国各州走上CCPA之路

Buy Database Forum Highlights Big Data’s Global Impact
Post Reply
nurnobi40
Posts: 974
Joined: Thu Dec 26, 2024 5:07 am

国各州走上CCPA之路

Post by nurnobi40 »

数据保护立法已成为全球趋势。继欧盟通过《通用数据保护条例》 (GDPR)后,从澳大利亚、日本到巴西和加拿大,世界各国都制定了严格的隐私和数据保护法。然而,作为数字市场最大参与者之一的美国尚未制定全国性的综合数据保护法规。

到目前为止,制定数据保护法的努力主要集中在州一级,加利福尼亚州率先颁布了《消费者隐私法案》 (CCPA),其他州也纷纷效仿。随着美国立法者开始认真考虑制定一部联邦数据保护法以协调全美数据保护的可能性,多个州已开始推进各自的举措,并取得了不同程度的成功。

内华达州扩大数据隐私法
2019 年 5 月 29 日,内华达州颁布了参议院第 220 号法案(SB-220),这是一项类似于 CCPA 的在线隐私法修正案。尽管 SB-220 是在 CCPA 之后通过的,但它将于 2019 年 10 月 1 日生效,比 CCPA 于 2020 年 1 月 1 日生效提前三个月,这使得内华达州成为美国第一个赋予消费者选择不出售其个人信息权利的州。

话虽如此,SB-220 的适用标准比 CCPA 的要窄得多。例如,销售被定义为仅为金钱考虑而交换信息,而 CCPA 还将有价值的考虑添加到列表中。这意味着消费者可以选择不将其信息出售给其他希望直接从中获利的公司,但如果数据出于其他目的出售,消费者可能别无选择。

该法律还规定了一些例外情况。在合并、收购和破产的情况下,作 俄罗斯号码筛选 为资产转移的一部分,或为了符合消费者合理预期的目的,向数据处理者、服务提供商、关联方披露信息不属于该法律的范畴。受 GLBA 和 HIPAA 保护的数据也不包括在内。

如果不遵守规定,SB-220 授权内华达州总检察长对每次违法行为寻求禁令或处以最高 5,000 美元的民事处罚。

俄勒冈州更新数据泄露法
另一个更新现有立法的州是俄勒冈州,该州于 2019 年 5 月 24 日扩大了其数据泄露通知法规,其新规定将于 2020 年 1 月 1 日与 CCPA 同时生效。此次更新将法律的适用标准扩展到所谓的供应商,本质上是数据处理者和服务提供商,公司可能会在数据管理或处理活动过程中与他们签订合同并向其传输消费者数据。

根据新规定,当供应商发现数据泄露影响超过 250 名俄勒冈州消费者的个人信息,或无法确定具体数量时,供应商有义务通知俄勒冈州总检察长。如果原始数据收集者已经通知总检察长,他们就不再需要这样做。受影响的消费者也必须在泄露发生后 10 天内得到通知。

德克萨斯州迈出数据保护立法的第一步
今年,德克萨斯州立法会议上提出了两项​​隐私法案。受 CCPA 启发的众议院法案 4518 未能通过。第二项众议院法案 4390获得通过,但经过大量修订,仅更新了德克萨斯州的数据泄露通知法规,并成立了德克萨斯州隐私保护咨询委员会,其任务是研究世界各地的数据隐私法,并在 2020 年 9 月 1 日之前向德克萨斯州立法机构提出法定变更建议。咨询委员会的调查结果可能会在未来的德克萨斯州隐私法草案中发挥重要作用,但这也意味着在 2021 年德克萨斯州立法会议之前可能不会提出全面的法律。

HB 4390 更新了德克萨斯州现行《身份盗窃执法和保护法》中的数据泄露通知要求。公司现在有 60 天的时间从他们意识到数据泄露的那一刻起通知德克萨斯州消费者。如果泄露影响超过 250 名德克萨斯州消费者,他们还必须通知德克萨斯州总检察长。新规定将于 2020 年 1 月 1 日生效。

华盛顿加强数据泄露通知,但拒绝隐私法案
2019 年 4 月 22 日,华盛顿州立法机构一致通过了HB 1071 法案,该法案扩大了数据泄露通知的要求,但未能批准SB 536 法案,该法案是受 GDPR 启发而制定的雄心勃勃的新隐私法案。尽管立法者决心继续推进,但他们必须等到明年的立法会议才能提出自己的主张。

HB 1071 将公司和政府机构通知受影响消费者和司法部长的通知期限从 45 天缩短至 30 天。以前,只有当丢失或被盗的数据包含消费者姓名以及四种类型的个人身份信息 (PII) 时才需要通知:社会安全号码、驾驶执照号码、州身份证号码或财务信息。PII 的类别现已大大扩展,包括完整的出生日期、健康保险 ID 号、病史、学生证号码、军人证号码、护照 ID 号、用户名-密码组合或生物特征数据。

纽约加大赌注
纽约也不甘落后,新出台的《隐私法案》(NYPA)将比《加州消费者隐私法案》甚至其欧洲同类法案《GDPR》更进一步加强数据保护。消费者保护委员会主席、纽约州参议员凯文·托马斯上个月提出的S5642法案如果获得通过,将扩大我们所知的数据隐私范围。

除其他事项外,该法案明确规定,数据受托人的首要职责是保护消费者的数据,并且该考虑优先于对法人实体或关联方、控制者或数据经纪人的所有者或股东的任何义务。纽约电力局还明确授予因违反该法案而受到伤害的纽约居民对违规公司提起诉讼的权利。

与 CCPA 不同,NYPA 不限制收入门槛。这意味着,与 GDPR 一样,任何企业甚至非政府组织都可能受到其影响。唯一被排除的实体是州和地方政府、收集和处理属于其他数据保护法规(如 HIPAA 或 GLBA)范围的数据的实体以及为就业记录目的而维护的数据集的实体。
Top
Post Reply

Return to “Buy Database”