在过去几年中,美国各州颁布了许多隐私法,包括广泛的消费者数据隐私法、儿童隐私法、消费者健康数据隐私法和数据经纪人法。在如此短的时间内颁布如此多的隐私法,给企业带来了大量的合规期限。
加利福尼亚州(CPRA),2023年1月1日
弗吉尼亚州(VCDPA),2023年1月1日
科罗拉多州(CPA),2023年7月1日
康涅狄格州(CTDPA),2023年7月1日
犹他州(UCPA),2023年12月31日
华盛顿州(WA MHMDA),2024年3月31日
俄勒冈州(OCPA),2024年7月1日的
德克萨斯州(TDPSA),2024年7月1日
蒙大拿州(MCDPA),2024年10月1日
爱荷华州(ICDPA),2025年1月1日
特拉华州(DPDPA),2025年1月1日
田纳西州(TIPA),2025年7月1日
印第安纳州(INCDPA),2026年1月1日
除了下面确定的截止日期外,受《加州消费者隐私法》(CCPA) 约束的企业应记住,企业“至少每十二个月”更新一次其隐私政策以及 CCPA 条例 § 7011 (e)(4) 要求企业说明其隐私政策的最新更新时间。企业应更新其隐私政策以符合这一年度(2024 年 1 月至 2024年 12月)要求。
1、Utah 犹他州
UCPA(2023 年 12 月 31 日生效)是迄今为止通过的更有利于商业的数据隐私法之一。该法律基于《华盛顿隐私法》(WPA) 模式,是所有消费者数据隐私法中适用性最高的门槛之一,适用于:(1) 在犹他州开展业务、(2) 年度总收入达到或超过 25,000,000 美元,并且 (3) 在一个日历年内处理 100,000 名及以上州居民的个人数据,或者从出售个人数据中获得总收入的 50%,并控制或处理 25,000 名及以上个人数据犹他州居民。
与许多其他州数据隐私法不同,UCPA 不需要同意即可处理敏感数据,而只需要通知和opt-out的机会。不要求控制者对高风险处理活动进行数据保护评估。
2、Oregon 俄勒冈州
在俄勒冈州,2023 年 7 月颁布的 HB 2052 要求数据经纪人自 2024 年 1 月 1 日起在消费者和商业服务部(Department of Consumer and Business services)注册。法律将“数据经纪人”定义为“收集并出售或许可(licenses)经纪个人数据(brokered personal data)给其他人的商业实体或商业实体的一部分”。
3、California 加利福尼亚州
自 2024 年 1 月 1 日起,数据经纪人将需要在加州隐私保护局 (CPPA) 而不是加州总检察长办公室注册。这是去年的《删除法案》对加州现有数据经纪人法所做的修改之一。数据经纪人必须在满足数据经纪人定义的每年 1 月 31 日之前向 CPPA 注册。
4、Colorado 科罗拉多州
科罗拉多州总检察长办公室于 2023 年 12 月 28 日公布了公认的普遍退出机制 (UOOM) 列表。受科罗拉多隐私法约束的控制者必须在 2024 年 7 月 1 日之前接受这些 UOOM。该办公室的列表标识了一个 UOOM – the Global Privacy Control(GPC),同时还指出,“只要 UOOM在列表中或其实施符合 C、R、S、 § 6-1-1313 and 4 CCR 904-3, Part 5的要求, UOOM 就会得到认可。”
1、Utah 犹他州
犹他州的《社交媒体管理法》于2023年5月3日生效,但其要求将于2024年3月1日生效。2023年10月,犹他州消费者保护部门发布了拟议的实施规定,公众可以在2024年2月5日前发表意见。2023年12月,NetChoice在犹他州联邦地方法院提起诉讼,声称该法律违宪,NetChoice已于2023年12月20日提出了初步禁令动议。
2、California 加利福尼亚州
2024年3月29日,CPPA将能够执行于2023年3月29日确定的新CCPA regulations。因为2023年6月的一项法庭裁决,规定CPPA发布的任何最终regulation的执行必须暂停12个月,从regulation最终确定的日期开始计算。
3、Washington 华盛顿
《华盛顿我的健康我的数据法案》(MHMD) 的规定自 2024 年 3 月 31 日起对受监管实体全面生效(小型企业推迟到 2024 年 6 月 30 日)。尽管 MHMD 自 2023 年 7 月 23 日起生效,但 MHMD 的许多要求被推迟到 2024 年 3 月 31 日。企业需要了解 MHMD 比典型的健康数据隐私法要广泛得多。其对“消费者健康数据”的定义非常广泛,可能涵盖传统上不被认为是健康数据的许多类型的数据元素,同时需要注意非营利组织并未得到豁免。该法律还具有私人诉讼权,这大大增加了不遵守规定的风险。
消费者健康数据是指与消费者相关联或可合理关联的个人数据,可识别消费者过去、现在或未来的身体或精神健康状况;包括(但不限于):
?个人健康状况、治疗、疾病或诊断;
?性别平等护理;
?身体机能、生命体征、症状或本清单中任何内容的测量值
?社会、心理、行为和医疗干预;
?与健康有关的手术或程序;
?使用或购买处方药;
?生殖健康信息;
?生物识别和基因数据;
?可识别寻求医疗服务的消费者的数据;
?可合理表明消费者试图获取或接受医疗服务或用品的位置信息。
4、Nevada 内华达州
内华达州消费者健康数据隐私法 (SB 370) 也将于 2024 年 3 月 31 日生效。内华达州法律是与华盛顿州 MHMD 相比更加对商业实体友好的法律。例如,内华达州法律没有私人诉讼权,并且对消费者健康数据的定义较狭隘。
如前所述,华盛顿的 MHMD 将自 2024 年 6 月 30 日起全面适用于小型企业。
1、Texas 德克萨斯州
德克萨斯州数据隐私和安全法案 (HB 4) 基于 Washington Privacy Act(WPA) 模型,但与其他 WPA 变体有一些显着差异。例如,该法律包含独特的适用性标准,它没有规定收入门槛,也没有规定处理个人信息的最低数量,适用于:(1) 在德克萨斯州开展业务或生产德克萨斯州居民消费的产品或服务,(2) 处理或从事个人数据销售,以及 (3)非小型企业(根据United States Small Business Administration定义)。该法律还对出售敏感个人数据或生物识别数据的控制者提出了独特的披露要求。
2、Oregon 俄勒冈州
俄勒冈州消费者隐私法案 (SB 619) 也基于 WPA 模型,并且与德克萨斯州一样,包含与其他 WPA 变体的一些显着差异。例如,该法律包含一项独特的金融机构实体级豁免,该豁免依赖于俄勒冈州法律,而不是《格拉姆-里奇-比利利法案》(GLBA) 中对金融机构的更广泛定义。俄勒冈州法律还包含生物识别数据的独特定义,并扩展了敏感数据定义所涵盖的信息类型。也许最显着的区别是,俄勒冈州居民将有可能根据控制者的选择(at the controller’s option),获取“控制者已披露给非自然人的特定第三方的关于消费者个人数据或任何个人数据的具体清单”,没有其他法律要求确定具体的第三方,只有要求提供第三方的类别。从 2025 年 7 月开始,该法律也将适用于非营利组织。
3、Florida 佛罗里达
佛罗里达州“数字权利法案”(SB 262) 将于 2024 年 7 月 1 日生效,但其适用范围比其他州的消费者隐私法要窄得多,仅适用于少数符合年总收入 10 亿美元门槛要求的公司,并且 (1) 50% 以上的收入来自定向广告(targeted advertising),(2) 运营“消费者智能扬声器(consumer smart speaker)和语音命令组件(voice command component)”,”或 (3) 经营一家拥有至少 250,000 个软件应用程序的应用程序商店。
4、Louisiana 路易斯安那州
路易斯安那州的社交媒体法也将于 2024 年 7 月 1 日生效。该法包含与犹他州社交媒体监管法案类似的条款。如上所述,犹他州社交媒体监管法案目前正面临犹他州联邦法院的宪法挑战,而路易斯安那州的法律在生效之前也可能会面临类似的挑战。
5、California 加利福尼亚州
加州的数据经纪人必须遵守州内的数据经纪人登记法,到2024年7月1日之前,他们必须在隐私政策中收集并报告有关他们收到的某些CCPA请求的信息。
加州的《适龄设计规范法案》(AADC) 也将于 2024 年 7 月 1 日生效;然而,去年 9 月,加州联邦地方法院裁定 AADC 违宪,并禁止其生效。加州总检察长就这一裁决向第九巡回法院提出上诉。
6、Colorado 科罗拉多州
2024 年 7 月 1 日是科罗拉多州隐私法两项义务的截止日期。
首先,受科罗拉多州隐私法案 (CPA) 约束的控制者必须在此日期之前认可已批准的通用选择退出机制列表(即全球隐私控制)。控制者不仅需要认识到这一 UOOM,而且 CPA 规则 6、03A、4、e 还要求控制者自 2024 年 7 月 1 日起,提供“如何处理使用通用退出机制(UOOM)选择退出的请求”的隐私声明。
其次,2024 年 7 月 1 日是控制者获得处理敏感数据同意的截止日期。对于控制者在 CPA 生效日期之前所有未经有效同意收集的敏感数据都需要有效同意。
1、Texas 德克萨斯州
德克萨斯州《通过家长赋权 (SCOPE) 法案》 (HB 18) 于 2024 年 9 月 1 日生效”。该法律要求“数字服务提供商(digital service providers)”在允许个人开设账户之前登记其年龄,并制定实施一项战略,以防止已知的未成年人接触有害材料和其他宣传、美化或促进:(1) 自杀、自残或饮食失调;(2) 药物滥用;(3) 跟踪、欺凌或骚扰;(4) 诱骗、贩卖、儿童色情或其他性剥削或性虐待。”
去年,得克萨斯州立法者还通过了 HB 1181,要求验证年龄才能查看色情网站。然而,德克萨斯州联邦地方法院认为该法律违宪,并禁止其生效。第五巡回法院随后暂缓执行该禁令,目前仍在等待快速裁决。
1、Montana 蒙大拿
《蒙大拿州消费者数据隐私法》(SB 384) 于 2024 年 10 月 1 日生效。蒙大拿州法律与康涅狄格州数据隐私法密切一致。蒙大拿州是第一个通过消费者数据隐私法案的共和党控制的立法机构,该法案要求控制者承认普遍的选择退出机制(UOOM)、为儿童提供额外的权利、提供两年纠正违规行为期,并调整适用门槛以适应该州人口较少的情况(50,000 名而不是典型的 100,000 名门槛)。
2、Connecticut 康涅狄格州
2024 年 10 月 1 日也是康涅狄格州首部儿童隐私法 (SB 3) 的生效日期。2023 年康涅狄格州儿童隐私法对 2022 年康涅狄格州数据隐私法进行了补充,为 13 至 17 岁的儿童提供额外的隐私保护。
2024 年 12 月 31 日,《康涅狄格州数据隐私法》规定的纠正违规行为权利(right to cure violations)到期。
1、Delaware 特拉华州
特拉华州的法律(HB 154)很大程度上遵循康涅狄格州的法律,但有一些显着的差异。例如,该法律适用于非营利组织(科罗拉多州和俄勒冈州有同样要求),并对控制者获得出售个人数据和定向广告的选择同意提出了更高的年龄要求(18 岁以下与 16 岁以下)。需要注意特拉华州是适用门槛最低的州之一,仅需控制或处理35,000名特拉华州消费者的个人数据,或者控制或处理10,000 名特拉华州消费者的个人数据且过去一年通过销售个人数据的收入占前一年总收入的20%以上 。
2、Iowa 爱荷华州
爱荷华州的法律(SF 262)是迄今为止通过的最有利于商业的法律之一。该法律没有要求控制者提供纠正的权利,也不清楚是否要求控制者提供选择退出定向广告的权利。与犹他州一样,爱荷华州法律不要求控制者获得同意才能收集敏感数据,而只需要通知和选择退出的机会。它也不要求控制者进行数据保护评估。
3、Colorado科罗拉多州
2025 年 1 月 1 日,《科罗拉多州隐私法》规定的纠正违规行为的权利(right to cure violations)到期。
4、Connecticut, Texas, and Montana康涅狄格州、德克萨斯州和蒙大拿州
康涅狄格州、德克萨斯州和蒙大拿州将于 2025 年 1 月 1 日触发控制者承认通用退出机制(universal opt-out mechanisms)的要求。
附:上文时间线