【美国隐私保护】一般州隐私法的现状

现在是成为隐私律师的好时机。 2022 年 10 月 17 日，加州隐私保护局 (CPPA) 发布了《2020 年加州隐私权法案》(CPRA) 规定的下一份法规草案，以及一份解释拟议修改的文件。最近于 2022 年 10 月 21 日至 22 日举行了为期两天的公开听证会。鉴于提议的变更相当广泛，这些似乎不太可能成为最终规定。目前的法规草案长达 72 页。大部分 CPRA 条款自 2023 年 1 月 1 日起生效。虽然 CPRA 的执行要到 2023 年 7 月 1 日才开始，然后在未来的基础上，经修订的 2018 年《加利福尼亚消费者隐私法》之间存在足够的差异(CCPA) 和 CPRA（修订 CCPA）以保证对当前流程、运营和政策的审查。此外，CCPA 规定的 30 天治愈期在 CPRA 下消失了。简而言之，有一些工作要集体做。与此同时，直到 2023 年 6 月 30 日，CCPA（包括现有法规）仍然可以执行。深呼吸。

那是那时

当我于 2020 年春季在旧金山湾区法学院共同教授比较隐私法时，情况似乎要简单得多。在欧洲方面，我们有通用数据保护条例 (GDPR)、欧洲数据保护委员会 (EPDB) 的一些意见（指导）以及其前身第 29 条工作组的更多意见，以及大量判例法。 Weltimmo 决定 (C-230/14) 曾经是并且仍然是我的最爱之一。它不仅阐明了在特定国家（匈牙利）设立机构的概念，而且还告诉读者，许多问题可以通过简单地回应而不是让客户感到不安来避免。在美国方面，就那个时期的一般州隐私法而言，它是 CCPA。

这是现在

当我在 2022 年春季共同教授这门课程时，我专注于美国方面，特别是 CCPA、CPRA、弗吉尼亚州消费者数据保护法 (VCDPA) 和科罗拉多州隐私法 (CPA)。联盟中的每个州都有自己的数据泄露通知法。我们一般都谈到了这些。我们审查了 FTC 的和解。我们谈到了主要是部门性的联邦隐私法。 2022 年 3 月 24 日，犹他州消费者隐私法 (UCPA) 签署，这是我们国家的第四部一般州隐私法。作为一名讲师，我忍不住向我的学生介绍了这项新法律，他们可能还在为我所教授的其他隐私法而头晕目眩。值得称赞的是，我很清楚没有将 UCPA 包括在期末考试中，当然，加州、科罗拉多州和弗吉尼亚州的消费者都参加了这次考试。 2022 年 5 月 10 日，康涅狄格州州长签署了题为《关于个人数据隐私和在线监控 (CTDPA) 的法案》的第 22-15 号公共法案。幸运的是，对我的学生来说，学期结束了，未来的一批学生需要表现出对这项新法律的界限和界限的理解能力。

是否有全面的联邦隐私法？也许。 H.R. 8152（美国数据隐私和保护法案或 ADPPA）于 2022 年 6 月 21 日提出，提交给众议院能源和商业委员会，并以 53 票对 2 票投票通过众议院全体议员。从那以后，它似乎停滞不前。在目前的草案中，CPPA 将有权执行 ADPPA。此外，CPRA 第 1798.150 节（数据泄露的私人诉讼权）不会被优先考虑。

同时，VCDPA 于 2023 年 1 月 1 日生效，CPA 和 CTDPA 于 2023 年 7 月 1 日生效，UCPA 于 2023 年 12 月 31 日生效。 VCDPA、CPA、UCPA 和 CTDPA，以 VCDPA 为始祖，但应注意不要假设如果一个人遵守一个，一个人就会遵守其他人。例如，所有四个都使用 GDPR 概念和术语，如数据控制器（相当于 CCPA/CPRA 下的企业）、数据处理器（相当于 CCPA/CPRA 下的服务提供商）等。正如所暗示的，这些之间存在重要差异。例如，UCPA 适用于年收入至少为 2500 万美元且 (a) 控制或处理至少 100,000 名消费者的个人数据或 (b) 其收入的 50% 以上来自销售个人数据并控制或处理至少 25,000 名消费者的个人数据。相比之下，VCDPA 应用了测试的第二部分，而不是第一部分；没有 2500 万美元的年收入门槛。此外，虽然 VCDPA 和 UCPA 都定义了敏感个人数据 (SPD)，但 UCPA 需要通知和选择退出的权利，而 VCDPA 需要同意。 VCDPA 要求对高风险处理进行数据保护评估。 UCPA 没有。 VCDPA 赋予消费者纠正不准确之处的权利。 UCPA 没有。值得注意的是，直到 CPRA 才赋予加州消费者这项权利。最初，两者都没有资金，资金来自执法行动。根据 UCPA，一旦“消费者隐私账户”中的余额超过 400 万美元，余额将转入普通基金。两者都没有私人诉讼权，执法权仅授予每个州的总检察长。

该怎么办？

详细的图表（并重新阅读几次）会有所帮助。然而，更有用的是从整体上看待这些法律，最好是在全面的隐私合规计划的背景下。当然，必须遵守 GDPR 的公司更有利于遵守 CCPA，而必须遵守 CCPA 的公司将更有利于遵守 CPRA 和 VCDPA、CPA、CTDPA 和 UCPA。每个后续的合规项目都成为差距分析，然后是实施阶段。为此，重点应放在合规构建块上，这通常需要或有助于遵守任何现代数据隐私法。其中包括处理活动记录 (ROPA)、管理数据主体请求 (DSR) 的程序、管理数据事件的程序、与供应商的数据处理协议、审查供应商信息安全稳健性和问题的流程、进行数据隐私的流程影响评估 (DPIA)、内部政策、外部通知、培训等。一旦基本流程和文件到位，就会根据涵盖目标的清晰项目计划和详细说明完成这些目标的单个任务进行调整。这个过程是反复进行的，而且，理论上，对于每个新的一般隐私法来说，痛苦都会减少，当然，直到有一个全面的一般联邦隐私法。祝你好运！