文章分类
各州对立法的审查:尽管人们都在谈论保护消费者的数字生活,但即使是加州的新法律也只涵盖了15项重要数据隐私权中的8项
“这就像狂野的西部,”纽约州参议员凯文·托马斯(民主党)的通讯主任艾米丽·曼奇尼说,“对企业和消费者来说都是如此。”
也许这是一个大胆的比较,但也并非完全不正确。不,我们不再骑马旅行了,但随着我们的生活越来越多地转移到网上,相互竞争的法规、法律和立法提案清楚地表明,数据隐私确实是一个新的前沿。
但是,随着全国各地的新法律为基本的个人数据隐私提供了形式,我们不可能不注意到有多少州和联邦政府自己似乎完全置身事外。
一些立法者,如纽约州的托马斯,以及加利福尼亚州、内华达州和缅因州的立法者,成功地制定了有效的提案并使其通过立法程序,而刚刚超过一半的州目前在其立法机构中没有任何有意义的提案。
近90%的美国人是互联网用户,但只有三个州的立法者成功批准了一项立法,保证居民在一定程度上控制他们的在线个人数据,和/或要求收集这些数据的私营公司遵守一套关于信息神圣性的特定规则。
仅供参考:为什么数据收集很重要?在数据泄露的情况下,小偷可以使用人们的个人身份信息(PII)来窃取身份。这就是为什么许多人使用顶级身份盗窃保护服务的原因。
尽管两党都呼吁联邦采取行动,但美国是少数几个仍然缺乏全面数据保护法的国家之一,尽管前2020年总统候选人、参议员Kirsten Gillibrand(纽约民主党)提出了一项法案,将成立一个联邦数据保护机构。
但许多州并没有等待联邦政府采取行动。今年1月1日生效的《加州消费者隐私法》(CCPA)是迄今为止所有州中最全面的法律,但这并不能说明什么。只有另外两个州(内华达州和缅因州)通过了任何法案,而且这两项措施的范围都很窄。
那么,你所在的州是什么样的呢?你可能生活在一个没有正式数据保护的州,除了每个州的法律要求某些企业在数据泄露时通知用户之外。我们研究了每个州提出并通过的法案(如果有的话),并在可能的情况下,确定了在目前没有保护措施的州,待决立法成为法律的前景。
我们的研究表明,没有一个州有我们认为真正全面的隐私立法。
在这段短视频中,记者Aliza Vigderman简要介绍了有关企业如何保护客户数据的地方、州和联邦法律。
强大的数据隐私要求这15项权利和法规
关于全面数字隐私的定义,目前还没有达成单一共识,但隐私倡导者在几个领域普遍达成了一致。以下是15条最常见的条款,其中一些条款为消费者提供权利,另一些条款仅适用于商业实践:
- 访问权和信息权:应告知消费者企业或数据收集器正在收集有关他们的哪些信息,他们应该能够访问信息或信息类别,以及访问接收共享信息的第三方的名称或类别。
- 更正权:消费者应能够要求更正过时或不正确的个人信息。
- 删除权:消费者应当能够在特定条件下要求删除个人信息。
- 限制处理的权利:消费者应该能够限制公司访问其个人信息的能力。
- 数据可移植性的权利:消费者应该能够要求以通用文件格式披露他们的信息。
- 选择不出售个人数据的权利:消费者应该能够选择不让收集者将其个人信息出售给第三方。
- 反对自动化决策的权利:企业不应该在没有人工输入的完全自动化流程的基础上做出关于消费者的决策。
- 诉讼权:消费者应该能够向违反隐私法规的企业寻求民事赔偿。
- 基于年龄的选择加入:企业必须默限制认为特定年龄以下的消费者销售个人信息。
- 透明度要求:企业必须向消费者提供有关其数据做法和隐私计划的通知。
- 数据泄露通知:如果发生隐私或安全漏洞,人们的身份可能被盗,企业必须通知消费者或执法部门。
- 风险评估:企业必须对其既定的安全和隐私做法进行正式的风险评估。
- 非歧视:如果企业行使数据隐私权,则禁止其区别对待消费者。
- 目的和处理限制:企业必须仅为特定目的收集和处理消费者数据。
- 诚信义务:企业必须以消费者的最大利益为出发点。
了解更多:阅读更多关于公众数据泄露意识的信息。
需要注意的是,所有州现在都有某种形式的数据泄露通知,但法律的具体规定各不相同,包括免除一些企业的要求以及执法的变化。
数字隐私立法
不仅没有一个州的法律涵盖了所有15个关键领域,而且到目前为止,还没有一个国家提出了一项涵盖所有领域的法律,尽管纽约州议会正在审议的一项法案最接近,尽管它也缺少15个领域中的三个。
16个州的法案悬而未决,大多数法案由民主党议员起草,尽管共和党人已经在两个州(佛罗里达州和南卡罗来纳州)采取了措施,在法案已经通过的州,两党普遍支持。
超过一半的州(如果包括哥伦比亚特区,则为27个州)没有任何现行立法,尽管其中一些州在前几届立法会议上提出了法案。六个州成立了研究委员会或特别工作组,只有三个州正式通过了任何现代数据隐私法规。
各州隐私法
各州明细
为了比较各州为确保消费者数字隐私所做的努力,我们分析了迄今为止已成为法律的措施,以及那些仍在等待中的措施(以及那些未能通过数据隐私规则对各州进行分类的措施)。值得注意的是,每个州的立法程序都在不同的时间表上,这些排名可能会随着事件的需要而变化。
我们的分析将各州分为五个部分:
- 非常强大:包括所有15项数据隐私保护和要求——零州
- 强有力:15项保护和要求中至少有1项已签署成为法律——三个州
- 未决:现行立法至少包括15项保护和要求中的一项,但尚未正式通过——15个州
- 薄弱:没有积极的立法,但最近的措施包括至少一项保护或要求,成立了特别工作组或发布了研究令——七个州
- 非常薄弱:没有现行或最近的立法,包括至少一项保护或要求——26个州
强劲:加利福尼亚州、缅因州、内华达州
加利福尼亚
保护:CCPA于2020年1月1日生效,包括15项保护和要求中的8项。
因为它是已经生效的三项法律中最有力的一项,加州的CCPA默认情况下是美国影响最深远的数字隐私法,但即使在几个领域也达不到要求,它只涵盖了现代世界所需的一半以上的关键保护。
虽然该法律确实提供了重要的保护,但并不是每一个方面都是积极的,许多商界人士合理地担心这些要求会给一些商业实体带来额外的负担;该州估计,最初的合规成本可能接近600亿美元。
除了对企业的影响外,该法案还省略了几项条款,并将执法权交给了总检察长办公室,这意味着除非企业内部糟糕的安全措施暴露了你的信息,否则个人不能就违规行为起诉企业。
法律包括:
- 访问权限和信息
- 删除权限
- 数据可移植性的权利
- 选择不出售个人数据的权利
- 行动权(仅限安全性)
- 基于年龄的选择加入(16岁)
- 透明度要求
- 非歧视
缅因州
保护:一项计划于2020年7月1日生效的《保护在线消费者信息隐私法》,正在等待互联网服务提供商的诉讼,包括15项保护和要求中的4项,仅适用于互联网服务提供商。
缅因州的法律在立法过程中得到了两党的广泛支持,并得到了州参议院的一致批准。但它只适用于互联网服务提供商,而不适用于收集消费者数据的其他类型的公司。
截至2020年3月,由于四个ISP游说组织(ACA Connects,美国通信协会;CTIA,无线协会;NCTA,互联网和电视协会;以及USTELECOM,宽带协会)提起诉讼,要求阻止该法律生效,新规定处于悬而未决的状态。
法律包括:
- 处理限制权
- 选择不出售个人数据的权利(法律要求严格选择加入)
- 透明度要求
- 非歧视
内华达州
保护:SB220于2019年10月生效,包括15项保护和要求中的3项,仅适用于网站运营商
内华达州相对温和的消费者保护范围相当狭窄,或多或少仅限于选择不出售数据的权利。该法律也仅适用于网站运营商,因此离线收集数据的企业不会受到影响。
加利福尼亚州的法律在“销售”的构成方面很宽泛,而内华达州的规定则更为集中,排除了并非以金钱换取信息的行为,但批评者认为,虽然总检察长办公室将正式处理执法事宜,但该机构将依靠消费者报告违规行为。
法律包括:
- 图标处理限制权
- 透明度要求
- 数据泄露通知
暂停:15个状态
亚利桑那州
保护:没有通过,但现行法案包括15项保护和要求中的4项
目前正在亚利桑那州议会通过的一项法案将是该州实现全面保护的第一步,该法案的主要作者在成为立法者之前曾从事计算机和航空航天科学工作,这可能会使该法案在隐私保护领域和商业领域都增加一些可信度。
据《亚利桑那镜报》报道,众议员多明戈·德格拉齐亚(D)在今年2月推出HB2729之前,在HB2729的各个方面工作了大约一年。
DeGrazia说:“我想写一份我能写的最好的法案,在不给企业带来负担的情况下,为公民提供最有力的保护。”。该法案的行动正在进行中,目前已分配给众议院技术委员会。
该法案包括:
- 访问权和信息权
- 整改权
- 删除权(不包括就业数据)
- 目的和处理限制
佛罗里达州
保护:没有通过,但现行法案包括15项保护和要求中的两项
佛罗里达州众议院的一项法案将提供有限但至关重要的保护,包括知道正在收集什么信息的权利和选择不出售信息的权利。
然而,目前的措施规定了一个非常大的例外——它只适用于不在佛罗里达州的数据收集器。该法案由众议员David Santiago(共和党)提出,目前正在众议院监督、透明度和公共管理小组委员会审议。
该法案包括:
- 访问权和信息权
- 选择不出售个人资料的权利
伊利诺伊州
保护:没有通过,多项法案有效,其中一项涵盖了15项保护和要求中的10项
伊利诺伊州的一项全面的参议院法案将包括比CCPA更多的保护措施,尽管它也缺少重要条款。该法案名为SB 2330,由参议员托马斯·库勒顿(民主党)发起,目前正在参议院司法委员会审议。
该法案包括:
- 访问权和信息权
- 整改权
- 删除的权利
- 限制处理的权利
- 数据可移植权
- 选择不出售个人资料的权利
- 行动权(仅限担保)
- 透明度要求
- 风险评估
- 不歧视
马里兰州
保护:没有通过,但现行法案包括15项保护和要求中的6项
马里兰州的一项拟议法律《在线消费者保护法》将包括许多与加州新法律相同的保护措施,尽管该法案的细节可能会在立法过程中发生变化。
该法案由蒙哥马利县民主党参议员苏珊·C·李发起,最近提交给了参议院财政委员会。
该法案包括:
- 访问权和信息权
- 删除的权利
- 数据可移植权
- 选择不出售个人资料的权利
- 透明度要求
- 不歧视
明尼苏达州
保护:没有通过,但现行法案包括15项保护和要求中的9项
明尼苏达州立法机构已经提出了两项相同的法案,但都没有通过委员会审议阶段。尽管如此,如果颁布,它们将提供比CCPA更有力的保护,尽管它们在几个领域确实存在不足。
目前尚不清楚通过这两项措施的前景如何,但立法会议正在进行中。
该法案包括:
- 访问权和信息权
- 整改权
- 删除的权利
- 限制处理的权利
- 数据可移植权
- 选择不出售个人资料的权利
- 反对自动化决策的权利
- 透明度要求
- 风险评估
内布拉斯加州
保护:未通过,现行法案包括15项保护和限制中的6项
内布拉斯加州的LB746法案预计不会在本届会议期间在该州一院制议会进行辩论,而且由于在会议到期时没有通过的法案基本上已经失效,该法案中概述的保护措施今年成为内布拉斯加州法律的前景渺茫。
然而,该法案的发起人、参议员卡罗尔·布拉德办公室的发言人奥利弗·范德沃特表示,布拉德的法案部分基于其他州的模式,尽管她谨慎地放松了一些限制,希望该法案能够通过,VanDervoort表示,Blood致力于这项措施,如果该法案在本届任期内未能推进,可能会重新引入该措施或类似措施。
该法案包括:
- 访问权和信息权
- 删除的权利
- 选择不出售个人资料的权利
- 基于年龄的选择加入(16岁)
- 透明度要求
- 不歧视
新罕布什尔州
保护:没有通过,但现行法案包括15项保护和要求中的7项
新罕布什尔州的一项众议院法案将提供大量关键的隐私保护,但它没有该地区的其他措施那么深入。目前尚不清楚民主党人Garrett Muscatel(汉诺威)提出的法案通过的前景如何。
该法案包括:
- 访问权和信息权
- 删除的权利
- 选择不出售个人资料的权利
- 基于年龄的选择加入
- 透明度要求
- 不歧视
纽约
保护:没有通过,但目前有一项法案包括15项保护和要求中的12项
目前纽约州议会的一项法案将提供比加州法律更多的隐私条款,尽管关于该法案将包括哪些细节的讨论和谈判仍在进行中,在未来几个月重新提出之前,可能会对该法案进行修正。
该法案《纽约隐私法》(NYPA)与同样推出的第二项法案《知情权法案》重叠,目前尚不清楚哪项措施最有可能通过立法程序,但考虑到《纽约隐私法案》将是美国最积极的保护措施。,在尚未签署任何法律的州中,纽约似乎处于最佳地位。
账单包括:
- 访问权和信息权
- 整改权
- 删除的权利
- 限制处理的权利
- 数据可移植性权利(两者)
- 选择不出售个人资料的权利
- 反对自动化决策的权利
- 诉讼权
- 透明度要求(两者)
- 目的和处理限制(NYPA目前不包括目的限制)
- 信托责任
参议员托马斯是《纽约时报》的主要发起人,这两项提案中较为有力的一项。他的发言人曼奇尼表示,托马斯决心在加州和欧洲引入的强有力的保护措施的基础上再接再厉,随着时间的推移,制定新的隐私法只会变得更加具有挑战性。
曼奇尼说:“现在是时候了,因为随着我们扩大技术规模,这只会变得更加困难,所以这项立法是在一个关键时刻出台的。”。
托马斯和其他立法者目前正在讨论法案修正案的措辞,这将有助于确保消费者很容易利用保护措施,企业也能够遵守,曼奇尼说:“这就像狂野的西部,是消费者和行业的新前沿。”
俄克拉荷马州
保护:没有通过,但现行法案包括15项保护和限制之一,但仅适用于电子邮件提供商
俄克拉荷马州立法机构目前正在实施一项范围有限的措施,该措施将限制微软或谷歌等电子邮件提供商通过电子邮件获取用户信息的能力。该法案由民主党人科林·沃克(俄克拉荷马市)撰写,是美国最受关注的积极法案之一。
该法案包括:
- 目的和处理限制
宾夕法尼亚州
保护:没有通过,但现行法案包括15项保护和限制中的7项
宾夕法尼亚州HB1049法案仍在立法过程中,该法案的发起人、众议员埃德·尼尔森(费城民主党人)对其立法前景持乐观态度,尽管他承认该法案很可能还没有达到最终形式。
“我们一直在与多个利益相关者合作,试图让他们参与进来,以便我们能够推进这一问题。作为一名立法者,你会意识到,一个好的法案是通过谈判而不是口述的,因为它永远不应该是我的方式或高速公路。”
尽管如此,尼尔森表示,即使在该法案通过并签署成为法律之前,本届会议的时间已经不多了,他也打算在下一届立法会议上重新引入该法案。
- 访问权和信息权
- 删除的权利
- 选择不出售个人资料的权利
- 行动权(仅限担保)
- 基于年龄的选择加入(16岁)
- 透明度要求
- 不歧视
罗德岛
保护:没有通过,但现行法案包括15项保护和要求中的8项
罗德岛州参议院的一项法案将延长几项关键的隐私条款,尽管该法案可能会被搁置以供进一步研究。参议员小威廉·J·康利提出了该法案,目前该法案已提交司法委员会。
该法案包括:
- 访问权和信息权
- 删除的权利
- 数据可移植权
- 选择不出售个人资料的权利
- 诉讼权
- 基于年龄的选择加入(16岁)
- 透明度要求
- 不歧视
南卡罗来纳州
保护:没有通过,但现行法案包括15项保护和要求中的9项,但仅适用于生物特征信息
南卡罗来纳州众议院的一项措施提供了广泛的保护,但范围很窄,包括九项保护或要求,但仅适用于指纹、虹膜扫描和DNA等生物特征信息。尽管该法案的范围有限,但在生物识别隐私法中,由共和党人布鲁斯·布赖恩特(怀利湖饰)提出的该法案走得相当远。
该法案正在众议院司法委员会审议中。
该法案包括:
- 访问权和信息权
- 删除的权利
- 选择不出售个人资料的权利
- 诉讼权
- 基于年龄的选择加入(16岁)
- 透明度要求
- 数据泄露通知
- 不歧视
- 目的和处理限制
弗吉尼亚州
保护:没有通过,但法案持续到2021年会议,包括15项保护和要求中的9项
据提出该法案的民主党人Mark D.Sickles(费尔法克斯)办公室的一名代表称,弗吉尼亚州议会本届会议上提出的一项法案将一直持续到下一届会议。
虽然《弗吉尼亚州隐私法》并不全面,但正如目前所写的那样,它将是南方最广泛的法案之一。
该法案包括:
- 访问权和信息权
- 整改权
- 删除的权利
- 限制处理的权利
- 数据可移植权
- 选择不出售个人资料的权利
- 诉讼权
- 透明度要求
- 风险评估
威斯康星州
保护:没有通过,三项法案包括15项保护和要求中的四项
三项法案包括《威斯康星州数据隐私法》,每项法案都涵盖了不同的隐私保护领域。总的来说,这些措施将为消费者提供一些基本的保护,尽管这些措施在许多方面仍然不足。
目前尚不清楚这三项单独措施中任何一项的通过前景如何。
账单包括:
- 访问权和信息权
- 删除权(不包括就业数据)
- 反对自动化决策的权利
- 目的和处理限制
弱:6种状态
康涅狄格州、夏威夷州、路易斯安那州、马萨诸塞州、北达科他州、得克萨斯州
保护:没有通过,也没有现行法案;以专案小组取代或研究命令取代综合法案
共有六个州成立了数据隐私工作组,或发布命令,要求立法者和州官员详细研究此事。在所有六起案件中,都执行了研究/特别工作组的命令来代替立法。
非常弱:26个州
阿拉巴马州、阿拉斯加州、阿肯色州、科罗拉多州、特拉华州、佐治亚州、爱达荷州、印第安纳州、爱荷华州、堪萨斯州、肯塔基州、密歇根州、密西西比州、密苏里州、蒙大拿州、新泽西州、新墨西哥州、俄亥俄州、俄勒冈州、南达科他州、田纳西州、犹他州、佛蒙特州、华盛顿州、西弗吉尼亚州、怀俄明州
保护:没有通过任何法案,没有现行法案,没有正式的工作组或研究
在超过一半的州,没有现行立法,也没有特别工作组或学习令公告。其中一些州,如密西西比州和华盛顿州,在最近的会议上提出了法案,但未能通过立法程序,而其他州,如印第安纳州,则没有提出任何相关法案。
结论
消费者数据保护的必要性应该非常明显——几乎每个美国人都以某种身份使用互联网,我们中的一些人几乎完全在网上生活,从娱乐到工作,从购物到社交媒体等等。虽然各州(和联邦政府)在编纂各种保护措施时可能有点晚了,但他们的行动应该受到欢迎。
关于本研究
本文的立法研究涵盖了各州立法机构的最新会议,在某些情况下可以追溯到一年或几年前。如前所述,几个州以前有过悬而未决的立法,但由于某种原因,这些立法未能通过立法程序。每个州都允许公众搜索拟议的立法,阅读立法文本并跟踪立法过程中的位置,即使在加利福尼亚州这样的州,也建议关心自己数据隐私的人自己对本州的情况进行研究。
标签
- 登录 发表评论