【国际隐私保护】数据隐私法：2024年你需要知道什么

几乎每个国家都制定了某种数据隐私法，以规范信息的收集方式、数据主体的知情方式以及数据主体在信息传输后对其信息的控制权。不遵守适用的数据隐私法可能会导致罚款、诉讼，甚至在某些司法管辖区禁止使用网站。浏览这些法律法规可能会让人望而生畏，但所有网站运营商都应该熟悉影响其用户的数据隐私法。

以下是您应该了解的2023年的法律法规。随着新法律的通过，我们将更新此列表。

美国数据隐私法

尽管多年来提出了许多建议，但美国还没有一项全面的联邦法律来管理数据隐私。《美国数据隐私保护法案》（ADPPA）使其在立法过程中比任何前任都走得更远，但仍面临重大障碍。截至本文撰写之时，尚不确定该法案是否会克服或屈服于这些障碍。

然而，与此同时，各州采取了行动，而不是等待联邦政府。有一系列复杂的特定行业和特定媒介的法律，包括涉及电信、健康信息、信用信息、金融机构和营销的法律法规。

联邦贸易委员会

美国的一个重要执法机构是联邦贸易委员会（FTC）。其代表消费者保护进行监管的权力来自《联邦贸易委员会法案》，该法案对其管辖下的商业实体拥有广泛的管辖权，以防止不公平或“欺骗性的贸易行为”

而联邦贸易委员会利用其权力发布法规，执行隐私法，并采取执法行动保护消费者。例如，联邦贸易委员会可能会对以下组织采取强制行动：

• 未能实施和维护合理的数据安全措施
• 未能遵守组织所在行业的任何适用自律原则
• 未能遵守已发布的隐私政策
• 以隐私政策中未披露的方式传输个人信息
• 对消费者和隐私政策做出不准确的隐私和安全陈述（即撒谎）
• 未能为个人数据提供足够的安全性
• 通过收集、处理或共享消费者信息侵犯消费者数据隐私权
• 从事误导性广告活动

管理在线信息收集的其他联邦法律包括：

• 《儿童在线隐私保护法》（COPPA），管理未成年人信息的收集
• 《健康保险便携性和会计法》（HIPAA），管理健康信息的收集
• Gramm-Leach-Bliley法案（GLBA），管理银行和金融机构收集的个人信息
• 《公平信用报告法》（FCRA）对信用信息的收集和使用进行了监管
• 《家庭教育权利和隐私法》保护学生教育记录的隐私

州数据隐私法

美国各州有数百项部门数据隐私和数据安全法。州检察长监督数据隐私法，该法管理从居民那里收集的个人数据的收集、存储、保护、处置和使用，特别是关于数据泄露通知和社会保障号码的安全。有些仅适用于政府实体，另一些适用于私人实体，而另一些则同时适用于两者。

除了部门隐私法之外，美国正在经历一场在州一级推动隐私立法的大规模运动。这是因为联邦政府未能就如何广泛立法达成共识。消费者、消费者权益倡导者甚至公司都敦促州立法者制定自己的规则，而不是等待。

当然，公司宁愿遵守单一的联邦标准，也不愿雇佣律师和隐私专业人员，投资于合规工具，并建立一个涵盖所有适用州法律的强大合规计划。但各州认为，缺乏任何数据隐私保护比过于复杂的数据隐私保护更具破坏性。

加利福尼亚引发了多米诺骨牌效应。虽然到目前为止只有五个州（加利福尼亚州、科罗拉多州、康涅狄格州、犹他州和弗吉尼亚州）能够通过一项全面的法律，但许多州都在努力。即使他们早期的法案在前几届立法会议上失败了，它们也是共和党和民主党在任何协议到达最终目的地——州长办公桌之前开始修正工作的参考点。

以下是现状的细分。下载清单：2023年州数据隐私法行动计划

《加利福尼亚州隐私权法案》

迄今为止，最全面的州数据隐私立法是《加州隐私权法案》（CPRA）。《加州隐私保护法》于2020年11月通过投票倡议，并修订了加州先前的州隐私法，即《加州隐私权保护法》（CPPA）。它于2023年1月1日生效。

《消费者保护法》是一项跨部门立法，引入了重要的定义和广泛的个人消费者权利，并对收集加州居民个人信息或从加州居民那里收集个人信息的实体或个人规定了实质性义务。这些职责包括告知数据主体何时以及如何收集数据；允许他们选择退出数据收集；允许他们访问、更正和删除此类信息；以及限制企业向其他实体转移个人信息的方式。

上述许多要求也包括在CCPA中，但一旦CPRA通过，法律就被修改为包括以下内容：

• 更正权：这更新并增加了消费者更正不准确个人信息的权利。
• 限制权：这赋予消费者限制使用和披露其敏感个人信息的权利。
• 敏感个人信息：这更新了个人信息的定义。某些类型的信息，如消费者的社会保障号码，必须受到特殊保护。

CPRA还：

对违反儿童数据的罚款增加了三倍

• 扩大了违约责任，从违反未加密数据到披露可能导致访问消费者账户的凭据（如电子邮件地址或密码）
• 将公司保留消费者信息的时间限制在与最初收集信息的原因“相称”的必要范围内
• 要求与第三方、承包商和外部服务提供商合作的公司根据合同规定，这些组织对与其共享的数据行使与第一方相同级别的隐私保护

CPRA最重要的特点之一是它的执行。虽然州检察长通常处理隐私案件——除非联邦贸易委员会参与其中，即使这样，它也经常是一种合作关系——但CPRA建立了一个新的隐私监管机构。

加州隐私保护局（CPPA）可以对违规者进行罚款，就侵犯隐私的行为举行听证会，并澄清隐私准则。它是一个由五名成员组成的委员会，在《消费者保护法》于2023年7月1日生效六个月后开始执行。下载指南-分解你需要完成的主要任务，以实现《消费者保护法案》的合规性。

弗吉尼亚州消费者数据保护法案

弗吉尼亚州的《消费者数据保护法》于2021年3月2日通过。它赋予弗吉尼亚州消费者对其数据的某些权利，并要求法律所涵盖的公司遵守有关他们收集的数据、如何处理和保护数据以及与谁共享数据的规则。

该法律与《欧盟通用数据保护条例》（GDPR）和《消费者保护法》有一些相似之处。它适用于在弗吉尼亚州开展业务或销售针对弗吉尼亚州居民的产品和服务的实体，同时满足以下条件之一：

• 控制或处理100000或以上的个人数据
• 控制或处理至少25000名消费者的个人数据，并通过出售个人信息赚取50%的收入

CDPA要求法律所涵盖的公司在处理其敏感数据（只要通知消费者，就可以收集非敏感数据）、披露其数据何时出售以及允许他们选择退出数据收集之前，通过获得选择加入同意来帮助消费者行使其数据权。它还要求公司向用户提供明确的隐私通知，使消费者能够选择退出定向广告。此外，除其他要求外，它还要求数据代理满足消费者选择退出数据处理的请求。

CDPA于2023年1月1日生效。

科罗拉多州隐私法（CPA）

2020年6月，科罗拉多州成为美国第三个通过隐私法的州。《科罗拉多州隐私法》赋予科罗拉多州居民对其数据的权利，并赋予数据控制者和处理者义务。它与加利福尼亚州的CPRA、弗吉尼亚州的CDPA和欧盟的GDPR有一些相似之处。

虽然有一些相似之处，比如某种形式的选择退出权、对敏感数据的特殊保护，以及根据设计原则采用一些隐私，但显著的区别在于细节。

CPA适用于从100000名科罗拉多州居民那里收集个人数据或从25000名科罗拉多州公民那里收集数据并从这些数据的销售中获得收入的企业。

该法律列出了2023年7月1日生效后授予科罗拉多州居民的五项权利。他们是：

• 选择退出定向广告、出售其个人数据或被介绍的权利
• 访问公司收集的有关他们的数据的权利
• 更正收集到的有关他们的数据的权利
• 请求收集有关他们的数据的权利被删除
• 数据可移植性的权利（即，将您的数据转移到另一家公司的权利）

法律中有17项全面豁免。数据豁免包括：

• 如果数据是为科罗拉多州健康保险法目的收集的
• 如果收集数据的实体或所收集的数据已经被某些部门法律所涵盖，包括COPPA或《家庭教育权利和隐私法》（FERPA）
• 如果数据已被取消标识或化名
• 如果数据由消费者报告机构维护和使用
• 如果数据用于就业记录

由于该法律将于2023年中期生效，企业应期待在今年上半年通过规则制定对该法律进行更新。

犹他州消费者隐私法

2022年3月，犹他州成为第四个颁布全面消费者隐私法的州，该法将于2023年12月31日生效。犹他州消费者隐私法（UCPA）借鉴了CDPA、CPA和CPRA。

该法律适用于年收入超过2500万美元的数据控制器和处理器，并且：

• 每年为超过100000名消费者控制或处理个人数据，或
• 实体总收入的50%以上来自个人数据的销售，并控制或处理25000名或更多消费者的个人数据。

与科罗拉多州和弗吉尼亚州的法规类似，某些类型的个人数据也有豁免；然而，它们在实体和数据级别上都更广泛。

该法律不适用于政府实体或代表政府实体行事的第三方、部落、高等教育机构、非营利公司、商业伙伴、符合HIPAA和相关法规的受保护健康信息定义的信息等。

受GLBA（Gramm-Leach-Bliley法案）和FCRA（公平信用报告法案）中的信息管辖的金融机构也不受UCPA的约束。在就业过程中处理或维护的数据也可以豁免。

消费者有权：

• 确认控制器是否正在处理其个人数据以及访问或删除提供的个人数据
• 以可移植、可访问的格式获取其个人数据的副本
• 选择不处理用于定向广告或销售的个人数据

与CDPA和CPA相比，UCPA不包括选择退出分析的权利，也不包括纠正其数据不准确的权利。

康涅狄格州的数据隐私法

康涅狄格州是第五个也是最近一个通过全面消费者隐私法的州。参议院第6号法案，即“关于个人数据隐私和在线监控的法案”（CTDPA），将于2023年7月1日生效。

该法律还借鉴了弗吉尼亚州和科罗拉多州的法规，但有一些偏离。它适用于在上一日历年内：

• 100000名或以上康涅狄格州居民的受控或处理个人数据，不包括其个人数据仅为完成支付交易而受控或处理的居民；或
• 控制或处理不少于25000名消费者的个人数据，并从个人数据销售中获得总收入的25%以上。

该法律首次规定支付交易数据不受法律约束，这适用于处理信息以完成交易的小企业，如餐馆。消费者可以出于定向广告、向第三方销售和分析的目的选择不进行数据处理。

该州允许在2024年12月31日之前有60天的时间对违规行为进行补救。

《纽约盾牌法案》

2019年7月，纽约通过了《停止黑客攻击和改善电子数据安全法案》。这项法律修订了纽约现有的数据泄露通知法，并为收集纽约居民信息的公司制定了更多的数据安全要求。截至2020年3月，该法律完全可执行。

这项法律扩大了消费者隐私的范围，并为纽约居民提供了更好的保护，使其免受个人信息数据泄露的影响。它要求拥有纽约居民私人信息的雇主“制定、实施和维护合理的保障措施，以保护私人信息的安全、保密和完整性”

去年，也就是2022年，州检察长与一个组织达成了60万美元的和解，原因是该组织未能达到最低标准，导致安全漏洞和个人信息泄露。虽然该法律最近没有更新，但正如这项和解所表明的那样，它仍然非常活跃和执行。

其他国家级数据隐私法

加利福尼亚州、犹他州、弗吉尼亚州、康涅狄格州和科罗拉多州是第一批颁布具有全国影响的广泛立法的州，但美国许多其他州也在考虑数据隐私法。

目前，密歇根州、俄亥俄州、宾夕法尼亚州和新泽西州正在积极立法。有20多个州的立法不活跃，未来可能会重新启动或纳入新的立法。

欧洲数据隐私法

《欧盟通用数据保护条例》仍然是国家法律，但欧盟最近通过了新的数据隐私相关法律，尤其是《数字服务法》和《数字市场法》。2023年也有几个建议需要注意。以下是GDPR的复习资料，以及您应该跟踪的其他建议列表，以使您的组织在2023年保持最新的数据隐私。

《通用数据保护条例》

迄今为止颁布的最重要的数据保护立法是《通用数据保护条例》（GDPR）。它管理从欧盟28个成员国中任何一个成员国的居民那里收集的数据的收集、使用、传输和安全。该法律适用于所有欧盟居民，无论收集个人数据的实体位于何处。不遵守GDPR的组织可能会被处以高达2000万欧元或全球总营业额4%的罚款。GDPR的一些基本要求包括：

同意

在收集个人数据之前，必须允许数据主体给予明确、毫不含糊的同意。个人数据包括通过使用cookie收集的信息。根据《通用数据保护条例》，一些在美国通常不被视为“个人信息”的信息，如用户的计算机IP地址，被认为是“个人数据”。

数据泄露通知

在大多数情况下，如果数据泄露影响了用户的个人信息，组织必须在72小时内通知监管机构和数据主体。

数据主体的权利

数据主体（数据被收集和处理的人）对其个人信息享有某些权利。这些权利应在组织网站上以清晰、易于访问的隐私政策传达给数据主体。

• 知情权。在获得数据时，必须告知数据主体其个人数据的收集和使用情况。
• 访问其数据的权利。资料当事人可透过资料当事人要求索取其个人资料的副本。数据控制器必须解释收集的方式、正在处理的内容以及与谁共享。
• 整改权。如果数据主体的数据不准确或不完整，他们有权要求您进行更正。
• 删除的权利。数据主体有权在30天内以某些理由要求删除与其相关的个人数据。
• 限制处理的权利。数据主体有权要求限制或禁止其个人数据（尽管您仍然可以存储）。
• 数据可移植性的权利。数据主体可以在任何时候安全可靠地将其数据从一个电子系统传输到另一个系统，而不会破坏其可用性。
• 反对的权利。数据主体可以反对如何将其信息用于营销、销售或非服务相关目的。反对权不适用于执行法律或官方授权、为公共利益执行任务或组织需要处理数据以向您提供您注册的服务的情况。

如果你没有做好准备，遵守DSAR可能会很困难和复杂。下载我们的指南，确保您走在正确的道路上。

《数字服务法》

新规定通过强制谷歌和脸书等平台删除不符合某些标准的内容来解决非法和有害内容。根据欧盟理事会的说法，首要原则是“线下非法的东西必须是线上非法的”。《数字服务法》于2022年11月16日生效。该法律的不同条款将在不同时间生效，该法律将于2024年2月17日全面生效。

它适用于四类业务：

• 提供网络基础设施的中介服务，如ISP
• 托管服务，如云和网络托管服务
• 将卖家和消费者聚集在一起的在线平台，如在线市场、社交平台和应用商店
• 非常大的在线平台，被定义为覆盖欧洲4.5亿消费者中10%以上的在线平台

每个类别都面临不同的要求。

上述所有类别必须：

• 参与对法院命令和采取的行动、内容审核工作等的透明度报告
• 更新服务条款以考虑基本权利
• 与国家当局合作
• 为当局建立联系点，必要时为法律代表建立联系点

托管服务、在线平台和大型在线平台必须：

• 提供通知和行动机制，使用户能够注意到潜在的非法内容，以便企业删除
• 举报刑事犯罪

在线平台和大型平台必须：

• 实施投诉和补救机制
• 识别值得信赖的旗手，他们的专业知识为其内容通知增加了特殊的分量
• 对滥用通知和反通知采取措施
• 如果他们具有市场特征，则采取特殊措施，如审查第三方供应商的资质、遵守设计原则等
• 不针对儿童或基于用户特殊特征的目标广告
• 为内容推荐系统提供透明度
• 为在线广告实践提供面向用户的透明度

非常大的平台必须：

采用风险管理做法并制定危机应对协议

• 接受外部独立审计，建立内部合规职能，并公开负责
• 为用户提供不受基于分析的内容推荐约束的选择
• 与权威机构和研究人员共享数据
• 遵守自行起草的行为准则
• 在危机应对情况下与当局合作

欧盟数据保护机构可以访问、获取信息，并检查服务提供商，以告知订单和制裁。如果一家企业被发现违规，可能会被处以上一财政年度全球年营业额6%以下的罚款。如果违反DSA规定的信息义务，最高罚款限制为前一年收入或全球营业额的1%。

《数字市场法》

《数字市场法》涵盖了被称为“看门人”的最大数字平台，其中包括脸书、苹果、微软和谷歌等公司。DMA旨在为数字公司创造公平的竞争环境，防止看门人公司对其竞争对手施加不公平的条件。例如，像亚马逊这样的公司不允许在其网站上对产品进行排名，这会给亚马逊自己的产品和服务带来优势。

如果一家公司：

• 具有强大的经济地位，对欧盟市场有重大影响，并活跃于多个欧盟成员国
• 作为连接大量用户群和大量业务的中介，具有强大的地位
• 已经或将很快在市场上站稳脚跟，这取决于公司在过去三个财政年度是否符合前两个标准

根据DMA，有资格成为看门人的企业必须：

• 不参与自我偏好，即看门人在看门人的平台上推广自己的产品和服务，而不是同等的第三方产品或服务
• 未经同意，不得在原始收集环境之外重复使用用户的数据
• 未经同意，不得出于定向广告的目的跟踪看门人平台之外的用户
• 允许企业和最终用户之间的通信和内容访问
• 确保广告中介服务的价格和费用透明度
• 向用户提供对平台上营销或广告绩效数据的访问
• 使用户可以轻松更改默认设置并卸载软件
• 确保第三方技术可以与看门人自己的技术进行互操作
• 确保最终用户的数据可移植到其他系统
• 为企业提供在看门人平台上对其数据的实时访问
• 不妨碍用户向当局投诉
• 不要求用户注册附加服务作为访问给定服务的条件
• 不使用企业的非公开数据与他们竞争
• 还有更多

违反DMA的看门人可能会被处以高达全球年营业额10%的罚款，如果多次违反，则最高可被处以20%的罚款。更重要的是，重复的违规行为可能会导致非财务补救措施，如强制剥离。

欧盟2023年关注的提案

欧盟-美国数据隐私框架

尽管它本身不是一部法律，但欧盟-美国数据隐私框架是一个需要注意的重要因素。

此前，将欧盟公民的数据转移到美国的企业依靠一个名为“隐私盾”的框架来确保数据得到充分保护，但在Schrems II的法庭案件中，该框架被视为无效。从那时起，企业一直依靠欧盟委员会批准的标准合同条款为数据传输提供法律保护。

然而，这些条款有些不可靠；如果美国企业受到《外国情报监视法》第702条的约束，就不应该依赖它们，该条允许美国情报部门对包括欧盟公民数据在内的外国通信进行搜索。第702条的复杂性不在本博客的范围内，但重要的是要知道，企业何时受第702条约束并不总是清楚的。因此，SCC使用起来有风险，但欧盟和美国之间的国际数据传输没有替代的法律框架。

直到最近。

2022年10月7日，拜登总统发布了一项关于加强美国信号监视活动保障措施的行政命令。该命令概述了新的欧盟-美国数据隐私框架，包括额外的安全措施，为感觉自己的权利受到侵犯的欧盟和美国公民提供补救机制，以及对转移到美国的外国公民数据提供更大的保护。此外，该框架要求情报机构更新与监控相关的政策和程序，随后由隐私和公民自由监督委员会进行审查。

目前，欧盟委员会正在根据欧洲数据保护委员会的意见对拟议框架进行审查。欧洲隐私倡导组织可能会提出批评，但如果该框架得以幸存，它可能是企业在欧盟和美国之间传输数据的方法。

电子隐私条例

电子隐私条例（ePR）已经出台很长时间了。它的目标是在2018年与欧盟的《通用数据保护条例》一起生效，但多年来一直停滞不前。2022年3月，欧盟理事会就草案达成一致，但预计至少要到2023年才能出台监管。此外，如果ePR在2023年生效，将有24个月的过渡期。因此，企业最早必须在2025年前实现合规。

如果ePR获得通过，将为WhatsApp、Facebook Messenger和Skype等传统电子通信服务和实体制定隐私规则，而这些服务和实体不在前一项法律ePR的涵盖范围内。

它将为电子通信的隐私制定更强有力的规则，并将适用于通信内容和“元数据”，即描述其他数据的数据。根据ePR，服务提供商和电子通信网络在处理其电子通信元数据之前必须事先征得用户的同意。

重要的是，它还将为cookie创建更直接的规则。它将允许用户在浏览器级别同意或拒绝跟踪cookie，还将澄清网站不需要获得所谓的“非隐私侵入性cookie”的同意。这些cookie允许“购物车”等网站功能跟踪用户订购的内容。它还要求各组织使最终用户能够每年至少撤回一次先前给予的同意。

AI法案

欧盟的《人工智能法》将适用于在欧盟开展业务、开发或采用“高风险”人工智能系统的任何公司。这些系统影响就业、信贷、医疗保健和其他关键领域。

该法案于2021年出台，目前正在欧洲议会审议。截至本文撰写之时，该法案将于2023年第一季度进行投票。然而，鉴于大赦国际的复杂性，这次投票可能会推迟，以纳入进一步的修正案。

《人工智能法案》将适用于域外，这意味着如果总部位于其他地方的公司在欧盟境内有客户或用户，该法案将涵盖这些公司，从而有效地使其成为一项全球法规。

根据该法案，拥有适用人工智能系统的企业必须：

• 进行影响评估、保存记录并履行透明度义务
• 不要开发可用于以可能造成精神或身体伤害的方式操纵一个人行为的系统。
• 不开发可用于利用特定群体因年龄、身体或精神残疾或行为可能造成心理或身体伤害而产生的脆弱性的系统。
• 不开发可能基于年龄、身体或精神残疾而剥削弱势群体的系统。
• 不开发执法部门在公共空间提供实时远程生物特征数据的系统。

其他国际数据隐私法

全球有130多项数据隐私法，在这篇博客文章中列出和描述每一项都是不可行的。但是，以下是一些可能适用于您的业务的重要规定。

• 巴西《个人数据保护通则》，或《保护个人数据法》：该法于2020年生效，包含许多与《通用数据保护条例》类似的条款。在我们专门的博客文章《巴西隐私法权威指南》中了解更多关于该法律的信息。
• 加拿大的《个人信息保护和电子文件法》（PIPEDA）：PIPEDA于2000年获得批准，于2009年全面生效，当时被视为一项进步法律。它上一次更新是在2015年根据《数据隐私法》进行的，但仍达不到GDPR的监管标准。
• 中国个人信息保护法（PIPL）：PIPL于2021年11月颁布成为法律，大致符合GDPR的规定。然而，它在一些细节上确实有所不同，尤其是赋予个人更少的权利，要求更严格的同意标准，并施加更严厉的惩罚。

使用合规平台降低复杂性和风险

这篇文章涵盖了最近更新的一些主要法律。这排除了许多最近根本没有更新的较小法律，以及对博客文章来说过于深入的上述法规的细节。尽管如此，这篇文章还是有5000多字长！

对于那些知道自己只需要遵守一项法律而无意扩展到其他司法管辖区的企业来说，可能可以在内部处理合规问题。这需要时间、资源和努力，但这是可行的。一旦您的业务受到多项法律的约束，一种完全自主的合规方法很快就会被不同法律要求的复杂性所淹没。伴随着复杂性而来的是风险和收入流的削弱，无论是通过罚款和处罚、可用于创收的资源被挪用，还是消费者信任的丧失。

无论受一项法律还是多项法律的约束，有兴趣保护其收入免受风险的企业都会投资于合规平台。这一类别的解决方案通过其能力和功能将隐私专业人员的知识形式化，为隐私新手和隐私专业人员提供支持。