7月8日，美国科罗拉多州州长签署颁布了《科罗拉多州隐私法案》，使科罗拉多州成为继加利福尼亚州和弗吉尼亚州之后第三个颁布全面隐私立法的美国州，法案将于2023年7月1日生效。

《科罗拉多州隐私法案》的内容要点包括：一是消费者权利，明确了消费者享有访问权、纠正权、删除权、数据可携带权、选择退出权和申诉权等权利。二是适用范围，它适用于经营或生产商业产品或服务的法人实体，这些商业产品或服务有意针对科罗拉多州居民；法案还设置了适用“门槛”，适用于每年收集和存储超过100,000名消费者数据或从超过25,000名消费者数据中赚取收入的企业，不适用于受《格拉姆-里奇-布莱利法案》(Gram- Leach-Bliley Act，GLBA法案）监管的部分金融机构及高等学校。三是数据处理者的义务，主要包括透明性义务、目的告知义务、数据最小化义务、避免数据二次使用义务、数据防护义务、避免非法歧视义务、敏感数据处理义务、数据保护评估义务、数据处理合同约束等。四是法案执行，法律没有规定私人诉讼权。根据现行的《科罗拉多州消费者保护法》（CCPA），违反《科罗拉多州隐私法案》的行为被视为“欺骗性贸易行为”，规定的处罚在2019年有所增加，每次违规处罚从2000美元增加到2万美元，如果针对老年人，每次违规处罚从1万美元增加到5万美元。在采取执法行动之前，总检察长或地方检察官必须向公司发出违规通知，给予公司六十天的时间纠正违规行为。请注意，该条款将于2025年1月1日到期。

Nexsen-Pruet（美国东南部最大的律所）的律师们正在积极监测这些州法律制度出现的趋势，并围绕这一联邦法律展开讨论（文章来源：数据法律资讯）