从缅因州到加利福尼亚州,最近都颁布了隐私、数据安全、网络安全和数据违反通知法。这里分解了每一条法则的含义。
虽然在联邦层面上,安全和隐私立法陷入了党派政治和企业游说的泥潭,但各州一直在向前推进,推动通过大量有助于填补空白的重要法案。对立法机构数据库的搜索显示,在美国50个州、地区和哥伦比亚特区,数百项涉及隐私、网络安全和数据泄露的法案正在等待通过。
在过去两年中,在这些通常相互交织的类别中,最全面的州一级立法是《加州消费者隐私法》(CCPA),该法案于2018年6月28日颁布并签署成为法律。受欧盟突破性的《通用数据保护条例》(General Privacy Data Protection Regulation, GDPR)启发,这项立法旨在赋予国家消费者更大的控制权,以控制企业如何收集和使用他们的个人数据。2020年11月,加州选民通过了《加州隐私权利法案》(CPRA),该法案创建了一个新的消费者隐私机构,将隐私法规与GDPR更加紧密地结合起来。
CCPA已于2020年1月1日生效,让那些认为该法案时间过宽或过窄的人有足够的时间适应其范围。到目前为止,加州议会已经提出了两项法案来扩大CCPA的范围,同时有九项草案试图限制其影响
在以下各节中,我们总结了CCPA的现行规定以及最近颁布并签署为法律的其他主要州立法。这些最近采取的措施都以自己的方式显著影响了各自州的隐私、数据安全、网络安全或数据违反通知要求。
隐私法
加州消费者隐私法(California Consumer Privacy Act,CCPA)
加州隐私权法(California Privacy Rights Act,CPRA)
内华达州参议院法案220在线隐私法(Nevada Senate Bill 220 Online Privacy Law)
缅因州法律,保护在线消费者信息的隐私(Maine Act to Protect the Privacy of Online Consumer Information)
加州消费者隐私法(CCPA)
CCPA将许多受GDPR启发的条款并入了之前称为“ 2018年消费者隐私权法案”的州的一项投票措施。该法规的条款“授予消费者有权要求企业披露类别和具体信息的权利它收集的有关消费者的个人信息,收集信息的来源类别、收集或出售信息的商业目的以及与之共享信息的第三方的类别。”
该法律适用于从加利福尼亚州居民那里收集信息并至少满足以下条件之一的企业:(1)年总收入超过2500万美元;(2)为商业目的购买、接收、出售或共享50000个以上的消费者,家庭或设备的个人信息;(3)50%以上的收入来自销售消费者个人信息。
在该法律的许多扩展条款中,最值得注意的部分包括
要求企业披露其收集的个人信息及其使用目的。
授予消费者要求删除个人信息的权利,并要求企业在收到核实要求后删除该信息。
授予消费者权利,要求出售或出于商业目的披露其个人信息的企业披露其收集的信息类别,以及出售或披露信息的第三方的身份。要求企业根据可验证的消费者要求提供此信息。
授权消费者选择退出企业出售个人信息的行为,并禁止企业歧视消费者行使该权利,包括向选择不同价格的消费者收取费用或向消费者提供不同的商品质量或服务,除非相关的区别与消费者数据提供的价值合理相关。
要求披露个人数据的企业,应可核实的消费者要求,免费提供这些数据。
在消费者的隐私政策中,通过“不出售我的个人信息”链接,授予消费者控制将其信息出售给第三方的权利。
让个人能够指导企业删除他们的信息。
禁止商家在未经13岁至16岁消费者明确同意的情况下出售他们的信息,并要求他们在出售13岁以下消费者的信息之前获得父母的同意。
扩展个人信息的定义,包括IP地址、设备id、cookie id和基于客户偏好、特征、行为、兴趣和许多其他变量的心理信息。
加州隐私权法(CPRA)
加州选民于11月通过了这项投票措施,使其成为法律,将于2023年1月1日生效,不过在执行方面有6个月的宽限期。CPRA要求成立一个消费者隐私保护机构,该机构将对违反隐私法的行为负责,而不受州总检察长的管辖
CCPA最重要的变化是:
服务于10万加州居民或家庭的公司不受隐私条例的约束。CCPA的门槛是5万,其中包括设备。
公司必须删除不再需要的个人信息。监管机构将如何定义“必要”还有待解释。
消费者可能会强迫公司更正不正确的个人资料。
公司必须确保与他们共享个人数据的任何第三方都遵守CPRA。
消费者可以选择退出共享数据的公司。根据CCPA,消费者只能选择退出其出售的数据。
违反责任现在包括暴露电子邮件地址以及安全性问题。
如果违规行为包括未成年人的个人数据,罚款可能增加两倍。
即使公司修复了造成违约的原因,但在违约后,公司仍可能受到私人诉讼权利和法定损害赔偿的约束。
消费者不再需要出示损害证明才能对违约提起诉讼。
内华达州参议院法案220在线隐私法
当加州的CCPA占据了所有的头条时,内华达州悄然通过了自己更严格的网络隐私法——参议院第220号法案,该法案于2019年5月30日由州长签署成为法律。该法案修改了内华达州现有的隐私法,要求企业在出售个人信息时向消费者提供“退出”选项,但有一些例外情况。该法案将于2019年10月1日先于CCPA生效日生效,这使得内华达州的立法成为美国首个赋予消费者选择不出售个人数据的权利的立法。
与CCPA和GDPR不同,内华达州的法案并未对网站运营商增加任何新的通知要求,但要求他们在隐私权政策中发布某些信息项,包括收集的信息类别,与之共享数据的第三方类别,消费者可以用来查看和请求对其涵盖信息进行更改的过程的描述,第三方可以跟踪消费者的在线活动以及这些通知的生效日期。
违反这些条款的组织可能会受到最高5000美元的罚款以及临时或永久的禁令。根据这项法律,司法部长办公室将有权对违法行为提起诉讼,但必须允许违法者有30天的时间来纠正违法行为,但不包括处理“退出权”的行为。
缅因州法律,保护在线消费者信息的隐私
2019年6月7日,缅因州州长珍妮特·米尔斯(Janet Mills)签署了一项法案,以保护在线消费者信息的隐私。该法案将于2020年7月1日生效。该法律特别禁止宽带互联网接入提供商“使用、披露、销售或允许访问客户个人信息,除非客户明确同意使用、披露、销售或访问”。
该法案还禁止宽带提供商拒绝为客户提供服务或在他们不同意使用、披露、出售或访问其个人数据的情况下向他们收费。
该法案还要求提供商采取合理措施,以保护客户的个人信息免遭未经授权的使用、披露、销售或访问。在该法案下,个人信息被定义为(a)有关该客户的“个人身份客户信息”,(b)从该客户使用宽带互联网访问服务获得的信息,例如Web浏览历史记录,地理位置数据,设备标识符和号码,及其他可用于识别个人的技术数据点。
关于网络安全,数据安全和数据泄露通知的新规将于明天更新,敬请期待!(本文出自SCA安全通信联盟,转载请注明出处。)