法规内容摘要
7 月 1 日,佛罗里达州数字权利法案 (Florida Digital Bill of Rights, FDBR)、俄勒冈州消费者隐私法案 (Oregon Consumer Privacy Act, OCPA) 和德克萨斯州数据安全和隐私法案 (Texas Data Privacy and Security Act, TDPSA) 生效。
FDBR主要适用于年总收入超过10亿美元的大企业,尤其是经营数字广告业务或运营大型线上平台的公司。FDBR特别强调了对生物识别数据的处理,要求对出售敏感和生物识别数据发出明确的通知,为通过语音和面部识别技术收集数据、个性化广告提供选择退出的权利。FDBR的实施确立了消费者数据隐私保护的更高标准,企业需提前做好合规准备,包括更新隐私政策、与第三方签订合规合同,以及进行员工培训和隐私影响评估。
OCPA适用于适用于年营业额超过2500万美元或处理超过10万名消费者数据的企业。OCPA要求对儿童数据和敏感数据进行处理前提供明确的“选择加入”同意(“opt-in” consent)。企业除了在处理13至15岁未成年人数据时需获得明确同意外,对于13岁以下的儿童数据,还需要遵守《儿童在线隐私保护法》(COPPA)的规定。同时,该法案扩展了敏感数据的定义,将“跨性别或非二元”身份和“犯罪受害者”身份,以及生物识别、遗传和地理位置数据均纳入到了敏感数据的定义中,要求企业在处理此类数据前需进行DPIA。
TDPSA适用于在德克萨斯州开展业务或向德克萨斯州居民提供产品或服务的实体,但不包括美国小企业管理局(U.S. Small Business Administration)定义的小型企业或根据该法案获得豁免的实体。法案要求企业在处理个人数据时须采取数据安全保障措施,并签订数据处理协议,特别是对于高风险数据处理活动,需进行数据保护影响评估。此外,TDPSA特别强调了对敏感数据和生物识别数据的额外披露义务,并要求企业在销售个人数据或提供定向广告时,向数据主体提供明确的退出机制。
法规对比
法规名称 内容 | 加州 CCPA | 佛罗里达州 FDBR | 俄勒冈州 OCPA | 德克萨斯州 TDPSA |
生效时间 | 2020年1月1日 | 2024年7月1日 | 2024年7月1日 | 2024年7月1日 |
适用范围 | 适用于满足下列条件之一的企业: (1)上一日历年的年总收入超过 2500 万美元; (2)为企业商业目的每年购买、接收、出售或共享50,000条或更多加州居民的个人信息。 (3)其每年50%以上的收入来自于出售或共享消费者的个人信息。 上述企业的控制者获受上述企业控制的企业以及与其有共同品牌且与之共享消费者个人信息的企业,也在CCPA的适用范围之内。 | 该法案适用于在佛罗里达州开展业务或其产品或服务被佛罗里达州居民使用,并处理或参与个人数据销售的实体。 法案不适用于以下实体或情况: 1.州机构或州的政治分支机构。 2.受Gramm-Leach-Bliley Act第V条管辖的金融机构。 3.受HIPAA管辖的实体或商业伙伴。 4.非营利组织。 5.公立高等教育机构。 | 在俄勒冈州开展业务或向俄勒冈州居民提供产品或服务的实体,且年营业额超过2500万美元;或处理超过10万名消费者数据,同时有25%及以上的年收入是来自销售个人数据的企业。 | TDPSA适用于在德克萨斯州开展业务或向德克萨斯州居民提供产品或服务的实体,但不包括美国小企业管理局(U.S. Small Business Administration)定义的小型企业或根据该法案获得豁免的实体。 |
个人信息定义 | “个人信息”是指能够识别、关联、描述、合理地与特定消费者或家庭直接或间接关联或合理地与之相关的信息。 | “个人信息”是指任何与已识别或可识别的个人有关联或有合理关联方式的信息,包括敏感数据。当控制者或处理者使用的数据与附加信息结合使用,而这些附加信息合理地将数据与已识别或可识别的个人联系起来时,伪匿名数据也包括在内。该定义不包括去标识化数据或公开可获取的信息。 | “个人数据”指的是与消费者或消费者家庭中一个或多个可识别设备相关联的数据、衍生数据或任何唯一标识符。 不包括: 去标识化数据或以下类型的数据: 1.通过联邦、州或地方政府记录或通过广泛传播的媒体合法获得的数据。 2.控制者有正当理由认为是消费者合法公开的数据。 | “个人数据”包括任何与已识别或可识别的个人直接或合理关联的信息,包括当控制者或处理者结合额外信息使用匿名数据,而这些信息合理地将数据与一个已识别或可识别的个人联系起来。不包括去标识化的数据或公开可用的信息。 |
敏感个人信息 | 敏感个人信息是指与以下个人信息内容有关的信息: (1)消费者的社会保险号、驾驶执照编号、州身份证号或护照号; (2)消费者的账户登录名、金融账户、借记卡或信用卡号码与任何所需的安全或访问代码、密码或允许访问账户的凭证相结合; (3)消费者的精确地理位置; (4)消费者的种族或民族血统、公民或移民身份、宗教或哲学信仰或工会会员资格;以及 消费者的邮件、电子邮件和短信的内容,除非企业是该通信的预期接收者; (5)消费者的基因数据; (6)为唯一识别消费者而处理的生物特征信息; (7)收集和分析有关消费者健康的个人信息;以及 (8)收集和分析有关消费者性生活或性取向的个人信息。 已公开的敏感个人信息将不会被视为敏感个人信息或个人信息。 | “敏感数据”是个人数据的一个类别,包括但不限于以下几类: 1.揭示个人种族或民族起源、宗教信仰、精神或身体健康诊断、性取向或公民身份或移民身份的个人数据。 2.为唯一识别个人而处理的遗传或生物识别数据。 3.从已被识别的儿童收集的个人数据。 4.精确地理位置数据。 | "敏感数据"包括以下几类个人数据: 1.揭示特定身份特征的数据:包括揭示消费者的种族或民族背景、国籍、宗教信仰、精神或身体状况或诊断、性取向、跨性别或非二元性别身份、作为犯罪受害者的身份、公民身份或移民身份的数据。 2.儿童的个人数据:涉及儿童的个人数据,但法案未具体定义儿童的年龄范围。 3.精确位置数据:能够准确识别消费者当前或过去位置的数据,通常在半径1,750英尺以内,或与消费者相关联的设备的位置,这些设备通过技术手段(如全球定位系统)与消费者关联。 4.遗传或生物识别数据:包括个人的遗传数据和生物识别数据,这些数据能够用于识别消费者。 不包括 通信内容或与高级公用事业计量基础设施系统或设备相关的任何数据。 | “敏感数据”是个人数据的一种类别,包括: 1.揭示个人的种族或民族起源、宗教信仰、精神或身体健康诊断、性取向、或公民身份或移民身份的个人数据; 2.用于唯一识别个人的目的而处理的遗传或生物识别数据; 3.从已知儿童收集的个人数据; 4.精确的地理位置数据。 |
提供隐私政策/披露/透明性相关的要求 | 企业需在其隐私政策中明确告知消费者其个人信息的收集、使用和出售方式,以及消费者的权利。 | 数据控制者必须向消费者提供一个合理可访问且清晰的隐私通知,该通知至少每年更新一次。隐私通知应包含以下信息: 1.处理的个人数据类别,包括敏感数据(如果适用)。 2.处理个人数据的目的。 3.消费者行使权利的方式,包括如果控制者拒绝采取行动时的上诉流程。 4.如果适用,控制者与第三方共享的个人数据类别。 5.如果适用,与控制者共享个人数据的第三方类别。 6.如何通过规定的方法提交行使消费者权利的请求。 | 隐私政策必须清晰、易于理解,并包含以下内容: 1.处理的个人数据类别,包括敏感数据的类别。 2.处理个人数据的目的。 3.消费者如何行使权利,包括如何上诉控制者拒绝其请求。 与第三方共享的所有个人数据类别,包括敏感数据。 4.所有与控制者共享个人数据的第三方类别。 5.一个电子邮件地址或其他在线联系方式,供消费者联系控制者。 6.明确标识控制者,包括在州务卿处注册的任何商业名称和控制者在本州使用的任何假定商业名称。 7.清晰显著地描述控制者为针对性广告或产生法律效果或类似重要影响的决策而进行的任何个人数据处理,以及消费者选择退出这类处理的程序。 8.描述消费者根据本法案第4条提交请求的方法。 | 数据控制者必须向消费者提供一个易于访问且清晰的隐私政策,该政策应包括处理的个人数据类别、处理个人数据的目的、消费者如何行使其权利、与第三方共享的个人数据类别、共享个人数据的第三方类别,以及消费者通过哪些方法可以提交行使权利的请求。 |
营销 opt-in / opt-out 的相关要求 | 消费者有权在任何时候指示欲向第三方出售其个人信息的主体不得采取出售行为。相关主体也负有对应的通知义务,并应告知消费者他们有权选择其个人信息不被出售。 | 消费者有选择退出(Opt-out)权利:消费者有权选择退出其个人数据的某些处理活动,包括: 1.定向广告(Targeted advertising) 2.个人数据的销售(Sale of personal data) 3.可能对消费者产生法律或类似重大影响的决策制定中的数据画像(Profiling) | 对于处理敏感数据,包括针对性广告、分析消费者以产生法律效果或类似重要影响的决策,以及出售消费者的个人数据,如果消费者年龄在13至15岁之间,控制者必须事先获得消费者的明确同意。 消费者有权选择退出以下处理活动: 1.针对性广告(Targeted Advertising); 2.出售个人数据(Selling Personal Data); 3.数据画像(Profiling),如果这种画像可能导致对消费者不公平或欺骗性的行为,或对消费者产生法律效果或类似重要影响的决策。 | 选择退出权(Opt-out Right):消费者有权选择退出其个人数据被用于定向广告、数据销售或产生法律效果或其他类似重大影响的分析处理。 |
同意管理/用户同意相关要求 | 任何自由作出的、具体的、知情的、明确的基于消费者意愿的指示……例如通过一份声明或明确的授权行为表示同意基于有限的特定目的而处理与其相关的个人信息。下列行为不属于同意: 1.消费者实施的一般行为,例如对广泛的使用条款表示同意,这些条款将个人信息处理与其他无关信息一起描述; 2.“悬停、静音、暂停或关闭特定内容”或者使用所谓的“暗模式”来操纵或误导消费者以诱使其同意。 | 用户同意是指用户自由给予的、具体的、知情的、明确的同意,以处理与用户相关的个人数据。同意可以通过书面声明、电子方式或其他明确的肯定行为来表达。下列情况下不构成用户同意: 1.接受一般或广泛的使用条款或其他包含个人数据处理描述的文件。 2.静音、暂停或关闭特定内容。 3.通过使用“黑暗模式”(dark patterns)获得的同意。 敏感数据的同意:控制者在处理敏感数据之前,必须获得用户的同意。对于已知儿童的敏感数据,必须获得该儿童的明确授权。 儿童数据处理的同意:对于已知儿童的个人数据,控制者必须根据儿童的年龄及COPPA的要求,获得相应的父母同意或儿童的授权 | 用户的同意必须是一个明确的行为,即用户通过清晰和显著的方式表达对他人行为的同意。获取用户同意的用户界面不得包含任何机制,这些机制的目的是或具有获取同意的效果,通过掩盖、颠覆或损害用户自主性、决策或选择。用户的不作为(例如,未选择退出)不构成同意。控制者在处理敏感数据之前必须获得用户的同意。如果控制者知道用户是儿童,则必须根据COPPA处理敏感数据。 用户有权随时撤销其对控制者处理个人数据的同意。一旦用户撤销同意,控制者必须在实际可行的范围内尽快,但不晚于收到撤销通知后的15天内,停止处理个人数据。 | 同意是消费者自由给予的、具体的、知情的、不含糊的同意,以清晰肯定的行为表示,同意处理与消费者相关的个人数据。这包括书面声明或电子方式的声明,或其他明确的肯定行为。不包括: 1.接受一般或广泛的使用条款 2.通过使用“暗模式”(Dark Pattern)获得的同意。 |
DSR 范围 | 知情权、选择权、访问权、删除权(被遗忘权)、非歧视权 | 消费者有权: 1.确认并访问自己的个人信息 2.更正个人信息的错误 3.删除自己的个人信息 4.获取个人信息的副本 5.选择退出目标广告、个人信息销售或对消费者产生法律或类似重大影响的画像分析 6.选择退出敏感数据的收集和处理 7.选择退出通过语音识别或面部识别功能收集个人数据 8.要求设备停止在非使用状态下进行监控 | 1.确认和访问权:消费者有权确认其个人数据是否被处理,并获取这些数据的副本。 2.更正权:消费者有权要求更正其个人数据中的不准确之处。 3.删除权:消费者有权要求删除其个人数据。 4.退出权:消费者有权退出其个人数据的处理,包括针对性广告、数据出售或为产生法律效果或类似重要影响的决策而进行的分析。 | 消费者有权知道企业是否处理其个人数据,访问、更正、删除这些数据,并要求企业提供数据的副本。消费者还可以选择退出其个人数据的某些处理活动,例如定向广告、数据销售或可能产生重大法律或类似效果的分析。 |
儿童年龄定义 | 16周岁以下的个人 | 未满18岁的消费者 | 年龄在13岁以下的个人 | 未满13岁的个人 |
儿童数据处理的特殊规定 | 对于未满 13 岁的儿童,除非其父母或监护人明确授权出售或共享其个人信息,否则企业不得出售或共享其个人信息。 已满 13 岁但未满 16 岁的消费者,在出售或共享他们的个人信息之前,需要征得父母的同意或监护人的同意。 | 对于已被识别的儿童的个人数据的处理,控制者必须获得儿童的明确授权,特别是对于 13 至 18 岁的儿童。对于 13 岁以下的已知儿童,控制者必须遵守《儿童在线隐私保护法》(COPPA)的要求。 | 控制者必须确保在收集、共享或出售儿童的个人数据之前,获得适当的同意。对于 13 岁以下的儿童,需要获得家长或其监护人的同意。控制者对儿童进行针对性广告、分析或出售之前,必须获得家长或法定监护人的同意。 | 对于已知儿童(Known Child)的个人数据,控制者在进行处理之前,必须获得家长或法定监护人的同意。控制者在处理已知儿童的敏感数据之前,必须获得家长或法定监护人的同意,并且必须遵守 COPPA 的相关规定。 |
风险评估相关要求 | / | 控制者必须对涉及个人数据的处理活动进行文档化的数据保护影响评估,特别是当这些活动涉及到: 1.定向广告 2.个人数据的销售 3.可能对消费者造成不公平或欺骗性待遇、非法差异影响、财务、身体或声誉伤害等风险的数据分析(画像) 4.敏感数据的处理 5.对消费者构成高风险的任何其他处理活动 | 控制者必须对其可能对消费者造成重大伤害风险的处理活动进行数据保护评估。 这些处理活动包括但不限于: 1.为针对性广告处理个人数据; 2.处理敏感数据; 3.出售个人数据; 4.使用个人数据进行分析,如果这种分析存在以下风险: - 对消费者不公平或欺骗性的行为; - 对消费者造成法律效果或类似重要影响的决策; - 对消费者造成财务、身体或声誉伤害; - 侵犯消费者的隐私,如果侵犯行为对合理人来说是不可接受的; - 对消费者造成其他重大伤害。 | 对于定向广告、数据销售、分析等可能对消费者造成重大风险的处理活动,企业需要进行评估。 |
违规处罚 | 企业违反 CCPA,且在加州总检察长给出的 30 天内没有更正违法行为并弥补损坏,加州总检察长可以在法院寻求禁令救济,或者起诉违法企业,处以民事处罚。每一次违法行为罚款 2500 美元以上。对于故意违法行为,每次罚款高达 7500 美元。 消费者也可以因个人信息泄露向加州法院对企业提起诉讼索赔,企业可能面临高达 750美元/人的民事罚款,或者是赔偿实际损失。消费者有权选择两者之中较高的数额作为索赔数额。 | 除另有规定外,FDBR 不创建私人诉讼原因,即消费者不能直接对违反FDBR的行为提起私人诉讼。 对于违反 FDBR 的行为,州司法部可以征收最高 50,000 美元的民事罚款。对于涉及已被识别的儿童的违规行为,如果控制者故意忽视消费者的年龄,则罚款可以增至三倍。 在某些情况下,如果被通知违规,州司法部会给予 45 天的期限纠正违规行为。如果违规行为在 45 天内得到纠正并提供了相应的证明,州司法部可能不会对该违规行为提起诉讼。如果违规行为在 45 天内得到纠正并提供了相应的证明,州司法部可能不会对该违规行为提起诉讼。该项规定不适用于涉及已被识别为儿童的违规行为。 | 总检察长可以对每次违规行为处以不超过7500 美元的民事罚款。OCPA 没有赋予消费者直接提起诉讼的权利。 在提起诉讼之前,总检察长应通知控制者违规行为,如果总检察长确定控制者可以整改违规行为。如果控制者在收到违规通知后 30 天内未能整改,总检察长可以提起诉讼,无需进一步通知。 | 违反TDPSA的个人或企业可能会面临每次违规不超过7500美元的民事罚款。在提起诉讼之前,总检察长必须书面通知涉嫌违规方,并给予其在 30 天内改正违规行为的机会。如果涉嫌违规方在 30 天的改正期内未能改正违规行为,或者违反了向总检察长提供的书面改正声明,总检察长可以提起诉讼。 消费者或其他个人不能因违反本法案而直接提起私人诉讼。 |
启示
根据新法案的要求,在这些州开展业务的企业需及时更新隐私政策、进行隐私影响评估,并采取适当的安全措施,以确保合规并保护消费者的隐私权利。同时,对员工进行隐私合规培训,确保他们了解新法律要求和企业责任。企业还需审查与第三方合作伙伴的数据共享协议,加强数据安全措施,防止数据泄露和滥用。为应对监管查询和消费者请求,企业应建立有效的处理机制,并持续监控法律发展,以便及时调整合规策略。
