全文约
4400
字,预计阅读时间
25
分钟
文|
黄潇怡 中国信息通信研究院互联网法律研究中心研究员
近日,国际隐私专业协会(IAPP,The International Association of Privacy Professionals)发布《美国各州综合性隐私法报告》,报告对截至2023年12月31日,美国各州已签署成为法律的12部综合性《隐私法》进行了总结,并对相关定义、适用、豁免、消费者权利、企业/数据控制者责任,以及执法权和罚则等方面进行了分析。
报告仅对美国各州的综合性隐私立法进行了分析,未包含部门性、针对特定行业或特定用例的法案,如佛罗里达州的《数字权利法案》和华盛顿州的《我的健康、我的数据法案》等针对特定实体或特定数据类型的隐私保护领域州法律。
根据报告统计,自2018年美国第一部隐私保护领域的综合性州法律《加州消费者隐私法》(CCPA)通过以来,美国各州的综合性隐私立法数量逐年增加。全美范围内,2018年共提出两项法案,其中加利福尼亚州的法案成为法律;2019年共提出15项法案;2020年共提出24项法案,其中一项是对CCPA更新,成为法律;2021年,共提出29项法案,其中弗吉尼亚州和科罗拉多州的法案成为法律;2022年,共提出59项法案,其中犹他州和康涅狄格州法案成为法律。2023年,共提出54项法案,其中特拉华州、印第安纳州、爱荷华州、蒙大拿州、俄勒冈州、田纳西州和得克萨斯州的法案成为法律。截至2023年12月31日,美国共有12个州的隐私保护法案已签署成为法律。
报告从相关定义、适用、豁免、消费者权利、企业/数据控制者责任,以及执法权和罚则等方面,分析了12个州已颁布的隐私法之间的相似之处和差异。
12个州都对消费者、销售、个人数据和敏感个人数据等重要术语进行了定义。
在“消费者”的认定方面,
有四个州将消费者限定为该州的居民,且不包括商业或就业情形下的行为当事方;但在加利福尼亚的法律中,消费者也包括雇员。
在“销售”的定义方面,
存在两种定义方法,一是“以货币或其他有价值的等价物交换个人数据”,如加利福尼亚、科罗拉多、康涅狄格、特拉华、蒙大拿、俄勒冈、田纳西和得克萨斯等州的法律规定;二是“以货币等价物交换个人数据”,如印第安纳、爱荷华、弗吉尼亚和犹他等州的法律规定。
在对“个人数据”的定义方面,
各州隐私法都规定,公开可得的信息和去标识化的数据不属于个人数据。此外,加利福尼亚、印第安纳、爱荷华、田纳西和犹他等州还将聚合数据排除在个人数据之外。
在对“个人敏感数据”的定义方面,
各州均规定,敏感个人数据包括消费者的种族或族裔起源、宗教信仰、基因数据、生物识别数据、健康数据和性取向、公民身份和移民身份等,并进一步明确了生物识别数据的范围。此外,除了科罗拉多州外,其他11个州均规定敏感个人数据包括精确或具体的地理位置数据;科罗拉多、康涅狄格、特拉华、印第安纳、爱荷华、蒙大拿、俄勒冈、田纳西和弗吉尼亚等州规定,已知是儿童的个人数据属于敏感个人数据;加利福尼亚州还将哲学信仰和消费者的邮件、电子邮件和短信的内容纳入敏感个人信息范畴。
美国12个州的隐私法规定的豁免情形大致可以分为两种类型:
一是针对实体的例外情形,
12个州普遍对政府、非营利组织,以及受《健康保险流通和责任法》(HIPAA)和《格拉姆-利奇-布莱利法》(GLBA,又称为《金融服务现代化法》)监管的实体提供豁免,其中科罗拉多州不为非营利组织或受HIPAA监管的实体提供豁免,而加利福尼亚州不为受GLBA监管的实体提供豁免。此外,康涅狄格、特拉华、印第安纳、爱荷华、蒙大拿、田纳西、得克萨斯、弗吉尼亚和犹他等州对高等教育机构提供豁免,而科罗拉多、康涅狄格、特拉华和蒙大拿等州则对注册的全国证券协会提供豁免。
二是针对数据的例外情形,
所有12个州均对受HIPAA、GLBA、《公平信用报告法》(FCRA)和《驾驶员隐私保护法》(DPPA)监管的数据提供豁免;绝大多数州(除科罗拉多州外)均对受《家庭教育权利和隐私法》(FERPA)监管的数据提供豁免;绝大多数州(除加利福尼亚州外)都对雇员和B2B数据提供豁免。其中,科罗拉多和犹他州规定,只有在相关实体为GLBA中规定的实体时,受GLBA监管的数据才享受豁免;弗吉尼亚、犹他和康涅狄格州规定,只有实体为符合DPPA规定的实体时,受DPPA监管的数据才享受豁免。
消费者权利包括访问权、可携权、删除权和更正权,以及选择退出权等。
在访问权方面,
12个州都赋予消费者访问其个人数据的权利,其中科罗拉多州和康涅狄格州对这一权利提供了例外情形,即涉及商业机密的情形。当然,根据大多数州的隐私法,数据控制者无需披露商业机密。
在可携权方面,
加利福尼亚、科罗拉多、康涅狄格、特拉华和俄勒冈州等州规定,消费者对企业/数据控制者拥有的任何消费者个人数据均享有可携权;但印第安纳、爱荷华、蒙大拿、田纳西、得克萨斯、弗吉尼亚和犹他州等州规定,可携权仅限于由消费者提供的数据,限制消费者获取数据副本的权利。
在删除权方面,
根据加利福尼亚、爱荷华和犹他州的规定,消费者只有删除由其提供的数据的权利,而其他州允许消费者删除任何数据控制者拥有的与其相关的个人数据。此外,弗吉尼亚通过的最新隐私法修正案,为删除权提供了一个例外情形,即当个人数据是从第三方来源收集时。
在更正权方面,
绝大多数州(除爱荷华州和犹他州之外)都赋予消费者更正由数据控制者维护的关于他们的不准确个人数据的权利。
在选择退出的权利方面,
所有州都赋予消费者选择拒绝营销和定向广告的权利;绝大多数州(除爱荷华州和犹他州外)还提供选择退出个人画像的权利。此外,大多数州(除加利福尼亚、爱荷华和犹他州外)赋予消费者在数据控制者处理其敏感个人数据前退出的权利,而加利福尼亚州则直接限制使用和披露敏感个人信息。
美国各州隐私法不仅保护消费者数据权利,还创建了企业问责制,针对企业(在科罗拉多州还包括非营利组织)收集、使用、处理、拥有、管理和删除消费者数据建立了一系列问责措施。
1.
通知和同意
12个州普遍要求管辖范围内的实体提供隐私通知,通知内容包括其如何使用和处理消费者数据等相关信息。
在数据收集方面,
加利福尼亚州的收集通知要求管辖范围内的每个实体通知消费者收集哪些个人信息以及进行此类收集的业务目的,同时在页面明示隐私政策和提供隐私政策链接。
在处理敏感个人数据方面,
大多数州要求在处理敏感数据之前获得消费者同意,如科罗拉多、康涅狄格、特拉华、印第安纳、蒙大拿、俄勒冈、田纳西、得克萨斯和弗吉尼亚州等;爱荷华和犹他州明确要求相关实体在处理敏感个人数据前通知消费者并提供选择退出敏感数据处理的选项。
在处理儿童个人数据方面,
加利福尼亚和康涅狄格州要求在以定向广告为目的出售、共享或处理16岁以下的消费者数据时应获得其同意,而其他十个州则要求在处理13岁以下的消费者数据时获得其父母的同意。
2.
回应消费者请求
大多数州为回应消费者请求提供了一般性原则,具体如何回应消费者请求由相关实体自主决定。处理消费者请求的相关要求包括,
消费者在向相关实体提交请求时,相关实体必须验证其身份,
如科罗拉多、蒙大拿、弗吉尼亚和犹他州的相关规定;
选择退出请求不要求验证身份,
如加利福尼亚、康涅狄格、印第安纳、爱荷华、俄勒冈、田纳西和得克萨斯等州的相关规定;
可验证代表消费者的授权代理可以行使消费者的权利,
如加利福尼亚、科罗拉多、特拉华、蒙大拿、俄勒冈和得克萨斯等州的相关规定。
此外,在回应消费者请求的期限方面,
各州普遍规定(除爱荷华州外)45天的回应期,而爱荷华州对回应期的规定则为90天。相关实体有责任在此期间内,回应消费者合理请求,并有权在必要时延长此期限。此外,加利福尼亚和康涅狄格州对于选择退出请求,仅规定了15天的回应期。另,科罗拉多、康涅狄格、印第安纳、爱荷华、俄勒冈、蒙大拿、田纳西、得克萨斯和弗吉尼亚等州均规定了上诉流程要求,在消费者对处理结果不满意时,帮助消费者与执法机构联系。
3.
数据安全要求
美国各州的隐私法在如何保证合理的数据安全实践的要求方面存在差异。如,加利福尼亚州规定,相关实体采取的
合理的保护数据安全的措施
应与所需保护信息的性质结合起来,以防止未经授权的访问、破坏、使用、修改或披露。康涅狄格、特拉华、印第安纳、爱荷华、蒙大拿、田纳西、得克萨斯和弗吉尼亚等州则更进一步要求“
合理的行政、技术和物理数据安全实践”
。在俄勒冈和犹他州,合理的数据安全实践不仅必须保护个人数据的机密性和完整性,还必须根据数据控制者的业务规模、范围和类型,以及处理个人数据的数量和性质,
以适当的方式减少可能对消费者造成的任何可预见的风险。
科罗拉多州将关于合理安全实践的解释置于尽职责任的规则中。
4.
风险评估要求
加利福尼亚、科罗拉多、康涅狄格、特拉华、蒙大拿、俄勒冈、田纳西、得克萨斯和弗吉尼亚等州要求相关实体在进行销售或处理个人数据等类型的处理活动时履行数据保护或风险评估义务。
5.
数据处理协议
美国各州的隐私法均未对国际数据传输进行限制,但普遍要求数据控制者和数据处理者(在加利福尼亚州法律下称为服务提供商)之间签订数据处理协议,加利福尼亚州还要求协议适用于特定情况下的第三方,即在涉及第三方的情况下,同样要与第三方签订协议。
(五)
在执法方面
各州法律均对执法机构、补救期和罚则等方面作出规定。
一是关于执法机构,
除特拉华州的执法机构是the Department of Justice外,其余11个州的执法机构都是Attorneys general,但各自的联合执法机构有区别,例如,加利福尼亚州是与CPPA合作,科罗拉多州与地方检察官合作。此外,个人诉讼权仅在加利福尼亚州可用,且仅限于数据泄露的情形。
二是关于补救期,
各州普遍给与相关实体一定时间范围的补救期,被发现隐私违规的实体在补救期内解决问题可免于执法。各州规定的补救期限如下,30天的州有:印第安纳、俄勒冈、德克萨斯、犹他和弗吉尼亚;60天的州有:科罗拉多、康涅狄格、特拉华、蒙大拿和田纳西;90天的州有:爱荷华。但加利福尼亚州不再提供补救期,科罗拉多和康涅狄格州将于2025年1月1日终止,蒙大拿州将于2025年4月1日终止,特拉华州将于2026年1月1日终止。
三是关于罚则,
各州对违规行为的最高罚款金额规定各不相同,根据不同的违规行为,每次违规的罚款金额从2,500美元至20,000美元不等,其中蒙大拿州未对民事罚款作出具体规定。例如,康涅狄格州对于恶意违规行为每次罚款5,000美元,印第安纳、爱荷华、俄勒冈、得克萨斯、犹他和弗吉尼亚州对于故意违规或涉及16岁以下消费者的违规行为每次最高可罚款7,500美元;特拉华州对违规行为每次罚款最高可达10,000美元,在田纳西州对违规行为每次罚款最高可达15,000美元,在科罗拉多州对违规行为每次罚款最高可达20,000美元。
https://iapp.org/resources/article/us-state-privacy-laws-overview/
