导读
2024年12月12日,密歇根州参议院通过了第0659号法案—《个人数据隐私法案》(Personal Data Privacy Act,以下简称《法案》)。《法案》旨在通过制定数据收集、处理、销售、共享和保留标准以及建立消费者权利(例如同意、撤销和删除)来规范个人数据隐私。它还禁止某些数据处理做法,并建立由密歇根州总检察长执行的数据经纪人登记处,对违规行为处以罚款。此前,该法案已于2023年11月9日提交参议院审议。以下为《法案》的主要内容。
适用范围
《法案》适用于在密歇根州开展业务以及生产面向密歇根州居民的产品或提供相关服务的个人,自当年1月1日起累计:
控制或处理至少100,000名消费者的个人数据;或
控制或处理至少25,000名消费者的个人数据,并从出售个人数据中获取收益。
《法案》不适用于包括州政府机构、高等教育机构、金融机构、致力于发现和预防保险犯罪的非营利组织以及受《健康保险流通与责任法案》(Health Insurance Portability and Accountability Act,下称“HIPAA”)管辖的实体。同样,《法案》不适用于包括受HIPAA保护的健康信息以及根据《家庭教育权利和隐私法案》(Family Educational Rights and Privacy Act)和《格雷姆-里奇-比利雷法案》(Gramm-Leach-Bliley Act)第五章收集的数据。
如果数据出于以下目的进行处理或维护,则数据也不受该法案的约束:
在个人向控制者、处理者或第三方申请、受雇或担任其代理人或独立承包商的过程中,只要数据是在该角色的背景下收集和使用的;以及
作为个人的紧急联系信息,用于紧急联系目的。
术语与定义
消费者(Consumer):是指在个人或家庭背景下开展活动的本州居民。消费者不包括处于商业活动范畴或者就业情境下实施相关行为的个人。
控制者(Controller):是指单独或与他人共同决定处理个人数据的目的和方法的人。
处理者(Processor):是指代表控制者处理个人数据的人。
数据经纪人(Data broker):是指一家公司或一家公司的一个或多个部门,单独或共同地,故意收集和出售或许可给第三方与该公司没有直接关系的消费者的经纪个人数据的组织。
地理围栏(Geofence):是指使用全球定位坐标、手机信号塔连接、蜂窝数据、射频识别、无线保真技术数据或任何其他形式的位置检测,或坐标、连接、数据、识别或其他形式的位置检测的任意组合来建立虚拟边界的任何技术。
主要内容
消费者权利
《法案》第十三条规定,消费者享有的权利包括:
(1)确认控制者是否正在对消费者的个人数据进行访问并处理;
(2)考虑个人数据的性质和处理消费者个人数据的目的,纠正消费者个人数据中的不准确之处;
(3)删除消费者提供的或获得的有关消费者的个人数据;
(4)以便携式且在技术可行的范围内易于使用的格式获取消费者先前提供给控制者的消费者个人数据的副本,允许消费者在处理通过自动化方式进行的情况下不受阻碍地将数据传输给另一个控制者;
(5)出于以下任何目的选择退出个人数据处理:
定向广告。
出售个人数据。
为了进一步做出对消费者产生法律影响或类似重大影响的自动化决策而进行分析。
消费者可以随时通过向控制者提交请求来行使消费者权利,请求中应具体说明消费者希望行使的消费者权利。父母或法定监护人可以代表儿童行使消费者权利,以处理儿童的个人数据。
控制者的义务
《法案》第十四条规定,未经消费者同意,控制者不得处理与消费者有关的个人数据。消费者可以使用平台、技术或机制选择退出,向控制者表明他们选择退出处理或销售的意图。平台、技术或机制必须满足以下所有要求:
不得对其他控制者造成不公平的不利影响;
不得将退出偏好设为默认设置;
要求消费者做出肯定、自由和明确的选择,以选择退出对消费者个人数据的处理;
对消费者友好并易于普通消费者使用;
与联邦或州法律法规要求的其他类似平台、技术或机制保持一致;以及
使控制者能够准确确定消费者是否为密歇根州居民,以及消费者是否提出了不出售消费者个人数据或用于目标广告的合法请求。
对于消费者的请求,《法案》第十五条规定,控制者必须在收到请求后45天内迅速地回复消费者。
在合理必要时,回复期限可延长一次,每次45天。但前提是控制者在最初的45天回应期限内将延期事宜告知请求者,并说明延期的理由。
《法案》第十七条规定,控制者应在消费者收到第十五条规定的决定后的合理时间内,为消费者建立流程,以便消费者对控制者拒绝采取行动的决定提出上诉。在控制着收到消费者提出的上诉60天内,应以书面形式通知消费者针对上诉采取或未采取的任何行动,包括书面解释决定的理由。
如果消费者的上诉被控制者驳回,控制者必须向消费者提供在线机制(如果可用)或其他方法,消费者可以通过此方法联系总检察长提交投诉。
《法案》第十九条规定,控制者应当:
在处理任何与消费者有关的敏感数据之前,应征得消费者同意处理敏感数据;
为消费者提供一种有效的机制,使其能够撤销消费者同意处理个人数据的权限,该机制至少应与消费者最初同意处理个人数据时使用的机制一样易于使用;
如果消费者撤销了处理个人数据的权限,应在撤销同意后15天内尽快停止处理个人数据;
如果涉及儿童个人数据,则根据《儿童在线隐私保护法》(Children"s Online Privacy Protection Act)处理该数据;
将个人数据的收集限制在合理必要和适当的范围内,以提供或维护数据所涉及的消费者所要求的产品或服务,并符合消费者的合理期望,除非个人数据是敏感数据。在这种情况下,控制者必须将敏感数据的收集限制在严格必要的范围内,以提供或维护数据所涉及的消费者所要求的特定产品或服务;
在收集个人数据时或之前,应引导消费者查看隐私声明,该声明向消费者披露了处理个人数据的目的;
建立、实施和维护技术和组织措施,以保护个人数据的机密性、完整性和可访问性,这些措施必须与所涉个人数据的数量和性质相适应;
应消费者的请求,永久和完全删除个人数据,除非法律要求保留个人数据。如果控制者将任何个人数据存储在存档或备份系统中,则可能会延迟遵守消费者根据本小段提出的删除请求,直到存档或备份系统恢复为活动系统或再次被访问或使用。
若消费者或代理人根据第十三条或第十四条选择退出对其个人数据的处理,则应通知控制者向其出售或以其他方式披露消费者个人数据的任何处理者或第三方,告知其消费者已选择退出对其个人数据的处理。
《法案》第二十一条规定,控制者不得采取以下任何行动:
以允许识别消费者身份的形式保留个人数据,保留时间超过处理个人数据的目的所合理需要的时间,除非法律另有规定允许保留;
以允许识别消费者身份的形式保留敏感数据,保留时间超过处理敏感数据的目的所严格需要的时间,除非法律另有规定允许保留;
如果控制者知道或应该知道消费者未满18岁,则为定向广告目的处理消费者的个人数据,或出售消费者的个人数据;
以歧视个人的方式收集、处理或传输个人数据,或以其他方式拒绝个人因宗教、实际或感知的种族、肤色、国籍、血统、性别、性取向、性别认同或身体或精神残疾而充分和平等地享受商品或服务;
因消费者根据第十三条提交请求而歧视消费者,包括拒绝提供商品或服务、对商品或服务收取不同的价格或费率,或向消费者提供不同质量水平的商品和服务;
出售消费者的敏感数据。
此外,控制者还应向消费者提供合理易懂、清晰且有意义的隐私声明;对其收集和处理的个人数据进行数据保护影响评估 (Data Protection Impact Assessment,DPIA)并记录;要求数据处理者协助其履行义务,并通过合同列明处理说明和处理时长等;并且不得使用地理围栏在任何精神健康机构或生殖健康或性健康机构1750英尺范围内建立虚拟边界。
数据经纪人
值得注意的是,该法案第三十五条规定,从2026年2月1日开始,在密歇根州总检察长领导下建立数据经纪人登记处,如果某人符合数据经纪人的定义,则该人必须向总检察长注册为数据经纪人。
该数据经纪人应当支付总检察长确定的注册费,提供其名称、主要实体地址、电子邮件和网站地址,以及其选择提供的有关其数据收集实践的任何其他信息或解释的信息。
执行
密歇根州总检察长负责执行该法案的规定,并规定每次违反该法案规定的行为将被处以不超过7500美元的罚款。
文件请见:
https://www.legislature.mi.gov/documents/2023-2024/billintroduced/Senate/pdf/2023-SIB-0659.pdf
声明:本文来自数据信任与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
