文章分类
概述
互联网和新技术不断提出有关隐私的新政策问题,州立法者正在继续解决网络活动中产生的一系列隐私问题。
该网页记录了有限领域的国家隐私法:全面的消费者数据隐私、网站隐私政策、在线书籍下载和读者浏览信息的隐私、互联网服务提供商持有的个人信息、针对未成年人的某些产品的在线营销以及员工电子邮件监控。其他类型的州法律涉及隐私,也适用于在线活动。
请注意:NCSL为州议员及其工作人员服务。本网站仅提供一般比较信息,不应依赖或解释为法律建议。此外,NCSL不主张或对州立法、法律或政策采取立场。以下提供的任何外部资源仅供参考。
消费者数据隐私立法
- 2022年消费者数据隐私立法(https://www.ncsl.org/default.aspx?tabid=37560)
- 2021消费者数据隐私立法(https://www.ncsl.org/default.aspx?tabid=36391)
- 2020年消费者数据隐私立法(https://www.ncsl.org/default.aspx?tabid=35140)
- 2019年消费者数据隐私立法(https://www.ncsl.org/default.aspx?tabid=33734)
全面的消费者数据隐私法
加利福尼亚州、科罗拉多州、康涅狄格州、犹他州和弗吉尼亚州五个州颁布了全面的消费者数据隐私法。这些法律有几个共同的规定,例如访问和删除个人信息的权利,以及选择不出售个人信息等。其他条款要求商业网站或在线服务发布隐私政策,说明收集的个人信息类型、与第三方共享的信息以及消费者如何请求更改某些信息。
加利福尼亚
Cal. Civ. Code §§ 1798.100 et seq. (California Consumer Privacy Act of 2018 (CCPA))
允许消费者有权要求企业披露企业收集的有关消费者的个人信息的类别和特定片段,以及信息的来源和收集信息的商业目的。规定消费者可以要求企业删除企业从消费者处收集的个人信息。规定消费者有权选择退出企业对其个人信息的销售,企业不得歧视选择退出的消费者。适用于加州居民。(A.B.375,2020年1月1日生效。经2018 S.B.1121修订。)
相关CCPA信息:
- CCPA Regulations, California Office of the Attorney General
- California Attorney General, Background on the CCPA and the Rulemaking Process
- Standardized Regulatory Impact Assessment: California Consumer Privacy Act of 2018 Regulations, prepared for California Attorney General's Office, Aug. 2019
加州消费者隐私权法案(CPRA)
提案24,2020年11月批准,2023年1月1日生效
扩展了消费者数据隐私法。允许消费者:(1)防止企业共享个人信息;(2) 纠正不准确的个人信息;(3)限制企业使用“敏感个人信息”,包括精确的地理位置;比赛种族渊源宗教遗传数据;私人通信;性取向;以及指定的健康信息。成立加利福尼亚州隐私保护局,以进一步执行和实施消费者隐私法并罚款。企业必须遵守法律的变更标准。禁止企业保留个人信息的时间超过合理需要的时间。对涉及16岁以下消费者的违法行为处以三倍的最高处罚。根据规定,授权对窃取消费者登录信息的行为处以民事处罚。(由公元1490年2021修订)
科罗拉多州
《科罗拉多州法律总汇》第6-1-1301节及以下内容。(2021 S.B.190)
在科罗拉多州消费者保护法案中创建科罗拉多州隐私法案。解决了消费者的隐私权、公司保护个人数据的责任,并授权司法部长和地区检察官对违法行为采取执法行动。定义与所涵盖的业务、消费者和数据相关的各种术语,包括将术语“控制者”定义为决定如何使用和处理数据的个人或一群人。生效日期为2023年7月1日。
康涅狄格州
2022 S.B.6(个人数据隐私和在线监控)
康涅狄格州法案建立了控制和处理个人数据的框架;为数据控制器和处理器提供责任和隐私保护标准;并授予消费者访问、更正、删除和获取个人数据副本的权利,以及选择不处理个人数据的权利。生效日期为2023年7月1日。
犹他州
2022 S.B.227(犹他州消费者隐私法)
犹他州的《消费者隐私法》(Consumer Privacy Act)规定消费者有权了解企业收集的个人数据、企业如何使用个人数据以及企业是否出售个人数据。它还规定,消费者可以访问和删除企业维护的个人数据,并选择不收集和使用个人数据。它还要求特定企业保护个人数据,提供有关如何使用消费者个人数据的明确信息,并接受和遵守消费者访问、删除或停止销售个人数据的请求。法律授权司法部长采取执法行动并实施处罚。生效日期为2023年12月31日。
弗吉尼亚州
2021 H.B.2307/2021 S.B.1392(消费者数据保护法案)
在联邦建立控制和处理个人数据的框架。该法律适用于在英联邦开展业务的所有人,这些人(i)控制或处理至少100000名消费者的个人数据,或(ii)从个人数据销售中获得超过50%的总收入,并控制或处理最少25000名消费者的私人数据。该法律概述了数据控制器和处理器的责任和隐私保护标准。该法案不适用于州或地方政府实体,并包含受联邦法律管辖的某些类型数据和信息的例外情况。该法律授予消费者访问、更正、删除、获取个人数据副本的权利,以及出于定向广告目的而选择不处理个人数据的权利。法律规定,总检察长拥有强制执行违法行为的专属权力,而消费者隐私基金就是为了支持这一努力而设立的。该法律指示技术和科学联合委员会成立一个工作组,审查该法案的规定及其实施相关问题,并在2021 11月1日前报告其调查结果。生效日期为2023年1月1日。
数据代理隐私法
加利福尼亚
Cal. Civ. Code §§ 1798.99.80 et seq. (Data Broker Registration)
要求数据代理向司法部长注册并提供某些信息。将数据代理定义为故意收集消费者的个人信息并将其出售给第三方的企业,该消费者与该企业没有直接关系,但有特定的例外情况。要求司法部长在其互联网网站上提供数据代理提供的信息。未注册的数据经纪人将受到司法部长提起的诉讼中的强制令和民事处罚、费用和费用的责任,任何追回款项将按规定存入消费者隐私基金。该法案将陈述立法结果、声明和立法意图。
内华达州
第603A条。300(要求内华达州的网站允许用户选择不将个人数据出售给第三方。)
要求运营商(例如,拥有或运营用于商业目的的互联网网站或在线服务,或从内华达州居民处收集和维护特定信息的人)建立指定的请求地址,消费者可通过该地址提交经验证的请求,指示运营商不得出售收集的有关消费者的涵盖信息。“销售”一词的定义是指运营商向一个人交换受保护信息,以获得金钱上的报酬,该人可以向其他人许可或出售受保护信息。法律还禁止收到此类请求的经营者出售收集到的消费者相关信息。总检察长可就违规行为寻求禁令或民事处罚。
内华达州2021 S.B.260,第292章
与互联网隐私有关;免除对运营商、数据代理和覆盖信息的要求,免除在本州收集的特定人员和消费者信息;如果消费者指示,禁止数据经纪人出售收集的关于该州消费者的某些信息;修订了与销售州内消费者收集的某些信息有关的规定。
佛蒙特州
9 V.S.A§2446-2447(个人信息保护:数据代理)
需要数据代理——有意收集和许可消费者个人信息的企业,这些企业与这些企业没有直接关系,每年都要向国务卿注册。数据代理还必须向消费者提供特定信息,包括数据代理的名称、电子邮件和互联网地址;数据代理是否允许消费者选择退出个人信息收集或数据销售;请求退出的方法;选择退出适用的活动或销售;以及数据代理是否允许消费者授权第三方代表消费者执行选择退出。除其他披露外,还必须披露一份声明,该声明规定消费者不能选择退出的数据收集、数据库或销售活动,以及一份关于数据经纪人是否实施购买者认证流程的声明。数据代理还必须实施和维护书面信息安全计划,该计划包含管理、技术和物理保护措施,以保护个人可识别信息。
互联网服务提供商(ISP)持有的个人信息隐私
另请参阅2017-2020年与互联网服务提供商相关的隐私立法
内华达州和明尼苏达州特别要求互联网服务提供商对其客户的某些信息保密,除非客户允许披露这些信息。明尼苏达州还要求互联网服务提供商在披露用户的上网习惯和访问的网站信息之前,必须获得用户的许可。缅因州禁止使用、披露、出售或允许访问客户个人信息,除非客户明确同意。缅因州还禁止供应商拒绝为客户服务、向客户收取罚款或向客户提供折扣。
- Maine - 35-A MRSA § 9301 (effective 7-1-20)
- Minnesota - Minn. Stat. §§ 325M.01 to .09
- Nevada - NRS § 205.498
儿童在线隐私
加利福尼亚
Calif. Bus. & Prof. Code §§ 22580-22582
《数字世界法案》(Digital World Act)中的加利福尼亚州未成年人隐私权法案(也称为“橡皮擦”法案)允许未成年人删除或请求删除发布在互联网网站、在线服务、在线应用程序或移动应用程序上的内容或信息。它还禁止针对未成年人的网站或在线服务的运营商向未成年人营销或宣传法律禁止未成年人购买的特定产品或服务。法律还禁止基于未成年人特定的个人信息或故意使用、披露、编辑或允许第三方这样做来营销或宣传某些产品。
特拉华州
禁止针对儿童的网站、在线或云计算服务、在线应用程序或移动应用程序的运营商在其互联网服务上营销或广告不适合儿童观看的特定产品或服务,如酒精、烟草、枪支或色情制品。当针对儿童的互联网服务的营销或广告由广告服务提供时,互联网服务的经营者需要向广告服务提供通知,在此之后,禁止营销和广告特定产品或服务直接适用于广告服务。法律还禁止实际知道儿童正在使用互联网服务的互联网服务运营商使用儿童的个人身份信息向儿童推销或宣传产品或服务,如果知道儿童的个人身份信息将用于向儿童推销或宣传这些产品或服务,则禁止披露儿童的个人识别信息。
电子阅读器隐私
Arizona
规定公共资金支持的图书馆或图书馆系统不允许披露任何记录或其他信息,包括电子书,这些记录或信息表明图书馆服务用户请求或获得特定材料或服务,或以其他方式使用图书馆。
加利福尼亚
Cal. Govt. Code §§ 6254, 6267 and 6276.28
保护图书馆用户的使用记录,如识别用户借阅信息或图书馆信息资源使用情况的书面记录或电子交易,包括但不限于数据库搜索记录、借阅记录、班级记录以及图书馆资源信息请求或查询的任何其他个人可识别用途。
《加州读者隐私法》保护加州人从电子服务和在线书商处浏览、阅读或购买的书籍的信息,这些书商可能有权获得有关读者的详细信息,例如浏览的特定页面。在此类企业披露其用户使用书籍相关的个人信息之前,需要搜查令、法院命令或用户的肯定同意,但特定的例外情况除外,包括迫在眉睫的死亡或重伤危险。
特拉华州
保护数字图书服务和技术用户的个人信息,禁止向公众提供图书服务的商业实体向执法实体、政府实体或其他人披露与图书服务用户有关的个人信息(特定情况除外)。当存在需要披露图书服务信息的死亡或严重身体伤害的迫在眉睫的危险时,允许立即向执法实体披露用户的图书服务信息,并要求图书服务提供商在执法实体要求时将用户的图书服务信息保存一段指定的时间。要求图书服务提供商准备并在网上发布关于其个人信息披露的年度报告,除非免于这样做。司法部消费者保护股有权调查和起诉违法行为。
密苏里州
Mo. Rev. Stat. §§ 182.815, 182.817
定义“电子书”和“数字资源或材料”,并将其添加到“图书馆材料”定义中指定的项目中,图书馆用户可以使用、借用或请求这些项目。规定任何与图书馆签订合同、接收、传输、维护或存储图书馆记录的第三方不得向任何人发布或披露图书馆记录的全部或部分内容,但记录中或法院命令中确定的人员除外。
网站或在线服务的隐私政策和实践
加利福尼亚
Calif. Bus. & Prof. Code § 22575
要求商业网站或在线服务的运营商在其隐私政策中披露其如何响应网络浏览器“不跟踪”信号或类似机制,从而使消费者能够选择跨网站或服务的个人信息的在线跟踪。它还要求运营商披露第三方是否正在或可能在运营商的网站或服务上进行此类跟踪。
Calif. Bus. & Prof. Code § 22575-22578 (CalOPPA)
加利福尼亚州的《在线隐私保护法》要求运营商(定义为通过互联网网站或在线服务收集加利福尼亚居民个人身份信息以用于商业目的的个人或实体)在其网站或在线服务(可能包括移动应用程序)上发布明显的隐私政策,并遵守该政策。除其他事项外,法律要求隐私政策确定运营商收集的个人可识别信息的类别,这些信息涉及使用或访问其网站或在线服务的个人消费者以及运营商可能与之共享信息的第三方。
Cal. Civ. Code §§ 1798.130(5), 1798.135(a)(2)(A)
如果企业有一项或多项在线隐私政策,以及任何加利福尼亚州特定的消费者隐私权描述,或者如果企业没有维护这些政策,则要求某些公司在其互联网网站上披露在线隐私政策中的特定信息,并至少每12个月更新一次该信息。要求某些公司根据第1798.120节的规定,包括消费者权利的描述,以及在线隐私政策中“请勿出售我的个人信息”互联网网页的单独链接。
要求私立非营利或营利性中学后教育机构在其互联网网站上发布社交媒体隐私政策。
康涅狄格州
要求在业务过程中收集社会安全号码的任何人制定隐私保护政策。该政策必须通过在网页上发布的方式“公开展示”,并且该政策必须(1)保护社会安全号码的机密性,(2)禁止非法披露社会安全号码,以及(3)限制访问社会安全号码。
特拉华州
需要商业互联网网站、在线或云计算服务、在线应用程序或移动应用程序的运营商,该应用程序通过互联网收集有关居住在特拉华州的个人用户的个人可识别信息,以使其隐私政策在其互联网网站、在线或云计算服务、在线应用程序或移动应用程序上显著可用。只有当运营商在收到不遵守通知后30天内未明显提供其隐私政策时,运营商才应违反本小节。指定策略的要求。
内华达州
要求收集个人身份信息的互联网网站或在线服务的运营商识别通过其互联网网站或网络服务收集的关于使用或访问网站或服务的消费者的信息类别,以及运营商可以与之共享此类信息的第三方类别。为使用或访问互联网网站或在线服务的个人消费者提供流程说明(如果存在此类流程),以审查和请求更改通过互联网网站或网络服务收集的任何信息。
俄勒冈
如果某人在与其业务相关的网站上或在与消费者交易相关的消费者协议中发布声明或事实陈述,声称此人将以特定方式或出于特定目的使用、披露、收集、维护、删除或处置其要求的信息,要求或从消费者处接收信息,并且该人以与该人的陈述或陈述实质上不一致的方式使用、披露、收集、维护、删除或处置信息。
与个人信息披露或共享相关的其他法律
此外,加利福尼亚州和犹他州的法律虽然没有专门针对在线企业,但要求所有非金融企业以书面或电子邮件的形式向客户披露企业与第三方分享或出售的个人信息类型,以用于直接营销或补偿。根据加州法律,企业可以发布隐私声明,让客户有机会选择不免费共享信息。
- California Civil Code §§ 1798.83 to .84 ("Shine the Light Law")
- Utah Code §§ 13-37-201 to -203
隐私政策中的虚假和误导性陈述
涵盖在在线隐私政策中明确提及虚假或误导性声明的法律。所有50个州都有不公平和欺骗行为与惯例(UDAP)法律,这些法律也适用于网上发布的信息。
Nebraska
Neb. Stat. § 87-302(15)
内布拉斯加州禁止在互联网上发布或以其他方式分发或发布的隐私政策中故意作出虚假或误导性声明,涉及公众提交的个人信息的使用。
Oregon
俄勒冈州的法律将以下行为归类为非法贸易行为,如果某人在其业务、职业或职业过程中:
"…(12)在与该人的业务相关的网站上或在与消费者交易相关的消费者协议中发布一份事实陈述或陈述,其中该人声称该人将以特定方式或出于特定目的使用、披露、收集、维护、删除或处置该人要求的信息,要求或从消费者处接收信息,并且该人以与该人的陈述或陈述实质上不一致的方式使用、披露、收集、维护、删除或处置信息。”
宾夕法尼亚
宾夕法尼亚州在网站上发布的隐私政策中包含虚假和误导性声明,或在其欺骗性或欺诈性商业行为法规中以其他方式发布。
员工电子邮件通信、互联网访问或位置信息监控通知
康涅狄格州、特拉华州和纽约州要求雇主在监控电子邮件通信或互联网访问之前通知员工。科罗拉多州和田纳西州要求各州和其他公共实体采取与监控公共雇员电子邮件相关的政策。夏威夷禁止雇主要求员工将移动应用程序下载到员工的个人通信设备上,以跟踪员工的位置或泄露员工的个人信息。
康涅狄格州Gen. Stat. § 31-48d
- 从事任何类型电子监控的雇主必须事先书面通知所有员工,告知他们可能发生的监控类型。
- 如果雇主有合理的理由相信员工从事非法行为,并且电子监控可能会产生这种不当行为的证据,则雇主可以在没有事先书面通知的情况下进行监控。
- 规定第一次犯罪的民事处罚为500美元,第二次犯罪的罚款为1000美元,第三次及以后每次犯罪的罚款均为3000美元。
特拉华州Del. Code § 19-7-705
- 禁止雇主监控或拦截员工的电子邮件或互联网访问或使用,除非雇主已向员工发出一次性书面或电子通知。
- 为仅用于计算机系统维护和/或保护的过程以及法院命令的诉讼提供例外情况。
- 规定每违反一次罚款100美元。
夏威夷2021 H.B. 1253
禁止雇主(有某些豁免):
- (1) 要求员工或潜在员工将移动应用程序下载到员工的个人通信设备上,以跟踪员工的位置或将员工的个人信息作为雇佣或继续雇佣的条件;或
- (2) 因以下原因终止、解雇或以其他方式歧视员工:(A)拒绝下载或拒绝同意下载到员工的个人通信设备、能够追踪员工位置或泄露员工个人信息的移动应用程序;或(B)反对本法案禁止的任何行为,或就本法案禁止禁止的非法行为提起申诉、作证或协助诉讼。
纽约市 Civ. Rts Code § 52-C*2 (effective May 7, 2022)
- 要求监控或拦截电话交谈或传输、电子邮件或传输、互联网访问或员工使用任何电子设备或系统的私营部门雇主在雇佣时向所有受电子监控的员工发出事先书面通知。
- 规定由司法部长执行。如果雇主被发现违规,第一次违规将被处以最高500美元的民事处罚,第二次违规将处以1000美元的民事罚款,第三次违规以及随后的每次违规将处以3000美元的民事惩罚。
科罗拉多州 Colo. Rev. Stat. § 24-72-204.5
- 要求运营或维护电子邮件通信系统的州或其任何机构、机构或政治分支机构就电子邮件通信的任何监控以及将在何种情况下进行监控采取书面政策。
- 该政策应包括一项声明,即根据《公共记录法》,员工以电子邮件形式的通信可能是公共记录,并可能根据本部分接受公众检查。
田纳西州 Tenn. Code § 10-7-512
- 要求运营或维护电子邮件通信系统的州或其任何机构、机构或政治分支机构就电子邮件通信的任何监控以及将在何种情况下进行监控采取书面政策。
- 该政策应包括一项声明,即根据《公共记录法》,员工以电子邮件形式的通信可能是公共记录,并可能根据本部分接受公众检查。
隐私政策:政府网站
至少有16个州要求政府网站或州门户网站制定隐私政策和程序,或将机器可读的隐私政策纳入其网站。
| State | Statute |
|---|---|
| Arizona | Ariz. Rev. Stat. Ann. § 41-4151, 41-4152 |
| Arkansas | Ark. Code § 25-1-114 |
| California | Cal. Govt. Code § 11019.9 |
| Colorado | Colo. Rev. Stat. § 24-72-501, 24-72-502 |
| Delaware | Del. Code tit. 29 § 9017C et seq. |
| Iowa | Iowa Code § 22.11 |
| Illinois | Ill. Rev. Stat. ch. 5 § 177/15 |
| Maine | Me. Rev. Stat. tit. 1 § 14-A § 541- 542 |
| Maryland | Md. Gen. Prov. Code § 4-501 |
| Minnesota | Minn. Stat. § 13.15 |
| Montana | Mont. Code Ann. § 2-17-550 to - 553 |
| New York | N.Y. State Tech. Law § 201 to 207 |
| South Carolina | S.C. Code Ann. § 30-2-40 |
| Texas | Tex. Govt. Code Ann. § 10-2054.126 |
| Utah | Utah Code Ann. § 63D-2-101, -102, -103, -104 |
| Virginia | Va. Code § 2.2-3800, - 3801, -3802, -3803 |
Additional Resources
- 登录 发表评论