事实上，每个国家都颁布了某种数据隐私法，以规范信息的收集方式、如何告知数据主体以及数据主体在信息传输后对其信息的控制。不遵守适用的数据隐私可能导致罚款、诉讼，甚至在某些司法管辖区禁止使用网站。浏览这些法律法规可能会让人望而生畏，但所有网站运营商都应该熟悉影响其用户的数据隐私法。

以下是您应该了解的2022年法律法规。我们将在新法律通过后更新此列表。

美国数据隐私法

尽管多年来提出了许多建议，但美国没有一部全面的联邦法律来管理数据隐私。具体行业和特定媒体的法律错综复杂，包括涉及电信、健康信息、信用信息、金融机构和营销的法律法规。

美国的一个重要执法机构是联邦贸易委员会（FTC）。其代表消费者保护进行监管的权力来自《联邦贸易委员会法案》（FTC法案），该法案对其权限下的商业实体拥有广泛管辖权，以防止不公平或“欺骗性贸易行为”。2021，一项将向FTC追加5亿美元的提案被搁置，但有传言称FTC可能最终获得预算、资源、，以及作为国家事实上的隐私监管机构所需的人员。

无论如何，尽管联邦贸易委员会没有明确规定网站隐私政策中应包含哪些信息，但它利用其权力发布法规，执行隐私法，并采取执法行动保护消费者。例如，联邦贸易委员会可能对以下组织采取行动：

• 未能实施和维护合理的数据安全措施。
• 未能遵守组织行业的任何适用自律原则。
• 未能遵守已发布的隐私政策。
• 以隐私政策中未披露的方式传输个人信息。
• 对消费者和隐私政策做出不准确的隐私和安全声明（撒谎）。
• 未能为个人数据提供足够的安全性。
• 通过收集、处理或共享消费者信息侵犯消费者数据隐私权。
• 从事误导性广告行为。

管理在线信息收集的其他联邦法律包括：

• 《儿童在线隐私保护法》（COPPA），管理未成年人信息的收集。
• 《健康保险可携带性和会计法》（HIPAA），管理健康信息的收集。
• 《格拉姆-里奇-布莱利法案》（GLBA），管理银行和金融机构收集的个人信息。
• 《公平信用报告法》（FCRA），规范信用信息的收集和使用。

国家数据隐私法

美国各州有数百项部门数据隐私和数据安全法律。美国州总检察长监督数据隐私法，该法管理从其居民那里收集的个人数据的收集、存储、保护、处置和使用，特别是关于数据泄露通知和社会安全号码的安全。有些仅适用于政府实体，而另一些仅适用于私人实体，有些则同时适用于两者。

除了部门隐私法外，美国正在州一级大力推动隐私立法。这是因为联邦政府未能就如何广泛立法达成共识。州立法者没有等待，而是感受到了消费者、消费者权益倡导者甚至公司的推动，要求他们制定自己的规则。当然，公司宁愿遵守一个单一的联邦标准，也不愿聘请律师查看他们必须遵守的每一个州性法规。但政府推动只是权宜之计。但如果这是各州必须做的，那幺这就是他们必须做的。

加利福尼亚开始了多米诺效应。虽然到目前为止只有五个州（加利福尼亚、科罗拉多、康涅狄格、犹他和弗吉尼亚）能够通过一项全面的法律，但许多州正在努力。即使他们的早期法案在前几届立法会上失败了，他们也可以作为共和党和民主党在任何协议达成最终目的地（州长办公桌）之前开始修正工作的参考点。

这是一份现状的分类表。

加州消费者隐私法（CCPA）

迄今为止，最全面的州数据隐私立法是《加州消费者隐私法》（CCPA）。《消费者保护法》于2018年6月28日签署成为法律，并于2020年1月1日生效。该法是一项跨部门立法，引入了重要的定义和广泛的个人消费者权利，并对收集加州居民个人信息的实体或个人施加了重大责任。这些职责包括告知数据主体何时以及如何收集数据，并让他们能够访问、更正和删除此类信息。此通知必须在收集数据的实体网站上显示的隐私政策中披露。

加州隐私权法案（CPRA）

当加州的一位房地产经纪人以《加州消费者隐私法》的形式在投票中得到一个问题时，公司并不感到兴奋。然而，阿拉斯泰尔·麦克塔加特收集了足够多的签名，提出了一项公民倡议，这意味着它不需要通过需要加州议会和参议院投票的正常立法程序。一旦它通过，很明显人们已经说了。随后，公司被迫吞下了一颗硬药丸：是时候改变流程，以遵守美国第一部全面的隐私法了。

然后，仅仅两年后，麦克塔加特带着绰号“CCPA 2.0”回来了。加利福尼亚州隐私权法案于2020年11月通过了投票，并以CCPA为基础，修改了麦克塔格特和他的团队想要加入CCPA的条款，但当时无法跨越终点线。

CPRA在CCPA中增加了以下内容：

• 纠正权：这更新并增加了消费者纠正不准确个人信息的权利。
• 限制权：这赋予消费者限制其敏感个人信息的使用和披露的权利。
• 敏感的个人识别信息：这更新了个人信息的定义。某些类型的信息，如消费者的社会保险号码，必须受到特殊保护。

CPRA还：

• 将违反儿童数据的罚款提高了三倍。
• 将违约责任从未加密数据的违约扩展到可能导致访问消费者帐户的凭据（如电子邮件地址或密码）的披露。
• 将公司保留消费者信息的时间限制在必要的范围内，并与最初收集信息的原因“相称”。
• 要求使用第三方供应商的公司以合同形式授权这些第三方对与其共享的数据行使与第一方相同级别的隐私保护。

《公民权利和政治权利法》中较为渐进的变化之一是如何实施。虽然州检察长通常会处理隐私案件-除非联邦贸易委员会参与，而且即使如此，通常也是合作关系-但CPRA设立了一个新的隐私监管机构。

加州隐私保护局将被授权对违法者进行罚款，举行隐私侵权听证会，并澄清隐私准则。该委员会由五名成员组成，自《公民权利和政治权利法》于2023年7月1日生效六个月后开始执行。

弗吉尼亚州消费者数据保护法（CDPA）

弗吉尼亚州的《消费者数据保护法案》（CDPA）于2021 3月2日通过。该法案授予弗吉尼亚州消费者对其数据的某些权利，并要求法律涵盖的公司遵守有关其收集的数据、如何处理和保护以及与谁共享数据的规则。

该法律与《欧盟一般数据保护条例》和《加利福尼亚消费者隐私法》的规定有一些相似之处。它适用于在弗吉尼亚州开展业务或销售针对弗吉尼亚州居民的产品和服务的实体，并执行以下操作之一：

• 控制或处理100000或以上的个人数据。
• 控制或处理至少25000名消费者的个人数据，并通过出售个人信息赚取50%的收入。

CDPA要求法律所涵盖的公司在处理其敏感数据之前获得选择加入同意，披露其数据何时出售，并允许其选择退出，从而帮助消费者行使其数据权利。它还要求公司向用户提供明确的隐私通知，其中包括让消费者选择退出定向广告的方式。

CDPA于2023年1月1日与加利福尼亚州最新隐私法CPRA生效的同一天生效，该法取代了之前的版本CCPA。很可能立法者会在那之前修改该法，因此，随着该法的发展，密切关注该法是一个好主意。

科罗拉多州隐私法（CPA）

2020年6月，科罗拉多州成为美国第三个通过隐私法的州。《科罗拉多州隐私法》授予科罗拉多州居民对其数据的权利，并对数据控制器和处理器规定了义务。它与加利福尼亚州的两项隐私法《加利福尼亚消费者隐私法》（CCPA）和《加利福尼亚隐私权法》（CPRA）以及弗吉尼亚州最近通过的《消费者数据保护法》（CDPA）有一些相似之处。它甚至借用了欧盟《通用数据保护条例》（GDPR）的一些术语和理念。

虽然有一些相似之处，例如某种形式的选择退出权、对敏感数据的特殊保护以及采用了一些隐私设计原则，但重要的区别在于细节。

CPA适用于从100000名科罗拉多居民收集个人数据或从25000名科罗拉多居民那里收集数据并从该数据的销售中获得部分收入的企业。

该法列出了在该法生效后授予科罗拉多州居民的五项权利。他们是：

• 有权选择退出定向广告、出售个人数据或被介绍。
• 访问公司收集的有关他们的数据的权利。
• 纠正收集到的关于他们的数据的权利。
• 请求收集有关他们的数据的权利被删除。
• 数据可移植性权利（即，将您的数据转移到另一家公司的权利）。

法律中有17项全面豁免。数据豁免包括：

• 如果数据是为了科罗拉多州健康保险法的目的而收集的。
• 如果收集数据的实体或所收集的数据已被某些部门法律涵盖，包括COPPA或《家庭教育权利和隐私法》（FERPA）。
• 如果数据已被去识别或化名。
• 如果数据由消费者报告机构维护和使用。
• 如果数据用于雇佣记录目的。

纽约盾法案

2019年7月，纽约通过了《制止黑客攻击和提高电子数据安全（屏蔽）法》。这项法律修订了纽约现有的数据泄露通知法，并为收集纽约居民信息的公司制定了更多的数据安全要求。截至2020年3月，该法律完全可执行。

这项法律扩大了消费者隐私的范围，并为纽约居民的个人信息提供了更好的保护。它要求拥有纽约居民私人信息的雇主“制定、实施和维护合理的保障措施，以保护私人信息的安全性、保密性和完整性。”

州总检察长已经与一个组织达成和解，赔偿60万美元，因为该组织未能达到最低标准，导致安全漏洞和个人信息泄露。

犹他州消费者隐私法

2022年3月，犹他州成为第四个颁布全面消费者隐私法的州，该法将于2023年12月31日生效。犹他州消费者隐私法（UCPA）借鉴了《弗吉尼亚州消费者数据保护法》和《科罗拉多州隐私法》及其加利福尼亚州前身。

该法律适用于数据控制器和处理器，适用于年收入超过2500万美元的数据控制器和数据处理器，并且：

• 每年为超过100000名消费者控制或处理个人数据，或
• 该实体50%以上的总收入来自个人数据销售，并控制或处理25000或更多消费者的个人数据

类似地，科罗拉多州和弗吉尼亚州的法规也对收集的个人数据进行了豁免；它们在实体和数据级别都更广泛。

本法不适用于政府实体或代表政府实体、部落、高等教育机构、非营利公司、受保护实体、商业伙伴、符合HIPAA和相关法规中受保护健康信息定义的信息以及人体保护法的第三方。

受《格拉姆-里奇-布里利法案》和《公平信用报告法案》管辖的金融机构也不受UCPA的约束。在就业过程中处理或维护的数据也可豁免。

消费者有权：

• 确认控制员是否正在处理其个人数据，并访问或删除提供的个人数据。
• 获取其个人数据的副本。
• 选择不处理用于定向广告或销售目的的个人数据。

与VCDPA和CPA不同，UCPA不包括选择退出分析的权利，也没有将纠正其数据不准确的权利编成法典。

康涅狄格州的数据隐私法

康涅狄格州是第五个也是最近一个通过全面消费者隐私法的州。参议院第6号法案，或“关于个人数据隐私和在线监控的法案”（CTDPA），于2023年7月1日生效。

该法还借鉴了弗吉尼亚州和科罗拉多州的法规，几乎没有偏离。它适用于控制或处理上一日历年的个人数据的人：

• 不少于100000名康涅狄格州居民的受控或处理个人数据，不包括其个人数据仅为完成支付交易而受控或处理的居民；或
• 控制或处理不少于25000名消费者的个人数据，并从个人数据销售中获得超过25%的总收入。

这部法律是第一部规定支付交易数据不受法律约束的法律，适用于餐馆等处理信息以完成交易的小企业。消费者可以选择不处理他们的数据，用于定向广告和销售，以及分析。

该州允许在2024年12月31日之前的60天内对违规行为进行补救。

其他州级数据隐私法

加利福尼亚州、纽约州、弗吉尼亚州和科罗拉多州是首批颁布广泛立法，对全国产生影响的州，但美国其他许多州也在考虑制定数据隐私法。

截至2022年5月，阿拉斯加州、路易斯安那州、马萨诸塞州、密歇根州、北卡罗来纳州、新泽西州、纽约州、俄亥俄州、宾夕法尼亚州、罗德岛州和佛蒙特州正在进行立法委员会审议。

欧洲

欧盟一般数据保护条例仍然是该国的法律。但2022年有许多提案需要注意。下面是GDPR的更新，以及您应该跟踪的其他提案列表，以确保您的组织关注数据隐私。

通用数据保护条例（GDPR）

迄今为止颁布的最重要的数据保护立法是《通用数据保护条例》（GDPR）。它管理从欧盟28个成员国中任何一个成员国的居民那里收集的数据的收集、使用、传输和安全。该法律适用于所有欧盟居民，无论收集个人数据的实体位于何处。对未遵守GDPR的组织，可处以最高2000万欧元或全球总营业额的4%的罚款。GDPR的一些重要要求包括：

同意

必须允许数据主体在收集个人数据之前给予明确、明确的同意。个人数据包括通过使用Cookie收集的信息。根据GDPR，一些在美国通常不被视为“个人信息”的信息，如用户的计算机IP地址，被视为是“个人数据”。

数据泄露通知

在大多数情况下，如果发生影响用户个人信息的数据泄露，组织必须在72小时内通知监管机构和数据主体。

数据主体的权利

数据主体（其数据被收集和处理的人）对其个人信息拥有一定的权利。这些权利应在组织网站上以清晰、易于访问的隐私政策传达给数据主体。

1. 知情权。获取数据时，必须告知数据主体其个人数据的收集和使用情况。
2. 访问其数据的权利。数据主体可以通过数据主体请求请求其个人数据的副本。数据控制器必须解释收集方式、处理内容以及与谁共享。
3. 矫正权。如果数据主体的数据不准确或不完整，他们有权要求您更正。
4. 删除权。数据主体有权基于某些理由在30天内要求删除与其相关的个人数据。
5. 限制处理的权利。数据主体有权要求限制或禁止其个人数据（尽管您仍然可以存储它）。
6. 数据可移植性权利。数据主体可以在任何时候安全可靠地将其数据从一个电子系统传输到另一个系统，而不会中断其可用性。
7. 反对权。数据主体可以反对如何将其信息用于营销、销售或非服务相关目的。反对权不适用于执行法律或官方授权、出于公共利益执行任务或组织需要处理数据以向您提供您注册的服务的情况。

欧盟提议2022年观察

数字服务法（DSA）

欧盟委员会旨在升级其在欧盟的数字服务规则。利用两项拟议的法律在整个欧盟形成一套单一的规则就是这样做的。他们被称为《数字服务法》和《数字市场法》。它们共同致力于保护用户，并建立一个“促进创新、增长和竞争力的公平竞争环境”。新规定通过让谷歌和Meta等平台快速删除非法和有害内容来解决这些问题。欧盟理事会指出，主要原则是“离线非法的东西必须是在线非法的”。

它适用于超大在线平台（VLOP）和超大在线搜索引擎（VLOS）。欧盟每月活跃用户超过4500万的服务属于这一类。

当你想到数字服务时，想想通过互联网交付的任何东西。可以是音乐流媒体服务、电子书或网站。

《数字服务法》将涵盖：

• 中介服务（互联网接入提供商等）
• 托管服务
• 在线平台

其义务因组织规模而异，但可包括对第三方供应商的监控、外部风险审计和行为准则。

2022年3月，欧盟理事会和欧洲议会达成了临时政治协议。就下一步而言，该法案目前有待常驻代表委员会批准。如果获得批准，将通过收养程序。

《数字市场法》

根据该提案，《数字市场法》（DMA）将涵盖被称为“守门人”的最大数字平台。想想像Facebook、苹果、微软和谷歌这样的公司。它旨在为各种规模的数字公司提供公平的竞争环境。它将为主要互联网平台制定规则，防止它们“对企业和消费者施加不公平的条件”。例如，像亚马逊这样的公司不允许在其网站上对产品进行排名，从而使亚马逊自己的产品和服务具有优势。

它还将赋予欧盟专员开展调查和制裁不良行为的权力，并根据需要更新法律义务。

2022年3月，欧洲议会和理事会同意DMA中的新规则。根据欧洲议会的说法，“法律文本在技术层面最终确定并由律师语言学家检查后，需要得到议会和理事会的批准。一旦这一过程完成，它将在其在欧盟官方期刊上发表20天后生效，规则将在6个月后生效。”

电子隐私条例

电子隐私条例（ePR）已经有很长一段时间了。它的目标是在2018年与欧盟的通用数据保护条例一起生效，但已停滞多年。2022年3月，欧盟理事会同意了一份草案，但预计至少要到2023年才能出台该条例。

电子隐私条例如果获得通过，将为传统电子通信服务和实体制定隐私规则，这些实体不在前一项法律即电子隐私指令的范围内，如WhatsApp、Facebook Messenger和Skype。

它将制定更严格的电子通信隐私规则，不仅适用于通信内容，也适用于“元数据”，即描述其他数据的数据。根据ePrivacy，服务提供商和电子通信网络在处理其电子通信元数据之前必须获得用户的事先同意。

重要的是，它还将为Cookie创建更简单的规则。它将允许用户同意或拒绝在浏览器级别跟踪cookies，还将澄清网站不需要获得所谓“非隐私侵入性cookies”的同意。这些cookies允许网站功能（如“购物车”）跟踪用户订购的内容。它还要求各组织允许最终用户每年至少一次撤回其先前获得的同意。

AI法案

欧盟的《人工智能法》将适用于在欧盟开展业务、开发或采用基于机器学习的软件的任何公司。该法案于去年出台，目前正在审查过程中。它将在域外适用，这意味着该法律将涵盖总部设在其他地方的公司，如果它们在欧盟内部有客户或用户，并有效地使其成为一项全球监管。

《人工智能法》将禁止以下行为：

• 以可能造成精神或身体伤害的方式操纵一个人行为的技术。
• 可以利用基于年龄、身体或精神残疾的弱势群体的人工智能系统。
• 人工智能系统，在执法部门可公开访问的空间提供实时远程生物特征数据。

巴西保护个人数据的一般法律（LGPD）

巴西的数据保护法（葡萄牙语为Lei Geral de Proteção de Dados Pessoais，简称LGPD）于2020年生效。该法包含与GDPR类似的条款，旨在规范巴西所有个人或自然人的个人数据处理。这意味着，就像GDPR一样，即使你的公司不在巴西，如果你处理巴西居民的数据，它也适用于你。

不遵守法律条款和指令的公司和团体可能会收到其销售收入2%的罚款，甚至高达5000万巴西雷亚尔（约1200万美元）。

同意

• 根据LGPD，个人数据可以在数据主体同意的情况下或在以下情况下进行处理：
• 必须对其进行处理以遵守法律义务。
• 公共行政执行公共政策是必要的。
• 用于研究目的。
• 以保护数据主体的生命或人身安全。

数据泄露通知

在发生数据泄露的情况下，如果相关数据主体存在潜在风险或损害，数据控制者必须在泄露发生后的“合理时间”内通知国家数据保护局。

数据主体的权利

授予巴西国民的权利允许他们：

• 确认治疗的存在。
• 访问他们的数据。
• 纠正不完整、不准确或过时的数据。
• 将他们的数据带到另一个服务提供商或产品（数据可移植性）。
• 删除他们的数据。
• 了解控制员与之共享数据的任何公共和私人实体。
• 接收关于如果他们不同意处理其数据会发生什么的信息。
• 撤销对其数据处理的同意。
• 这些权利与GDPR下授予的权利类似。

数据隐私政策的重要性

无论规模大小，所有在线公司都应制定隐私政策，向用户解释收集的信息、如何使用、如何共享以及如何保护。为了完全遵守美国和欧盟数据保护法，所有数据主体都应有机会同意收集个人信息。

虽然在用户注册时事通讯、填写表格或发送电子邮件请求时，他们自愿提供了大量有关用户的信息，但也应披露从第三方收集并通过使用cookie收集的信息，并应给予用户同意、阻止或禁用cookie的机会。

在现代，人们需要为从在线购买到接受医疗保健的所有事情提供个人信息，企业和实体有义务保护他们信任的信息，并仅将其用于指定目的。

如果您在数据隐私法和合规性方面需要帮助-即使法律正在迅速变化-Osano可以提供帮助。我们知道，积极管理数据隐私可能是一种负担，但我们的目标是通过工具来消除过程中的压力，使您的网站立即符合要求，智能地阻止未经批准的第三方cookie并监控风险。

本文：