H.R. 8413《SECURE Data Act》登场（2026·4·22）：FTC 一站式执法 + “对华数据共享” 强制披露 + 20 州拼图终结战——中资企业必须立即重构的联邦隐私合规架构

2026年4月22日，美国众议院能源与商业委员会（House Energy & Commerce）与金融服务委员会联合推出两部具有里程碑意义的联邦隐私法案：SECURE Data Act（H.R. 8413）与GUARD Financial Data Act。前者由 E&C 主席 Brett Guthrie 与数据隐私工作组组长 John Joyce 议员主导，经过 250+ 份书面意见和 170+ 个机构磋商而成；后者则对已实施 26 年的 Gramm-Leach-Bliley Act（GLBA）进行现代化重写。SECURE Data Act 在两大维度上对中资在美企业产生直接且深远的影响：一是其强力的“州法预占”条款（preemption）将统一终结当前 20 余州各自为政的隐私法拼图；二是其针对“外国对手”（foreign adversaries）的强制披露条款明文将中国、俄罗斯列名，要求企业披露任何在中俄处理或向中俄出售的个人数据。本文从立法背景、核心条款、执法机制三个维度，结合中资企业合规实操，全面解读这份“史上最强联邦隐私草案”。

立法背景：联邦隐私法的第三次冲刺

美国联邦层面综合性隐私立法已尝试多年。从 2022 年的 ADPPA 到 2024 年的 APRA，均因联邦—州执法划分、私人诉权（PRA）等争议而搁浅。与此同时，自 2018 年加州 CCPA 至今，美国已有 20 余个州（含 CCPA/CPRA、VCDPA、CPA、CTDPA、UCPA、TDPSA、马里兰 MODPA 等）陆续生效综合性隐私法，叠加 Illinois BIPA、Washington My Health My Data Act、加州 Delete Act，形成“50 州 50 法”的高复杂度合规拼图。SECURE Data Act 即在此背景下，试图以“国家统一标准”终结碎片化。

核心条款一：消费者权利与处理者义务

SECURE Data Act 借鉴绝大多数州法的成熟框架，赋予消费者以下基本权利：知情权、访问权、可携带副本权、删除权，以及对定向广告（targeted advertising）、个人数据出售和“具有法律或类似重大效力的自动化决策”的退出（opt-out）权。敏感数据（sensitive data）处理须取得消费者明示同意（opt-in）；对未成年人（minors）的处理须取得家长同意。处理者一侧，法案要求遵循“充足、相关且合理必要”（adequate, relevant, and reasonably necessary）的数据最小化原则，与马里兰 MODPA 的最严标准相一致。

核心条款二：“对华数据共享”强制披露

法案最具地缘政治色彩的条款，是要求企业在隐私声明中明确披露其与第三方共享的个人数据范围，且必须特别指明“在中国、俄罗斯或其他外国对手处理或向其出售”的个人数据。同时，法案授权美国商务部（Secretary of Commerce）继续推动跨境数据自由流动、应对“外国数据本地化和数据传输限制的负面影响”，并保护美国人数据免受外国对手风险。这意味着 SECURE Data Act 与 DOJ EO 14117（敏感个人数据规则）、CFIUS 数据审查将形成“披露—审查—禁止”三层叠加的对华数据围栏。

核心条款三：FTC 数据掮客登记 + 一站式执法

数据掮客（data brokers）须向 FTC 注册并提交隐私与数据安全实务信息及所售数据细节，由 FTC 建立面向公众的可搜索登记册，使消费者可直接查询并行使权利——这将与加州 Delete Act 的州级 DROP 平台形成正面竞合。执法主体为 FTC（作为违反 FTC 法 §5 不公平或欺骗性行为的法定规则）与各州司法部长（state AGs），不设私人诉权；对受 1934 年《通讯法》监管的通信运营商，FTC 同样有权执法。执法前监管者须向控制者/处理者发出书面通知、援引被违反的具体条款，并给予至少 45 天的整改期（cure period）。

核心条款四：强力预占条款

SECURE Data Act 采用“relates to”型广义预占语言，可能预占范围包括州综合性隐私法（CCPA/CPRA）、特定领域州法（Illinois BIPA、Washington My Health My Data Act）、儿童隐私法及州数据掮客注册法（加州 Delete Act 与得州、内华达、俄勒冈、佛蒙特同类法律）。但预占并非自动生效，须经法院逐州、逐条诉讼确认。这意味着 SECURE Data Act 即便通过，BIPA 与 CCPA 集体诉讼短期内仍将持续。

对中资企业的合规启示

第一，立即开展“对华数据流向地图”专项盘点。系统梳理境内集团/关联方对美国用户个人数据的访问、托管、处理路径，包括 SDK 嵌入、跨境 API 调用、中资云服务（华为云、阿里云海外节点）等，按数据要素类型与传输方向分类标注，为未来披露义务及 DOJ EO 14117 报告同步备料。

第二，重写隐私政策的“第三方共享章节”。除现有 CCPA “信息销售/共享”披露外，新增对“外国对手”国别披露专栏；在网站/App 中文版与英文版隐私声明中保持口径一致，避免因翻译差异引发 FTC §5 “欺骗性陈述”指控。

第三，搭建“45 天整改窗口”应急流程。SECURE Data Act 的整改期机制看似宽松，但要求企业能在监管通知到达后立即启动跨部门响应：法务、合规、产品、IT、对外通讯须设 SLA 与决策矩阵；建议指定隐私事件负责人（DPO/Privacy Officer），将整改期作为首道防火墙。

第四，数据最小化与目的限制嵌入产品流程。参照马里兰 MODPA 与 加州 AG 5·8 GM $1,275 万和解的执法标尺，对已上线产品做存量“减肥”：删除无业务必要的字段、压缩留存周期、对敏感数据（地理位置、生物识别、健康、儿童）切换为明示同意机制。

第五，重新评估“数据掮客”身份。若企业（含子公司、SaaS 客户）符合 SECURE Data Act “数据掮客”定义，将面临 FTC 公开登记义务。建议提前评估业务线（AdTech、Lead Gen、车联网 telematics、用户画像 SaaS），与现有加州 Delete Act DROP 注册一并规划合并迁移路径。

趋势展望

SECURE Data Act 当前仍处于早期立法阶段，众议院能源与商业小组委员会预计将在未来数周内召开听证会与 markup，随后进入全会表决。即便最终能否通过仍存变数，其文本已成为下一阶段联邦隐私执法与州法立法的重要参照系。对中资企业而言，与其等待法律落地，不如以最严标准为基线同步推进合规架构升级：以 SECURE Data Act 的“对华披露 + FTC 登记 + 45 天整改 + 数据最小化”为内审框架，对照 CCPA、MODPA、BIPA、DOJ EO 14117、CFIUS 等同步测试，方能在 2026—2027 年的联邦—州法过渡期内立于不败之地。

格知律师事务所将持续追踪 H.R. 8413 的立法进展与配套规则，为中资客户提供联邦—州法平行合规方案、数据流向地图、隐私政策重写及 DOJ EO 14117 申报支持等一体化服务。