生物特征资料(例如指纹)或上述任何使用,传送或储存的资料,以及出生日期,出生证明编号,出生地点,"唯一标识符信息",精确的地理位置(具有GPS专用性,但不包括IP地址),有关语音服务使用的信息以及"有关方可能合理地使用,收集或存储该信息以识别该个人的任何其他有关该个人的信息." [CPBRA节。 3(5)]。 
  • "唯一标识符信息"包括诸如Cookie中保存的客户编号,用户ID或序列号之类的项目。  [CPBRA Sect. 3(9)]. 
  • "Unauthorized use" means use of "covered information"出于未经该信息相关人士授权的任何目的。 [CPBRA节。 3(8)(A)]。 有几个明显的例外,例如:处理交易或提供个人请求的服务,防止或检测欺诈,调查犯罪,在企业范围内向个人做广告’的网站(如果个人肯定地请求),以及改善交易或服务等。 [CPBRA节。 3(8)(B)]。  However, 的 exceptions 上 ly apply if 的 use is reasonable and consistent with 的 practices and purposes described in 的 notice given to 的 individual in accordance with 胸罩, described below. [CPBRA节。 3(8)(C)]。
  • 公司仅应收集完成交易或提供服务所需的数据。  [CPBRA Sect. 301]. 公司可以收集和使用信息进行研发,以改善交易或服务,前提是它们只能在合理的时间内保留这些信息。 
  • Companies must implement privacy protection procedures [CPBRA Sect. 101-103], provide clear, concise and timely notice regarding collection, use, transfer, and storage of 涵盖信息 and 这些做法的目的[CPBRA Sect。 201],建立了关于未经授权使用和第三方用于广告或市场营销的选择退出同意机制,建立了使用"sensitive"PII(在某些情况下除外)为个人提供访问和更正其信息的能力,并且在公司经历公司结构变更或破产时为个人提供撤销使用此类信息的同意的机会。 [CPBRA Sect. 202].
  • The 胸罩 will allow 的 Federal Trade Commission ("FTC")和商务部监督自愿"Safe Harbor" programs that if implemented, would allow companies to shield 的mselves from liability under 的 胸罩.  [看到 胸罩 Sect. 202(c); Sect. 501]. 
  • 只有政府(州总检察长或联邦贸易委员会)可以执行该法律,并且只能针对在12个月内收集有关5,000多人的信息的公司执行该法律。  [CPBRA Sect. 401 – 403]. 如果FTC提起诉讼,则不允许总检察长基于同一违规行为提起诉讼。  The civil penalty can be up to $ 16,500 每天或每次违反行为,不得超过 $3 百万.  [CPBRA Sect. 404].  The 胸罩 expressly bars a private right of action.  [看到 胸罩 Sects. 405(b), 406 ("该法不得被解释为提供任何私人诉讼权")].
  • 胸罩 Section 405 expressly states that 的 胸罩 will supersede any state laws that "relate to 的 collection, use, or disclosure of 涵盖信息 addressed in this Act or 个人身份信息 or personal identification information addressed in provisions of 的 law of a State."  [看到 胸罩 Sects. 405]. 

In conclusion, under 的 proposed 胸罩, retailers can still request and use 的 requested information, but 的y will need to very clearly inform consumers what 的y intend to do with 的 information at 的 time that it is requested in order to avoid a violation of 的 胸罩. 

拟议法案的全文可在此处找到 这里.