2022年5月10日，康涅狄格州州长内德·拉蒙特签署了参议院法案6《康涅狄克州数据隐私法案》（“CTDPA”），康涅狄格州成为第五个颁布广泛消费者数据隐私立法的州。Husch Blackwell LLP的David M.Stauss和Shelby E.Dolen概述了CTDPA，并将该法案与加利福尼亚、科罗拉多、弗吉尼亚和犹他州的其他州隐私法进行了比较。

涵盖哪些实体？

CTDPA适用于在康涅狄格州开展业务或生产针对康涅狄克州居民的产品或服务的人员，且在上一日历年期间，（1）控制或处理了不少于100000名消费者的个人数据，不包括仅为完成支付交易而控制或处理的个人数据，或（2）控制或处理不少于25000名消费者的个人数据并从个人数据销售中获得超过其总收入25%的个人数据。CTDPA将“消费者”定义为康涅狄格州居民，不从事商业或就业活动。

当该法案的发起人参议员詹姆斯·马罗尼（James Maroney）最初提出该法案时，该法案将消费者门槛设定为65000人，而不是100000人，这反映出康涅狄格州的居民数量少于科罗拉多州和弗吉尼亚州。然而，为了容纳小企业，门槛最终被提高到10万。

与《弗吉尼亚州消费者数据保护法》（“VCDPA”）类似，《CTDPA》为受1996年《健康保险可携带性和责任法案》和1999年《格拉姆-利奇-布利利法案》约束的实体提供了实体级豁免。CTDPA也不适用于非营利组织，科罗拉多州隐私法案（“CPA”）也不适用。与其他州通过的法律一样，《CTDPA》包含许多其他豁免，各组织应在参与任何合规工作之前仔细审查这些豁免。

如何定义个人数据？

CTDPA将个人数据定义为“与已识别或可识别个人链接或合理链接的任何信息”。该定义不包括未识别数据或公开可用信息。公开信息的广义定义是指通过联邦、州或市政府记录或广泛传播的媒体合法提供的信息，且控制者有合理的理由相信消费者已合法向公众提供。

CTDPA提供了哪些权利？

CTDPA授予康涅狄格州居民以下权利：

• 确认控制人是否正在处理消费者的个人数据并访问此类个人数据，除非此类确认或访问要求控制人披露商业秘密；
• 纠正消费者个人数据中的不准确之处；
• 删除消费者提供或获得的个人数据；
• 获取由控制者处理的消费者个人数据的副本，该副本采用便携式且在技术上可行的范围内易于使用的格式，允许消费者将数据无障碍地传输至另一控制者，其中该处理通过自动化手段进行；和
• 出于以下目的选择不处理个人数据：
  • 定向广告；
  • 个人数据的销售；或
  • 分析以促进对消费者产生法律或类似重大影响的完全自动化决策。

CTDPA对“销售”的定义广义上是指控制人向第三方交换个人数据以换取金钱或其他有价值的对价。这一定义在很大程度上与加利福尼亚州和科罗拉多州的定义相一致，比弗吉尼亚州的定义更为广泛，弗吉尼亚州不包括“或其他有价值的”考虑。

除选择退出请求外，控制者必须在响应请求之前验证个人身份。控制者不需要验证选择退出请求，但是，如果控制者真诚地相信这些请求是欺诈性的，则可以拒绝这些请求。这与加利福尼亚州的选择退出请求方法相一致，并且比科罗拉多州和弗吉尼亚州的法律更方便消费者，后者要求验证。

控制者有45天时间响应消费者请求。控制员还需要为其拒绝的请求建立上诉程序。

CTDPA如何处理敏感数据？

与科罗拉多州和弗吉尼亚州的法律一样，CTDPA要求控制者在处理敏感数据之前获得用户同意。CTDPA定义了对均值敏感：

• 显示种族或民族血统、宗教信仰、心理或身体健康状况或诊断、性生活、性取向、公民身份或移民身份的数据；
• 为唯一识别个人而处理遗传或生物特征数据；
• 从已知儿童收集的个人数据；或
• 精确的地理定位数据。

CTDPA还规定，控制者必须允许消费者以与提供同意一样容易的方式撤销其同意。

CTDPA将同意定义为“明确的肯定行为，表示消费者自由给予、具体、知情和明确的同意，允许处理与消费者有关的个人数据”。与CPA类似，同意不包括通过暗模式获得的协议。法律将“暗模式”定义为“设计或操纵的用户界面，其实质性影响是颠覆或损害用户自主性、决策或选择，以及联邦贸易委员会所称的任何“暗模式”。

CTDPA将生物特征数据定义为“自动测量个人生物特征产生的数据，如指纹、声纹、视网膜、虹膜或用于识别特定个人的其他独特生物模式或特征。”它不包括数字或物理照片、音频或视频记录，或由数字或物理图片或音频或视频录制生成的任何数据，除非生成此类数据是为了识别特定个人。

CTDPA的定义与VCDPA的不同，后者将面部和语音识别排除在生物特征数据的定义之外。科罗拉多州的法律不包括生物特征数据的定义，可能将该定义留给规则制定过程。

控制者是否需要识别选择退出信号？

对从2025年1月1日起，控制者必须允许消费者通过选择退出偏好信号选择退出定向广告和销售。CTDPA规定了这些信号操作的某些规范。

CTDPA是否需要数据处理协议？

对CTDPA要求控制员确保与处理个人数据的处理方签订书面合同。合同必须规定处理数据的说明、处理的性质和目的、需要处理的数据类型、处理的持续时间以及双方的权利和义务。此外，合同必须要求处理方：

• 确保处理个人数据的每个人都对数据负有保密义务；
• 根据控制人的指示，在服务提供结束时，删除或将所有个人数据返回给控制人，除非法律要求保留个人数据；
• 应控制员的合理要求，向控制员提供其拥有的所有必要信息，以证明处理方遵守CTDPA；
• 在向控制人提供反对的机会后，根据要求分包商履行处理人关于个人数据的义务的书面合同，聘用任何分包商；和
• 允许并配合控制员或控制员指定的评估员进行合理评估，或处理方可安排一名合格的独立评估员对处理方的政策、技术和组织措施进行评估，以支持CTDPA下的义务。

控制者还应承担哪些其他义务？

控制员必须向消费者提供隐私声明，其中包括控制员收集的个人数据、如何使用以及向谁传输。控制员还必须：

• 为某些高风险处理活动准备数据保护评估；
• 将个人数据的收集限制在与向消费者披露的个人数据处理目的相关的充分、相关和合理必要的范围内；
• 除非例外情况适用，否则不得出于与披露给消费者的个人数据处理目的既不合理必要也不兼容的目的处理个人数据，除非控制者获得消费者的同意；
• 建立、实施和维护合理的行政、技术和物理数据安全实践，以保护个人数据的机密性、完整性和可访问性，并与所涉个人数据的数量和性质相适应；和
• 不歧视消费者行使其权利。

CTDPA如何处理儿童数据？

与1998年的《儿童在线隐私保护法》类似，《儿童在线隐私法》要求父母同意处理13岁以下的儿童。然而，《儿童在线保护法》更进一步，禁止控制人出于定向广告的目的处理消费者的个人数据，或在未经同意的情况下出售消费者的个人信息，在控制员实际知道且故意忽略消费者至少13岁但小于16岁的情况下。这项禁令类似于加利福尼亚州法律中的禁令。

CTDPA是否允许总检察长制定规则？

不。与加利福尼亚州和科罗拉多州的法律不同，CTDPA不授予总检察长（“AG”）规则制定权。

CTDPA是如何执行的？

CTDPA授予康涅狄格州股份公司办公室独家执行权。《CTDPA》不产生私人诉讼权。CTDPA包含60天的治愈权，于2024年12月31日日落。

CTDPA何时生效？

2023年7月1日。

本文：https://cioctocdo.com/connecticut-analysing-ctdpa