随着弗吉尼亚州、犹他州、科罗拉多州、加利福尼亚州和康涅狄格州最近都颁布了全面的隐私立法，隐私和消费者数据保护法在美国各地不断上升。这些法律的颁布意味着美国的数据控制者面临新的义务，而消费者则欢迎他们提高数据保护权，以更好地保护消费者隐私。

《2020年加州隐私权法案》（“CPRA”）和《弗吉尼亚州消费者数据保护法案》（“CDPA”）将于2023年1月1日生效，虽然科罗拉多州参议院法案21-190《科罗拉多州隐私法案》（“CPA”）和《康涅狄格州个人数据隐私和在线监控法案》（“CTDPA”）将于2023年7月1日生效，而《犹他州消费者隐私法案》（“《UCPA》”）将于2022年12月31日生效。尽管上述法律并未明确提及Cookie的使用，他们的许多强制性要求影响了组织对Cookie的尊重。

在这篇深入的文章中，我们考察了弗吉尼亚州、犹他州、科罗拉多州、加利福尼亚州和康涅狄格州的隐私法在Cookie方面的趋同和分歧，以期制定出一种协调一致的合规方法。

同意和信息

选择退出/选择加入

《2018年加州消费者隐私法》（上一次修订于2019年）（“CCPA”）为消费者提供了选择退出的权利，因为它允许消费者在任何时候指导企业向第三方出售其个人信息，而不是出售其个人信息。此外，《消费者保护法》要求向第三方出售消费者个人信息的企业向消费者发出通知，告知其个人信息可能被出售，并且消费者有权选择不出售其个人信息。根据CCPA的规定，企业有义务在企业网站上提供一个清晰、醒目的链接，标题为“请勿出售我的个人信息”，使消费者能够选择不出售消费者的个人信息。

与CCPA类似，弗吉尼亚州的CDPA、犹他州的UCPA和康涅狄格州的CTDPA也采用了选择退出的方法。因此，符合CCPA要求的“请勿出售我的个人信息”按钮也可应用于接口，以满足CDPA、UCPA和CTDPA下的退出要求。在寻求履行CDPA、UCPA和CTDPA项下的义务时，还可以考虑“禁止出售”按钮或链接、“自定义我的设置”和“全部接受”按钮。

另一方面，《科罗拉多州注册会计师法》要求对个人数据的出售有选择加入要求，因此，没有必要在向科罗拉多州居民提供的界面上启用“禁止出售”按钮或链接。

向数据主体提供信息

上述所有州隐私法都规定了类似的透明度要求。在这方面，CCPA cookie横幅所需信息与CDPA、UCPA、CTDPA和CPA所需信息大致一致。

所有法律对cookie横幅的共同信息要求要求组织：

• 用清晰的语言详细描述数据处理的所有目的、个人数据的类别；
• 描述消费者如何行使其权利；
• 描述控制人与第三方共享的个人数据类别（如有）；和
• 描述控制器与之共享个人数据的第三方的类别。

仅适用于CCPA/CPRA合规性的附加信息要求是规定每类个人数据的保留期的义务。

何时要求消费者同意？

所有法律都要求在处理儿童数据时获得事先同意。此外，根据科罗拉多州CPA和弗吉尼亚州CDPA，收集敏感数据（包括种族或族裔、宗教信仰、性取向数据、遗传数据、生物特征数据和从已知儿童收集的个人数据）必须获得用户的同意。

科罗拉多州CPA还要求消费者同意定向广告和销售个人数据（例如设置第三方Cookie或跟踪器）。

康涅狄格州CTDPA要求，如果企业打算处理个人数据的目的与向消费者披露的个人数据处理目的既不合理必要，也不兼容，则企业必须获得消费者的同意。此外，在处理涉及消费者的敏感数据时，控制员有义务根据CTDPA获得消费者的同意。

解决所有相关法律下的同意义务的方法可能包括为CDPA、UCPA、CTDPA和CPA要求同意的目的添加“全部接受”按钮（为CCPA cookie横幅的目的而实施），以及用户可以选择是否同意每个目的的偏好中心。此外，各组织还需要提供披露，说明消费者同意的目的。

如何获得有效的同意？

《消费者保护法》将有效同意定义为“消费者意愿的任何自由、具体、知情和明确的表示……如通过声明或明确的肯定行动，[表示]同意通过数据主体明确的肯定行为，为狭义的特定目的处理与他或她的个人信息。”

弗吉尼亚州、犹他州、科罗拉多州和康涅狄格州在其隐私法中采用了类似的同意定义。此外，CDPA、UCPA、CTDPA和CPA中关于同意的共同规定要求不得通过以下方式获得同意：

• 预勾选框（即，必须通过“明确的平权行动”获得同意）
• 接受包含个人数据处理描述以及其他无关信息的通用或广义使用条款或类似文件；
• 悬停、静音、暂停或关闭给定内容；或
• 通过使用暗图案获得的一致性。

重要概念

精确地理定位数据

应强调的是，加利福尼亚州CPRA、弗吉尼亚州CDPA、犹他州UCPA和康涅狄格州CTDPA将“精确地理位置数据”归类为敏感信息。

具体而言，弗吉尼亚州CDPA、犹他州UCPA和康涅狄格州CTDPA将精确地理位置数据定义为：“源自技术的信息，包括但不限于全球定位系统级别的纬度和经度坐标或其他机制，可在1750英尺的半径范围内精确地直接识别自然人的特定位置。[It]不包括由高级公用事业计量基础设施系统或设备生成或连接到该系统或设备以供公用事业使用的通信内容或任何数据。

同样，《消费者保护法》规定，精确地理定位是指“在等于或小于半径为1850英尺的圆的面积的地理区域内用于或打算用于定位消费者的任何数据，除非法规另有规定”。

在这方面，在加利福尼亚州和犹他州，收集敏感个人数据需要选择退出。另一方面，在弗吉尼亚州和康涅狄格州，对于敏感个人数据，必须事先获得用户同意。

个人数据销售的定义

CCPA、科罗拉多州CPA和康涅狄格州CTDPA均将个人数据的销售定义为控制人向第三方交换个人数据以获取“金钱对价或其他有价值对价”。相比之下，弗吉尼亚州CDPA和犹他州UCPA对个人数据的销售采用了狭义的定义，仅包括“货币对价”。

全局隐私控制

CCPA和科罗拉多CPA还引入了全球隐私控制（“GPC”）信号，允许消费者通过设备或浏览器选择退出，而不是被迫在每个网站上单独退出。

特别是，关于科罗拉多州，在2024年7月1日之前，为定向广告或个人数据销售目的处理个人数据的控制器可允许消费者通过符合总检察长制定的技术规范的用户选择的通用选择退出机制行使选择权。然而，在2024年7月1日之后，该方法将成为强制性的。

同样，加州总检察长办公室表示，出售个人信息的企业必须遵守GPC信号。

此外，康涅狄格州CTDPA规定，控制人不得要求消费者创建新账户以行使消费者权利，但可要求消费者使用现有账户，任何此类手段应包括允许消费者在2025年1月1日之前选择不处理消费者个人数据以进行定向广告，或通过平台、技术或机制在该消费者同意的情况下向控制器发送的选择退出偏好信号出售该个人数据，表明该消费者选择退出任何此类处理或销售的意图。

本文：https://cioctocdo.com/usa-cookie-regulation-california-virginia-utah-co…