2024年美国各州即将生效的新隐私保护法(下)
文章目录
前言
目前尚未看到联邦层面统一隐私法在近两年落地的可能,随着2024年1月9日新泽西州加入隐私保护法的行列,以及联邦将更多的精力投入到监管人工智能当中,可以预见的是未来会有越来越多错综复杂、相互矛盾的州层级隐私法不断出现。
这不仅给企业的合规运营带来挑战,同时越来越长的声明和毫无意义同意按钮也并未如立法者声明的那样真正保护消费者的隐私权利。在这样的法律环境下受益者是不是只有隐私法从业人员?我们需要重新审视何为符合公众利益的隐私保护法。
一、相关实体应该做哪些准备?
(一)审查和修订获得同意的过程
为符合俄勒冈州、得克萨斯州、爱荷华州、蒙大拿州、特拉华州和康涅狄格州的新修正案,请确保以下事项事先征得同意:
处理敏感个人数据
处理有关已知儿童(13 岁以下)的个人数据;
以进行有针对性的广告或出售为目的,处理有关蒙大拿州 13-16 岁、俄勒冈州和康涅狄格州 13-15 岁以及特拉华州 13-18 岁消费者的个人数据。
如果消费者先前已选择(直接或通过通用选择退出机制)不出售个人数据、不处理个人数据用于定向广告,或不处理个人数据用于特征分析
为任何非合理必要或与最初指定的处理目的不符的目的处理个人数据。
审查同意程序以确认同意:
是通过消费者明确、肯定的行动获得的
自由提供的
具体的
通过告知使其知情的
如有必要,可刷新之前批准的同意书,以满足新法律的要求。
推荐建立一个流程,以从过去 24 个月内与您互动的任何消费者那里获得新的同意。
华盛顿州
华盛顿隐私法规定,如果数据的使用目的不是向消费者提供所要求的服务,则必须在收集或共享数据前征得同意。同意共享有别于同意收集,两者必须分别获得,并且都要求在获得同意的同时附上一份隐私通知。
出售消费者健康数据的销售同意书有更高的要求:这种 "授权"需要消费者签名,且有 9 项不同的要求,有效期只有一年。
(二)更新和修订隐私声明
为支持知情同意而必须提供的信息:
控制者的身份
以通俗易懂的语言说明要求同意的原因
要求同意的处理目的
为实现处理目的而将处理的个人数据类别
如果出售敏感个人数据,则应说明将接收该数据的所有第三方的名称
消费者有权随时撤销同意,以及如何撤销同意
务必积极维护您的隐私声明,全年检查以确保其符合最新法律规定
满足得克萨斯州的独特规定:在收集敏感数据或生物识别数据时,隐私声明必须包括以下内容:
单独通知:我们可能会出售您的敏感个人数据。
单独通知:我们可能会出售您的生物识别个人数据。
加强和优化隐私声明和使用条款,让客户一目了然。
俄勒冈州与科罗拉多州一样,有一些具体要求,包括明确说明收集和处理信息的 “明确目的”。这可能比其他州的要求更加具体。
随着越来越多的法律生效,考虑将隐私通知要求分为:
GDPR、CCPA 和其他综合性美国州法律三个部分。
除加利福尼亚州外,美国其他州的法律大致相同。这样更容易更新,消费者也更容易接受。必要时,请务必注意法律之间的差异,或者干脆选择对所有用户适用最严格的监管要求。
(三)识别和管理敏感/特殊类别的个人数据
了解公司所收集的各种数据并确定根据适用法律哪些信息被视为敏感信息。制定程序,限制公司使用和披露敏感个人数据。
美国各州:更新同意程序,获取并跟踪符合有效同意新要求的同意。
大部分州处理敏感个人数据需要事先同意(opt-in),爱荷华州、犹他州、加州要求利用opt-out结构来处理敏感个人数据,因此无需事先征得同意。
华盛顿健康隐私法有特殊的同意要求(见上文同意部分)
加州的重点是敏感数据的选择退出权,以及对敏感数据二次使用的限制。
确认公司对外的隐私声明充分披露了贵组织在敏感个人数据方面的做法。
了解敏感个人数据的存放位置,确保应用于这些系统的保护控制措施适合数据的敏感性。
各州敏感个人信息对比:
二、重新审视儿童信息
(一)就出售、共享或处理未成年人的个人数据征得同意:
未成年人/儿童是指 13 岁以下的人
确定在何处收集、共享或出售有关未成年人的个人数据和敏感个人数据。
在收集、共享或出售未成年人的个人数据之前,征得适当的同意。
对 13 岁以下儿童的适当同意是监护人同意。
确保面向未成年人的隐私通知适合其年龄,并以清晰、通俗易懂的方式撰写。
为未成年人的敏感个人数据实施强有力的安全措施。
(二)美国新数据隐私法要求:
一般来说,遵守《儿童在线隐私保护法案》(“COPPA”)中可验证的父母同意要求通常被视为符合儿童同意要求。虽然俄勒冈州没有明文规定,但在实践中具有相同的要求
儿童应收到适合其年龄的隐私声明/通知。
加强未成年人敏感个人数据的安全措施。
以进行有针对性的广告或出售为目的,处理有关蒙大拿州 13-16 岁、俄勒冈州和康涅狄格州 13-15 岁以及特拉华州 13-18 岁消费者的个人数据时,必须事前征得其同意。
康涅狄格州新法亮点:
未经同意,不得收集未成年人的精确地理位置数据
16 岁以下未成年人使用社交媒体账户需征得父母同意
不能允许跟踪未成年人的在线活动(如父母安装的网站日志),而不向未成年人发出他们正在被监控的明显信号
三、关注PIA或DPIA的新要求
(一)加州
当处理活动对消费者隐私或安全构成重大风险时,应进行风险评估并提交给加州隐私保护局。(CPPA)。
风险评估应权衡处理活动给企业、消费者、其他利益相关者和公众带来的利益,以及给消费者权利带来的潜在风险。
(二)犹他州、华盛顿州和爱荷华州
不要求 PIA/DPIA
(三)俄勒冈州、得克萨斯州、蒙大拿州和特拉华州
这些法律与弗吉尼亚州、科罗拉多州和康涅狄格州的法律密切相似。在进行具有较高危害风险的处理活动时,需要进行数据保护评估。控制者可能被要求向总检察长提供 PIA/DPIA。特拉华州只要求控制或处理100,000 名以上特拉华州消费者数据的控制者进行 PIA/DPIA。
较高的伤害风险包括:
有针对性的广告。
画像(Profiling)具有以下风险:
不公平或欺骗性待遇,或非法或差异影响。
经济、身体或名誉伤害。
侵扰消费者的独处或隐居,或消费者的私人事务,如果这种侵犯会冒犯一个理性的人。
对消费者造成其他实质性伤害。
出售个人数据。
处理敏感个人数据。
四、披露是否将个人数据出售给第三方或与第三方共享用于定向广告
某些司法管辖区要求组织向个人提供选择退出定向广告的权利。
确定公司是否向第三方出售个人数据或处理个人数据用于定向广告。
允许个人选择不(opt-out)出售或不共享个人数据用于定向广告的。
确保消费者能够以清晰易懂的方式做出选择方式。
避免因消费者行使选择退出权而对其进行歧视。
(一)加州
为个人提供选择权,使其可以拒绝出售或共享个人数据用于定向广告。
组织网站上必须有 "请勿出售或共享我的个人信息 "链接(或图标)(或在隐私声明中说明不会出售个人数据)。
(二)美国新数据隐私法要求:
与 2023 年生效的法律一样,新法律要求控制者披露是否向第三方出售个人数据或处理个人数据用于定向广告,并向个人提供选择退出的选项。
使消费者能够选择退出,包括通过普遍选择退出机制(UOOMs)的方式,如 GPC。(加利福尼亚州、科罗拉多州、康涅狄格州、特拉华州、蒙大拿州、俄勒冈州和德克萨斯州要求遵循)