【美国隐私保护】2023年州消费者隐私法趋势：蒙大拿州和田纳西州加入

在2022年经济放缓之后，美国各州又开始起草消费者隐私法，仅上个月就通过了四项。在这里，我们来分析一下你需要了解的关于蒙大拿州和田纳西州法案的内容。

简言之

2023年初，田纳西州和蒙大拿州的立法机构将成为第八个和第九个制定全面隐私法的州，新的州隐私立法大量涌现。继爱荷华州和印第安纳州最近通过隐私法之后，《田纳西州信息保护法》和《蒙大拿州消费者数据隐私法》于2023年4月21日在各自的立法机构以全票通过。这些法案现在被提交到州长办公桌上签字。虽然这些法案顺应了州隐私法的大趋势，但每一项法案都包含了新颖的条款。它们的一些主要区别特征包括：

• 蒙大拿州的新法律的适用性数据量阈值低于典型的数据量阈值，并将要求企业在日出期后确认选择退出偏好信号。尽管该法案没有规定私人执法，但也没有规定罚款的上限。
• 田纳西州法律将要求范围内的企业实施“合理符合”NIST隐私框架的数据安全计划，遵守该框架也可以为企业提供积极的辩护，以保护其免受新法律下的索赔。

如果通过，蒙大拿州和田纳西州的法案将分别于2024年10月1日和2025年7月1日生效。

背景

田纳西州和蒙大拿州的法案在同一天通过，巩固了最近全国全面制定州隐私立法的趋势。虽然整个2022年只通过了两个州的隐私法（犹他州和康涅狄格州），但仅在过去一个月，就有四个州紧随其后制定了新的立法。迄今为止颁布的所有综合隐私法规的一个有益相似之处在于，它们区分了控制者（即决定处理个人数据的方式和目的的实体）和处理者（即代表处理者处理个人数据），并将其大部分要求强加给控制者。

包括俄克拉荷马州、夏威夷州和新罕布什尔州在内的其他一些州正在考虑隐私法案，这些法案正处于立法程序的高级阶段。此外，华盛顿州最近通过了《我的健康，我的数据法案》，该法案将适用于与消费者相关或可合理链接的个人信息，以及与过去、现在或未来健康状况相关的个人信息。

蒙大拿州消费者数据隐私法

范围：蒙大拿州法律将适用于生产针对蒙大拿州消费者的产品或服务的企业，并且这些企业：

• 控制或处理至少50000名消费者（定义为蒙大拿州居民）的个人数据；或
• 控制或处理至少25000名消费者的个人数据，这些消费者的总收入的25%以上来自个人数据的销售。

该法律豁免了国家实体、非营利组织、高等教育机构、注册的国家证券协会，以及受《格拉姆-利奇-布利利法案》（GLBA）和《健康保险便携性和责任法案》（HIPAA）隐私条例管辖的实体。业务部门应注意低于典型的数据处理阈值；相比之下，只有处理或控制至少10万名州内消费者数据的企业才受爱荷华州和弗吉尼亚州法规的约束。这两项法规还将数据销售门槛设定为总收入的50%，而不是蒙大拿州法律规定的25%。这可能会影响到一些不在其他州隐私法范围内的企业，这些企业将无法依靠过去的合规努力。《蒙大拿州消费者数据隐私法》不保护在商业（即B2B）或就业环境中行事的个人。

数据主体权利：《消费者数据隐私法》确立了任何人在遵守最近的州隐私立法后都会熟悉的权利。根据新法案，消费者可以确认其个人数据的处理和访问（受商业秘密保护），纠正其个人数据中的不准确之处，要求删除个人数据，并获得可读格式的数据副本，以便将其移植到另一个控制者。控制人必须在不合理延迟的情况下，在任何情况下，都必须在45天内对此类请求作出回应（必要时，回应期可以再延长45天）。控制者也不得歧视行使此类权利的消费者，例如收取不同的价格。

还必须为消费者提供一种选择退出某些类型处理的手段：定向广告、出售他们的个人数据（定义为包括以金钱或其他有价值的对价换取的披露），以及基于自动决策的分析，这些决策会产生法律上的重大影响。到2025年1月1日，控制人必须允许消费者通过选择退出偏好信号（即普遍选择退出）选择退出其个人信息的销售或定向广告。

处理：只有符合法规规定的某些条件，控制者才能处理消费者的个人数据。个人数据的收集必须限于其所述目的所需的充分、相关和合理的数据。在新法案中一项更独特的条款中（但与加利福尼亚州相比并非唯一），控制者只有在获得13岁至15岁消费者的同意后，才能出售他们的个人数据，或将他们的数据用于定向广告。处理敏感数据也需要征得同意，这些数据包括揭示种族或族裔出身、宗教信仰、心理或身体健康状况或诊断的数据、有关个人性生活、性取向或公民身份或移民身份的信息；遗传或生物特征数据；从已知儿童收集的数据；或精确的地理定位数据。

隐私声明：控制者必须向消费者提供一份明确且可访问的隐私声明，其中包括控制者处理的数据类别、处理目的、与第三方共享的数据类别以及与之共享数据的第三方类型、联系电子邮件地址以及行使数据主体权利的说明。如果个人数据被出售给第三方或用于定向广告，控制者必须明确和显著地披露处理过程，以及消费者选择退出此类销售的手段。

控制者-处理者义务：控制者和处理者之间的合同必须规定处理数据的说明、处理的性质和目的、正在处理的数据类型、处理的持续时间以及各方的权利和义务。合同还必须规定处理者的义务，以确保处理过程遵守保密义务，在控制者的指示下在提供服务结束时删除或返回个人数据，并要求分包商履行处理者对数据的所有义务。

数据安全：控制者必须采取行政、技术和物理数据安全措施，以保护个人数据的机密性、完整性和可访问性。虽然该法案没有规定具体的措施，但考虑到数据的数量和性质，这些措施应该是适当的。

数据保护评估：控制者在从事被认为对消费者造成更高伤害风险的某些活动之前，必须进行并提交数据评估。此类活动包括定向广告、数据销售、敏感数据处理，以及存在合理可预见的不公平或欺骗性待遇、财务、身体或声誉损害、私人事务入侵或其他重大损害风险的处理。控制方可为相关处理活动或遵守另一法律或法规（如果范围相似）准备单一数据评估。

执行：《蒙大拿州消费者数据隐私法》不包含私人诉讼权，司法部长拥有独家执行权。在2026年4月1日之前，司法部长将向控制人提供任何涉嫌违反该法案的通知，并在开始执行之前给控制人60天的时间纠正违规行为。2026年4月1日之后，司法部长可以在没有通知的情况下提起诉讼。不同寻常的是，《蒙大拿州消费者数据隐私法》没有具体说明可用的补救措施类型，也没有规定司法部长可能寻求的罚款限制。

田纳西州信息保护法

范围：《田纳西州法案》适用于收入超过2500万美元的企业，这些企业提供针对田纳西人的产品或服务，并控制或处理至少17.5万名消费者的个人信息（这一门槛明显高于《蒙大拿州法案》）。个人信息卖家的门槛也与蒙大拿州法律略有不同；田纳西州的《信息保护法》适用于控制或处理至少25000名消费者的个人信息，并且其收入的50%以上来自个人信息销售的企业（而不是蒙大拿州和大多数其他州的25%门槛）。拟议的田纳西州法律确实有一些常见的豁免，如州机构、非营利组织、高等教育机构、注册的国家证券协会以及GLBA和HIPAA管辖的实体，但其中一个更独特的规定是，持牌保险公司也可以豁免。《信息保护法》还将在商业或就业背景下行事的人排除在“消费者”的定义之外。

数据主体权利：《信息保护法》包括一系列类似的数据主体权利。消费者可以确认其个人信息的处理和访问，更正不准确之处，要求删除个人信息，并获得其数据的副本。他们还可以要求出售其个人信息的控制人（定义为包括以金钱或其他有价值对价换取的披露）披露（1）出售的数据类别，（2）出售数据的第三方类别，以及（3）为商业目的披露的商业信息类别。与蒙大拿州法律不同，此类信息不需要包含在控制人的隐私声明中（见下文）。还必须允许消费者选择不出售其数据、定向广告和自动决策。控制人也不得歧视选择行使其数据主体权利的消费者。

处理：与蒙大拿州法规一样，《信息保护法》也采用了数据最小化的处理方法。控制者不应收集或处理超出向消费者说明的目的所需的充分、相关和合理的个人信息。与《蒙大拿州消费者数据隐私法》一样，未经消费者同意，控制者不得处理敏感数据，这一定义与蒙大拿州法律类似。

隐私通知：《信息保护法》的隐私通知条款有些不同寻常，因为它们要求控制者在收到经过验证的消费者请求时提供隐私通知。通知应包括处理的个人信息的类别、处理的目的、消费者如何行使其权利、控制者向第三方出售的数据的类别、数据出售给的第三方的类别，以及选择不向第三方出售信息的权利。另一项规定要求控制者提供隐私通知，说明消费者提交行使权利请求的方法，包括免费电话号码、电子邮件地址、网络表单或允许提交数据主体请求的网站链接。

控制者-处理者义务：《田纳西州法案》关于控制者-处理器合同的规定在很大程度上反映了蒙大拿州和其他现有州隐私法的规定。控制者必须确保其与处理者的合同概述了处理数据的说明、处理的性质和目的、正在处理的数据类型、处理的持续时间以及各方的权利和义务。同样，合同应要求处理者确保在履行保密义务的情况下进行处理，由控制者自行决定在提供服务时删除或返回个人信息，向控制者提供可用信息，以证明处理者的合规性，并要求分包商履行处理者关于数据的所有义务。

数据保护评估：《信息保护法》的数据保护评估条款在很大程度上反映了《蒙大拿州法案》和其他现有州隐私法的规定。控制人在进行具有更高伤害风险的处理之前必须准备一份评估（触发活动与上文讨论的蒙大拿州法律中的触发活动在实质上相同）。评估应权衡拟议处理对控制人、消费者和其他利益相关者的好处与对消费者权利的潜在损害。评估还应考虑使用未识别数据的可能性和合理的消费者期望。

数据安全与隐私计划义务：《信息保护法》对数据安全和隐私风险管理采取了规定性方法。与其他隐私法一样，控制者需要建立、实施和维护行政、技术和物理保护措施，以保护其拥有的数据的安全。《信息保护法》没有赋予控制者自由裁量权，而是规定控制者必须根据美国国家标准与技术研究所的隐私框架（NIST隐私框架）实施数据安全计划。NIST隐私框架是一种自愿工具，旨在帮助组织识别和管理隐私风险。《信息保护法》标志着州法律首次要求至少部分符合NIST隐私框架。根据田纳西州的消费者保护法规，未能维持合规的隐私计划也可能被视为不公平和欺骗性行为。建立和维护一个合规的隐私计划将构成一种肯定的辩护。有趣的是，《信息保护法》还承认，根据亚太经济合作组织的《跨境隐私规则》和《处理器系统隐私承认》进行的认证也有助于建立对索赔的肯定性辩护。

强制执行：与蒙大拿州法规一样，《信息保护法》没有考虑私人强制执行，并允许60天的补救期。补救期结束后，司法部长可提起强制执行诉讼，寻求宣告和禁令救济、律师费和调查费用，以及每次违规最高7500美元的民事处罚。

主要收获

尽管《蒙大拿州消费者数据隐私法》和《田纳西州信息保护法》延续了2023年州隐私立法的趋势，在许多方面与现有法律非常相似，但它们都包含了企业应注意的独特特征。蒙大拿州法律要求控制者承认选择退出偏好信号，这可能要求一系列业务部门进行协调。同样，根据《田纳西州信息保护法》的规定，建立符合NIST的隐私计划将需要整个企业采用。

作为第一步，各组织应仔细注意新法律的数据量，这些法律在关键方面与现行隐私立法不同，并应进行数据映射，以确定这些法律是否适用于它们。与往常一样，随着其他隐私法案通过立法程序，企业也应继续监控事态发展，并确定与各自企业相关的新法律的要求。

如果您对此或其他数据隐私问题有疑问，请联系本警报中列出的任何Baker McKenzie律师。