前言

在过去几年中,各州颁布了许多隐私法,包括广泛的消费者数据隐私法、儿童隐私法、消费者健康数据隐私法和数据经纪人法。在如此短的时间内颁布如此多的隐私法,给企业带来了大量的合规期限。

过去的2023 年是隐私保护的重要一年,以下五个州的隐私保护法开始生效:

同时,在2023年有八个州通过了新的隐私保护法

在下面的文章中,我们确定了今年即将到来的截止日期(2024 年 1 月至 2025 年 1 月)。

除了下面确定的截止日期外,受《加州消费者隐私法》(CCPA) 约束的企业应记住,CCPA § 1798.130(5) 要求企业“至少每十二个月”更新一次其隐私政策以及 CCPA 条例 § 7011 (e)(4) 要求企业说明其隐私政策的最新更新时间。企业应更新其隐私政策以符合这一年度要求。

一、2024年1月

1.Utah 犹他州

UCPA(2023 年 12 月 31 日生效)是迄今为止通过的更有利于商业的数据隐私法之一。该法律基于《华盛顿隐私法》(WPA) 模式,是所有消费者数据隐私法中适用性最高的门槛之一,适用于:(1) 在犹他州开展业务、(2) 年度总收入达到或超过 25,000,000 美元,并且 (3) 在一个日历年内处理 100,000 名及以上州居民的个人数据,或者从出售个人数据中获得总收入的 50%,并控制或处理 25,000 名及以上个人数据犹他州居民。

与许多其他州数据隐私法不同,UCPA 不需要同意即可处理敏感数据,而只需要通知和opt-out的机会。它还不要求控制者对高风险处理活动进行数据保护评估。

2.Oregon 俄勒冈州

在俄勒冈州,2023 年 7 月颁布的 HB 2052 要求数据经纪人自 2024 年 1 月 1 日起在消费者和商业服务部(Department of Consumer and Business services)注册。法律将“数据经纪人”定义为“收集并出售或许可(licenses)经纪个人数据(brokered personal data)给其他人的商业实体或商业实体的一部分”。

3.California 加利福尼亚州

自 2024 年 1 月 1 日起,数据经纪人将需要在加州隐私保护局 (CPPA) 而不是加州总检察长办公室注册。这是去年的《删除法案》对加州现有数据经纪人法所做的修改之一。数据经纪人必须在满足数据经纪人定义的每年 1 月 31 日之前向 CPPA 注册。

4.Colorado 科罗拉多州

科罗拉多州总检察长办公室于 2023 年 12 月 28 日公布了公认的普遍退出机制 (UOOM) 列表。受科罗拉多隐私法约束的控制者必须在 2024 年 7 月 1 日之前接受这些 UOOM。该办公室的列表标识了一个 UOOM – the Global Privacy Control(GPC),同时还指出,“只要 UOOM在列表中或其实施符合 C.R.S. § 6-1-1313 and 4 CCR 904-3, Part 5的要求, UOOM 就会得到认可。”

二、2024年3月

1.Utah 犹他州

犹他州的《社交媒体管理法》于2023年5月3日生效,但其要求将于2024年3月1日生效。2023年10月,犹他州消费者保护部门发布了拟议的实施规定,公众可以在2024年2月5日前发表意见。2023年12月,NetChoice在犹他州联邦地方法院提起诉讼,声称该法律违宪,NetChoice已于2023年12月20日提出了初步禁令动议。

2.California 加利福尼亚州

2024年3月29日,CPPA将能够执行于2023年3月29日确定的新CCPA regulations。这是因为2023年6月的一项法庭裁决,规定CPPA发布的任何最终regulation的执行必须暂停12个月,从regulation最终确定的日期开始计算。

3.Washington 华盛顿

《华盛顿我的健康我的数据法案》(MHMD) 的规定自 2024 年 3 月 31 日起对受监管实体全面生效(小型企业推迟到 2024 年 6 月 30 日)。尽管 MHMD 自 2023 年 7 月 23 日起生效,但 MHMD 的许多要求被推迟到 2024 年 3 月 31 日。企业需要了解 MHMD 比典型的健康数据隐私法要广泛得多。其对“消费者健康数据”的定义非常广泛,可能涵盖传统上不被认为是健康数据的许多类型的数据元素,同时需要注意非营利组织并未得到豁免。该法律还具有私人诉讼权,这大大增加了不遵守规定的风险。

消费者健康数据是指与消费者相关联或可合理关联的个人数据,可识别消费者过去、现在或未来的身体或精神健康状况;包括(但不限于):

✓个人健康状况、治疗、疾病或诊断;

✓性别平等护理;

✓身体机能、生命体征、症状或本清单中任何内容的测量值

✓社会、心理、行为和医疗干预;

✓与健康有关的手术或程序;

✓使用或购买处方药;

✓生殖健康信息;

✓生物识别和基因数据;

✓可识别寻求医疗服务的消费者的数据;

✓可合理表明消费者试图获取或接受医疗服务或用品的位置信息。

4.Nevada 内华达州

内华达州消费者健康数据隐私法 (SB 370) 也将于 2024 年 3 月 31 日生效。内华达州法律是与华盛顿州 MHMD 相比更加对商业实体友好的法律。例如,内华达州法律没有私人诉讼权,并且对消费者健康数据的定义较狭隘。

三、2024年6月

如前所述,华盛顿的 MHMD 将自 2024 年 6 月 30 日起全面适用于小型企业。

四、2024年7月

1.Texas 德克萨斯州

德克萨斯州数据隐私和安全法案 (HB 4) 基于 Washington Privacy Act(WPA) 模型,但与其他 WPA 变体有一些显着差异。例如,该法律包含独特的适用性标准,它没有规定收入门槛,也没有规定处理个人信息的最低数量,适用于:(1) 在德克萨斯州开展业务或生产德克萨斯州居民消费的产品或服务,(2) 处理或从事个人数据销售,以及 (3)非小型企业(根据United States Small Business Administration定义)。该法律还对出售敏感个人数据或生物识别数据的控制者提出了独特的披露要求。

2.Oregon 俄勒冈州

俄勒冈州消费者隐私法案 (SB 619) 也基于 WPA 模型,并且与德克萨斯州一样,包含与其他 WPA 变体的一些显着差异。例如,该法律包含一项独特的金融机构实体级豁免,该豁免依赖于俄勒冈州法律,而不是《格拉姆-里奇-比利利法案》(GLBA) 中对金融机构的更广泛定义。俄勒冈州法律还包含生物识别数据的独特定义,并扩展了敏感数据定义所涵盖的信息类型。也许最显着的区别是,俄勒冈州居民将有可能根据控制者的选择(at the controller’s option),获取“控制者已披露给非自然人的特定第三方的关于消费者个人数据或任何个人数据的具体清单”,没有其他法律要求确定具体的第三方,只有要求提供第三方的类别。从 2025 年 7 月开始,该法律也将适用于非营利组织。

3.Florida 佛罗里达

佛罗里达州“数字权利法案”(SB 262) 将于 2024 年 7 月 1 日生效,但其适用范围比其他州的消费者隐私法要窄得多,仅适用于少数符合年总收入 10 亿美元门槛要求的公司,并且 (1) 50% 以上的收入来自定向广告(targeted advertising),(2) 运营“消费者智能扬声器(consumer smart speaker)和语音命令组件(voice command component)”,”或 (3) 经营一家拥有至少 250,000 个软件应用程序的应用程序商店。

4.Louisiana 路易斯安那州

路易斯安那州的社交媒体法也将于 2024 年 7 月 1 日生效。该法包含与犹他州社交媒体监管法案类似的条款。如上所述,犹他州社交媒体监管法案目前正面临犹他州联邦法院的宪法挑战,而路易斯安那州的法律在生效之前也可能会面临类似的挑战。

5.California 加利福尼亚州

加州的数据经纪人必须遵守州内的数据经纪人登记法,到2024年7月1日之前,他们必须在隐私政策中收集并报告有关他们收到的某些CCPA请求的信息。

加州的《适龄设计规范法案》(AADC) 也将于 2024 年 7 月 1 日生效;然而,去年 9 月,加州联邦地方法院裁定 AADC 违宪,并禁止其生效。加州总检察长就这一裁决向第九巡回法院提出上诉。

6.Colorado 科罗拉多州

2024 年 7 月 1 日是科罗拉多州隐私法两项义务的截止日期。

首先,受科罗拉多州隐私法案 (CPA) 约束的控制者必须在此日期之前认可已批准的通用选择退出机制列表(即全球隐私控制)。控制者不仅需要认识到这一 UOOM,而且 CPA 规则 6.03A.4.e 还要求控制者自 2024 年 7 月 1 日起,提供“如何处理使用通用退出机制(UOOM)选择退出的请求”的隐私声明。

其次,2024 年 7 月 1 日是控制者获得处理敏感数据同意的截止日期。对于控制者在 CPA 生效日期之前所有未经有效同意收集的敏感数据都需要有效同意。

五、2024年9月

Texas 德克萨斯州

德克萨斯州《通过家长赋权 (SCOPE) 法案》 (HB 18) 于 2024 年 9 月 1 日生效”。该法律要求“数字服务提供商(digital service providers)”在允许个人开设账户之前登记其年龄,并制定实施一项战略,以防止已知的未成年人接触有害材料和其他宣传、美化或促进:(1) 自杀、自残或饮食失调;(2) 药物滥用;(3) 跟踪、欺凌或骚扰;(4) 诱骗、贩卖、儿童色情或其他性剥削或性虐待。”

去年,得克萨斯州立法者还通过了 HB 1181,要求验证年龄才能查看色情网站。然而,德克萨斯州联邦地方法院认为该法律违宪,并禁止其生效。第五巡回法院随后暂缓执行该禁令,目前仍在等待快速裁决。

六、2024年10月

1.Montana 蒙大拿

《蒙大拿州消费者数据隐私法》(SB 384) 于 2024 年 10 月 1 日生效。蒙大拿州法律与康涅狄格州数据隐私法密切一致。蒙大拿州是第一个通过消费者数据隐私法案的共和党控制的立法机构,该法案要求控制者承认普遍的选择退出机制(UOOM)、为儿童提供额外的权利、提供两年纠正违规行为期,并调整适用门槛以适应该州人口较少的情况(50,000 名而不是典型的 100,000 名门槛)。

2.Connecticut 康涅狄格州

2024 年 10 月 1 日也是康涅狄格州首部儿童隐私法 (SB 3) 的生效日期。2023 年康涅狄格州儿童隐私法对 2022 年康涅狄格州数据隐私法进行了补充,为 13 至 17 岁的儿童提供额外的隐私保护。

七、2024年12月

2024 年 12 月 31 日,《康涅狄格州数据隐私法》规定的纠正违规行为权利(right to cure violations)到期。

八、2025年1月

1.Delaware 特拉华州

特拉华州的法律(HB 154)很大程度上遵循康涅狄格州的法律,但有一些显着的差异。例如,该法律适用于非营利组织(科罗拉多州和俄勒冈州有同样要求),并对控制者获得出售个人数据和定向广告的选择同意提出了更高的年龄要求(18 岁以下与 16 岁以下)。需要注意特拉华州是适用门槛最低的州之一,仅需控制或处理35,000名特拉华州消费者的个人数据,或者控制或处理10,000 名特拉华州消费者的个人数据且过去一年通过销售个人数据的收入占前一年总收入的20%以上 。

2.Iowa 爱荷华州

爱荷华州的法律(SF 262)是迄今为止通过的最有利于商业的法律之一。该法律没有要求控制者提供纠正的权利,也不清楚是否要求控制者提供选择退出定向广告的权利。与犹他州一样,爱荷华州法律不要求控制者获得同意才能收集敏感数据,而只需要通知和选择退出的机会。它也不要求控制者进行数据保护评估。

3.Colorado科罗拉多州

2025 年 1 月 1 日,《科罗拉多州隐私法》规定的纠正违规行为的权利(right to cure violations)到期。

4.Connecticut, Texas, and Montana康涅狄格州、德克萨斯州和蒙大拿州

康涅狄格州、德克萨斯州和蒙大拿州将于 2025 年 1 月 1 日触发控制者承认通用退出机制(universal opt-out mechanisms)的要求。

附:上文时间线

附:接下来可以做哪些准备?

一、审查和修订获得同意的过程

  • 为符合俄勒冈州、得克萨斯州、爱荷华州、蒙大拿州、特拉华州和康涅狄格州的新修正案,请确保以下事项事先征得同意:

    • 处理敏感个人数据

    • 处理有关已知儿童(13 岁以下)的个人数据;

    • 以进行有针对性的广告或出售为目的,处理有关蒙大拿州 13-16 岁、俄勒冈州和康涅狄格州 13-15 岁以及特拉华州 13-18 岁消费者的个人数据。

    • 如果消费者先前已选择(直接或通过通用选择退出机制)不出售个人数据、不处理个人数据用于定向广告,或不处理个人数据用于特征分析

    • 为任何非合理必要或与最初指定的处理目的不符的目的处理个人数据。

  • 审查同意程序以确认同意:

    • 是通过消费者明确、肯定的行动获得的

    • 自由提供的

    • 具体的

    • 通过告知使其知情的

  • 如有必要,可刷新之前批准的同意书,以满足新法律的要求。

  • 推荐建立一个流程,以从过去 24 个月内与您互动的任何消费者那里获得新的同意。

华盛顿州

  • 华盛顿隐私法规定,如果数据的使用目的不是向消费者提供所要求的服务,则必须在收集或共享数据前征得同意。同意共享有别于同意收集,两者必须分别获得,并且都要求在获得同意的同时附上一份隐私通知。

  • 出售消费者健康数据的销售同意书有更高的要求:这种 "授权"需要消费者签名,且有 9 项不同的要求,有效期只有一年。

二、更新和修订隐私声明

  • 为支持知情同意而必须提供的信息:

    • 控制者的身份

    • 以通俗易懂的语言说明要求同意的原因

    • 要求同意的处理目的

    • 为实现处理目的而将处理的个人数据类别

    • 如果出售敏感个人数据,则应说明将接收该数据的所有第三方的名称

    • 消费者有权随时撤销同意,以及如何撤销同意

  • 务必积极维护您的隐私声明,全年检查以确保其符合最新法律规定

  • 满足得克萨斯州的独特规定:在收集敏感数据或生物识别数据时,隐私声明必须包括以下内容:

    • 单独通知:我们可能会出售您的敏感个人数据。

    • 单独通知:我们可能会出售您的生物识别个人数据。

  • 加强和优化隐私声明和使用条款,让客户一目了然。

    • 俄勒冈州与科罗拉多州一样,有一些具体要求,包括明确说明收集和处理信息的 "明确目的"。这可能比其他州的要求更加具体。

  • 随着越来越多的法律生效,考虑将隐私通知要求分为:

    • GDPR、CCPA 和其他综合性美国州法律三个部分。

    • 除加利福尼亚州外,美国其他州的法律大致相同。这样更容易更新,消费者也更容易接受。必要时,请务必注意法律之间的差异,或者干脆选择对所有用户适用最严格的监管要求。

三、识别和管理敏感/特殊类别的个人数据

  • 了解公司所收集的各种数据并确定根据适用法律哪些信息被视为敏感信息。制定程序,限制公司使用和披露敏感个人数据。

  • 美国各州:更新同意程序,获取并跟踪符合有效同意新要求的同意。

    • 大部分州处理敏感个人数据需要事先同意(opt-in),爱荷华州、犹他州、加州要求利用opt-out结构来处理敏感个人数据,因此无需事先征得同意。

    • 华盛顿健康隐私法有特殊的同意要求(见上文同意部分)

    • 加州的重点是敏感数据的选择退出权,以及对敏感数据二次使用的限制。

  • 确认公司对外的隐私声明充分披露了贵组织在敏感个人数据方面的做法。

  • 了解敏感个人数据的存放位置,确保应用于这些系统的保护控制措施适合数据的敏感性。

各州敏感个人信息对比:

四、重新审视儿童信息

1.就出售、共享或处理未成年人的个人数据征得同意:

  • 未成年人/儿童是指 13 岁以下的人

  • 确定在何处收集、共享或出售有关未成年人的个人数据和敏感个人数据。

  • 在收集、共享或出售未成年人的个人数据之前,征得适当的同意。

  • 对 13 岁以下儿童的适当同意是监护人同意。

  • 确保面向未成年人的隐私通知适合其年龄,并以清晰、通俗易懂的方式撰写。

  • 为未成年人的敏感个人数据实施强有力的安全措施。

2.美国新数据隐私法要求:

  • 一般来说,遵守《儿童在线隐私保护法案》("COPPA")中可验证的父母同意要求通常被视为符合儿童同意要求。虽然俄勒冈州没有明文规定,但在实践中具有相同的要求

  • 儿童应收到适合其年龄的隐私声明/通知。

  • 加强未成年人敏感个人数据的安全措施。

  • 以进行有针对性的广告或出售为目的,处理有关蒙大拿州 13-16 岁、俄勒冈州和康涅狄格州 13-15 岁以及特拉华州 13-18 岁消费者的个人数据时,必须事前征得其同意。

  • 康涅狄格州新法亮点:

    • 未经同意,不得收集未成年人的精确地理位置数据

    • 16 岁以下未成年人使用社交媒体账户需征得父母同意

    • 不能允许跟踪未成年人的在线活动(如父母安装的网站日志),而不向未成年人发出他们正在被监控的明显信号

五、关注PIA或DPIA的新要求

1.加州

  • 当处理活动对消费者隐私或安全构成重大风险时,应进行风险评估并提交给加州隐私保护局。(CPPA)。

  • 风险评估应权衡处理活动给企业、消费者、其他利益相关者和公众带来的利益,以及给消费者权利带来的潜在风险。

2.犹他州、华盛顿州和爱荷华州

不要求 PIA/DPIA

3.俄勒冈州、得克萨斯州、蒙大拿州和特拉华州

这些法律与弗吉尼亚州、科罗拉多州和康涅狄格州的法律密切相似。在进行具有较高危害风险的处理活动时,需要进行数据保护评估。控制者可能被要求向总检察长提供 PIA/DPIA。特拉华州只要求控制或处理100,000 名以上特拉华州消费者数据的控制者进行 PIA/DPIA。

较高的伤害风险包括:

  • 有针对性的广告。

  • 画像(Profiling)具有以下风险:

    • 不公平或欺骗性待遇,或非法或差异影响。

    • 经济、身体或名誉伤害。

    • 侵扰消费者的独处或隐居,或消费者的私人事务,如果这种侵犯会冒犯一个理性的人。

    • 对消费者造成其他实质性伤害。

  • 出售个人数据。

  • 处理敏感个人数据。

六、披露是否将个人数据出售给第三方或与第三方共享用于定向广告

  • 某些司法管辖区要求组织向个人提供选择退出定向广告的权利。

  • 确定公司是否向第三方出售个人数据或处理个人数据用于定向广告。

  • 允许个人选择不(opt-out)出售或不共享个人数据用于定向广告的。

  • 确保消费者能够以清晰易懂的方式做出选择方式。

  • 避免因消费者行使选择退出权而对其进行歧视。

1.加州

  • 为个人提供选择权,使其可以拒绝出售或共享个人数据用于定向广告。

  • 组织网站上必须有 "请勿出售或共享我的个人信息 "链接(或图标)(或在隐私声明中说明不会出售个人数据)。

2.美国新数据隐私法要求:

  • 与 2023 年生效的法律一样,新法律要求控制者披露是否向第三方出售个人数据或处理个人数据用于定向广告,并向个人提供选择退出的选项。

  • 使消费者能够选择退出,包括通过普遍选择退出机制(UOOMs)的方式,如 GPC。(加利福尼亚州、科罗拉多州、康涅狄格州、特拉华州、蒙大拿州、俄勒冈州和德克萨斯州要求遵循)

随想

目前尚未看到联邦层面统一隐私法在近两年落地的可能,随着2024年1月9日新泽西州加入隐私保护法的行列,以及联邦将更多的精力投入到监管人工智能当中,可以预见的是未来会有越来越多错综复杂、相互矛盾的州层级隐私法不断出现。这不仅给企业的合规运营带来挑战,同时越来越长的声明和毫无意义同意按钮也并未如立法者声明的那样真正保护消费者的隐私权利。在这样的法律环境下受益者是不是只有隐私法从业人员?我们需要重新审视何为符合公众利益的隐私保护法。

编译整理:陆天渊

参考资料:

https://iapp.org/resources/article/us-state-privacy-legislation-tracker/

https://pro.bloomberglaw.com/brief/state-privacy-legislation-tracker/

https://www.bytebacklaw.com/2024/01/upcoming-2024-state-privacy-law-compliance-deadlines/

声明:本文来自越洋网事,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。