美国又有三州通过数据隐私法，总计已有19个州制定综合性个保法

仅供学习，如有侵权，请联系删除！

• 在一个日历年内，控制或处理至少 35,000 名马里兰州消费者的个人数据，不包括仅为完成支付交易而控制或处理的个人数据;或
• 超过 20% 的总收入来自个人数据的销售，并处理或控制至少 10,000 名马里兰州消费者的个人数据。

• 数据最小化：
• 控制者必须将个人数据的收集限制在合理必要和相称的范围内，以提供和维护消费者要求的特定产品或服务，除非控制者获得消费者的同意。
• 如果第三方以“与收集信息时对消费者的承诺不一致”的方式使用或共享消费者的信息，则第三方必须在使用或共享信息之前向消费者提供新的或更改的做法的通知。
• 控制者不得收集、处理或传输基于种族、肤色、宗教、国籍、性别、性取向、性别认同或残疾而非法歧视或以其他方式非法提供商品或服务的个人数据或公开数据。
• 敏感数据：

• Europrivacy认证

  文末扫描二维码咨询 详细介绍

• CAIM报名

  点击 42001AI管理体系实践落地课程

• CAIL报名

  点击 欧盟人工智能法合规落地课程

• 控制者知道或有理由知道未满 18 岁的消费者的敏感数据和个人数据不得收集、处理或共享，除非为提供或维护消费者要求的特定产品或服务而绝对必要。“敏感数据”是指揭示种族或民族血统、宗教信仰、13 岁以下儿童的个人数据、性生活或性取向、不受 HIPAA 约束的某些消费者健康数据、生物特征或遗传数据、精确地理位置数据（半径 1,750 英尺以内）、跨性别或非二元身份、国籍、 以及公民身份或移民身份。“生物识别数据”的定义很广，包括通过自动测量消费者的生物特征而生成的数据，这些数据可用于唯一地验证消费者的身份。
• 禁止出售敏感数据，除非销售对于提供或维护消费者要求的特定产品或服务是必要的。数据的“出售”是指控制者、处理者或控制者或处理者的关联公司以金钱或其他有价值的代价将个人数据交换给第三方。
• 健康数据：
• 未经合同保密义务约束的员工或合同工不得访问消费者健康数据；处理者只有在受法律下数据控制者相同义务约束时才能访问这些数据。
• 禁止使用地理围栏技术在距离精神健康、生殖健康或性健康设施1750英尺范围内识别、跟踪、收集数据或发送通知给消费者。

• 知情权和访问控制者处理的个人数据的权利;
• 更正不准确个人数据的权利;
• 删除个人数据的权利;
• 获取消费者个人数据副本的权利;
• 如果控制者不以特定于消费者的格式维护这些信息，则有权获取控制者向其披露消费者个人数据的第三方类别列表或控制者向其披露任何消费者个人数据的第三方类别列表;和
• 选择不处理个人数据的权利，用于有针对性的广告、个人数据的销售或具有某些重大后果的分析。

• 在一个日历年内，控制或处理至少 100,000 名明尼苏达州消费者的个人数据，不包括仅为完成支付交易而控制或处理的个人数据;或
• 超过 25% 的总收入来自个人数据的销售，并处理或控制至少 25,000 名明尼苏达州消费者的个人数据。

• 透明度义务：
• 控制者必须向消费者提供隐私声明，详细说明控制者处理、出售、共享或分析的个人数据类型、控制者持有个人数据的持续时间以及消费者对其个人数据拥有的权利。值得注意的是，控制者必须以电子方式通知消费者控制者隐私政策的重大变化，并为消费者提供合理的机会来撤回对任何重大不同处理活动的同意。
• MCDPA 还要求控制者记录并维护他们为遵守 MCDPA 而采用的政策和程序的描述，包括控制者的首席隐私官或其他负责合规的个人的姓名和联系信息，以及控制者为遵守法律特定要求而采取的政策和程序的描述。
• 敏感数据：未经消费者同意，控制者不得处理敏感数据，该同意可能随时撤销。
• 敏感数据被定义为揭示种族或民族血统、宗教信仰、心理或身体健康诊断、性取向、公民身份或移民身份的个人数据、用于唯一识别个人的遗传或生物特征数据、从已知儿童收集的数据以及特定的地理位置数据。
• 与提供精确地理定位半径的其他州隐私法相比，特定地理定位被定义为“来自技术的信息，包括但不限于全球定位系统级别的经纬度坐标或其他机制，直接识别消费者或与消费者链接的设备的地理坐标，其精度超过小数点后三位的纬度和经度或替代地理中的等效精度坐标系，或从坐标派生的街道地址。
• 非歧视：控制者不得基于特定的受保护分类（例如种族或性别）处理个人数据，以歧视住房、就业和公共住宿等重要领域的该类别消费者的方式。
• 数据隐私和保护评估：MCDPA 要求控制者在处理个人数据以进行定向广告、处理敏感数据、出售个人数据、进行分析之前进行这些评估，如果分析存在不合理可预见的不公平或欺骗性待遇、财务、声誉或人身伤害或对消费者私人事务的身体或其他侵犯的风险， 或造成更高伤害风险的处理。

• 知情权和访问控制者处理的个人数据的权利;
• 与《俄勒冈州消费者隐私法》一样，MCDPA 为消费者提供了要求提供控制者向其披露消费者个人数据的特定第三方列表的权利。
• 更正不准确个人数据的权利;
• 删除个人数据的权利;
• 获取消费者个人数据副本的权利;
• 选择不为定向广告目的处理个人数据的权利;出售个人数据;或具有某些重大后果的分析;和
• 有权审查、理解、质疑和更正个人数据的分析方式。
• 这项权利是MCDPA所独有的。消费者有权查看其用于分析的数据。如果决策基于不准确的数据，消费者有权更正数据，并根据更正后的数据重新评估分析决策。消费者还有权“质疑分析的结果，被告知分析导致该决定的原因，并在可行的情况下，被告知消费者可能采取哪些行动来确保不同的决定，以及消费者可能采取的行动来确保将来做出不同的决定。

• 在一个日历年内，控制或处理至少 35,000 名罗德岛消费者的个人数据（不包括仅以完成支付交易为目的而控制或处理的个人数据）;或