文章分类
《犹他州消费者隐私法》(“UCPA”)在制定全面消费者隐私法的竞赛中排名第四,分别于2022年2月25日和3月2日在犹他州参议院和众议院一致通过。三周后,3月24日,犹他州州长斯宾塞·考克斯签署了参议院法案(“SB”)227,使其成为美国第四部全面的州消费者隐私法。
自2023年12月31日起生效,UCPA加入了《科罗拉多隐私法》(“CPA”)、《弗吉尼亚州消费者数据保护法》(“CDPA”)、《2018年加利福尼亚州消费者隐私法》(《CCPA》)(现在生效)和《2020年加利福尼亚州隐私权法》(《CPRA》),这些法案均于2023年生效。当然,本着美国隐私法快速发展的精神,即使在本文发表之际,康涅狄格州刚刚签署了第五部消费者-州隐私法,与四部前辈有相似之处,也有细微差异。萨曼莎·埃塔里、加布里埃拉·加列戈、娜凯·科波, Perkins Coie的Ellen Choi和Charlotte Kress将UCPA的内容与其他三个已经通过全面州隐私法的州进行了比较。
UCPA背景和关键术语:UCPA对谁有影响?
UCPA采用通用数据保护法规(欧盟法规2016/679)(“GDPR”)、CPA和VCDPA中使用的“控制器”和“处理器”方法。控制员是在犹他州开展业务并确定处理个人数据的目的和方法的人。此外,处理器是代表控制器处理个人数据的人。第三方是除消费者、控制方或处理方、控制方的附属公司或承包商以外的任何人。
法律的实质和领土适用范围是什么?
UCPA适用于在犹他州开展业务,或生产针对犹他州居民的产品或服务,且年收入为2500万美元或以上的企业。企业还必须满足以下一项或多项要求:控制或处理100000名或更多消费者的个人数据,或从个人数据销售中获得超过50%的总收入,以及控制或处理25000名或更多用户的个人数据。
值得注意的是,UCPA不同于任何现有的综合州隐私法,它要求企业除满足至少一个其他阈值外,还满足一个货币阈值。相比之下,只有2500万美元的收入就满足了CCPA和CPRA的适用门槛。
门槛 |
UCPA |
CPA |
CDPA |
CPRA/CCPA |
在州内经商 |
✓ |
✓ |
✓ |
✓ |
生产或提供针对该州居民的产品或服务 |
✓ |
✓ |
✓ |
|
年收入至少2500万美元 |
✓ |
|||
年收入超过2500万美元 |
✓ |
|||
Control or process the personal data of at least 50,000 residents |
✓ |
|||
Control or process the personal data of at least 100,000 residents |
✓ |
✓ |
✓ |
✓ |
Derive over 50% of gross revenue from the sale of personal data and control or process personal data of at least 25,000 residents |
✓ |
✓* |
✓ |
|
Derive 50 percent or more of its annual revenues from selling consumers' personal data |
✓ |
*科罗拉多州没有为所得收入设定阈值,还包括从个人数据销售中获得商品或服务价格折扣的控制器。同样,弗吉尼亚州也没有为所得收入设定阈值。
如何定义数据“销售”?
根据犹他州法律,销售被定义为控制人向第三方交换个人数据以获取金钱报酬。如果披露的目的与消费者的“合理期望”相一致,UCPA通过排除个人数据的披露,缩小了可能被视为销售的活动范围,这比现有综合州隐私法中的任何规定都要宽泛得多。
虽然这四条法律在命名上有一定的一致性,但它们并不完全相同。
Defined terms |
UCPA |
CPA |
CDPA |
CPRA/CCPA |
Controllers and processors |
✓ |
✓ |
✓ |
|
Businesses and service providers |
✓ |
|||
Third party |
✓ |
✓ |
✓ |
✓ |
Contractor |
✓ |
|||
Sale |
✓ |
✓ |
✓ |
✓ |
Share |
✓ |
哪些企业免于各自的隐私法?
被称为“商业友好型”隐私法规,UCPA的适用性有许多实体和数据豁免,这一点也不奇怪。如下文所述,UCPA主要与其前身保持一致,不适用于政府实体或与代表其行事的政府实体、高等教育机构、部落或非营利组织签订合同的第三方。
该法律也不适用于1996年《健康保险可携带性和责任法案》(“HIPAA”)下受保护的健康信息,以及受1970年《公平信用报告法案》(“FCRA”)、1999年《格拉姆-利奇-布利利法案》(“GLBA”)或1974年《联邦家庭教育权利和隐私法案》(“FERPA”)约束的信息。此外,UCPA在其范围内不包括在雇佣过程中处理或维护的数据(或代理和独立承包商关系)或企业对企业环境中的个人数据。最后,UCPA还将未识别和公开可用的信息排除在个人数据以及聚合数据的定义之外“聚合数据”被广泛定义为与一组或一类消费者相关的信息,其中个人消费者身份已被删除,且未与任何消费者链接或合理链接。
Exemption |
UCPA |
CPA |
CDPA |
CPRA/CCPA |
Non-profit organisations |
✓ |
✓ |
✓ |
|
Institutions of higher education and/or information subject to FERPA |
✓ |
✓ |
✓ |
✓ |
Information and/or entities subject to HIPPA and covered entities/business associates |
✓ |
✓ |
✓ |
✓ |
Information and/or institutions subject to GLBA |
✓ |
✓ |
✓ |
✓ |
Personal information within scope of employment |
✓ |
✓ |
✓ |
✓ |
Personal information in the commercial (business-to-business) context |
✓ |
✓ |
✓ |
✓ |
Aggregated data |
✓ |
✓ |
消费者享有哪些权利?
UCPA保护“消费者”(定义为居住在该州的个人,他们在个人或家庭环境中行事,而不是在就业或商业环境中行事),并为他们提供访问控制器处理的个人数据的权利,删除他们提供给控制器的数据的权利,“移植”控制人处理的数据副本的权利,以及选择不“出售”(定义为控制人向第三方交换金钱对价)个人数据或处理个人数据用于定向广告的权利。
儿童消费者的父母或法定监护人(定义为13岁以下的个人)可以代表儿童行使消费者权利。除个人的种族或民族血统、宗教信仰、性取向、公民身份或移民身份外,消费者还享有与“敏感数据”相关的特殊权利,包括儿童数据。最后,与CDPA和CPA不同,后者需要选择加入同意,控制器在未事先向消费者发出明确通知并提供选择退出处理的机会的情况下被禁止处理“敏感数据”,如CPRA下的情况。
与现有的州消费者隐私法一样,UCPA也赋予消费者各种权利。
Consumer right |
UCPA |
CPA |
CDPA |
CPRA/CCPA |
Access |
✓ |
✓ |
✓ |
✓ |
Delete |
✓ |
✓ |
✓ |
✓ |
Correct inaccurate information |
✓ |
✓ |
✓ |
|
Data portability |
✓ |
✓ |
✓ |
✓ |
Know |
✓ |
✓ |
✓ |
|
Opt-out of sale |
✓ |
✓ |
✓ |
✓ |
Opt-out of sharing |
✓ |
|||
Non-discrimination |
✓ |
✓ |
✓ |
✓ |
Opt-in for processing of sensitive information |
✓ |
✓ |
||
Opt-out for processing of sensitive information |
✓ |
✓ |
各自法律对控制人规定了哪些义务?
UCPA比现有的综合性州隐私法更利于商业,因为它通常对控制者施加较少的义务。与其他一些州隐私法不同,UCPA不考虑数据最小化原则,也不考虑数据保护影响评估(“DPIA”)和某些类型处理的肯定同意要求。
在高层次上,UCPA下的控制者必须响应消费者权利请求,在与数据处理者的合同中规定某些处理指令(数据处理者必须反过来对子处理者施加同样的指令),使用合理的行政、技术和物理控制来保护消费者的个人数据,并且不得歧视消费者行使其权利。控制人还必须发布隐私声明,其中包含其个人数据做法的披露,类似于现行综合州隐私法要求的披露。
下表列出了现有州隐私法对控制器规定的关键义务。重要的是,控制人义务的具体内容在每项法律的精确要求上有所不同。因此,为了全面了解控制人的义务,公司应查阅适用法律的文本。
Controller obligations |
UCPA |
CPA |
CDPA |
CPRA/CCPA |
Purpose specification |
✓ |
✓ |
✓ |
✓ |
Requirement to honour universal opt-out signals |
recommended, but not legally required |
✓ |
recommended, but not legally required |
✓ |
Transparency |
✓ |
✓ |
✓ |
✓ |
Data minimisation |
recommended, but not legally required |
✓ |
✓ |
✓ |
Consent to process children's personal data |
✓ |
✓ |
✓ |
✓ |
Data Security |
✓ |
✓ |
✓ |
✓ |
Non-discrimination |
✓ |
✓ |
✓ |
✓ |
Timing for consumer request responses |
45 days |
45 days |
45 days |
45 days |
Commercial contract provisions |
✓ |
✓ |
✓ |
✓ |
Data processing assessments |
✓ |
✓ |
✓ |
隐私政策中必须包括哪些内容?
与现有的州隐私法一样,受UCPA管辖的控制者必须发布隐私声明,其中包含对其个人数据做法的披露。尽管要披露的确切细节各不相同,但公司通常必须提供有关某些关键概念的信息,例如:
- 收集的个人数据类别;
- 收集的目的;
- 是否共享个人数据;和
- 适用于消费者权利。
然而,请注意,此类通知的实质内容在这些法律下的确切义务和规范中有所不同。因此,虽然我们综合了某些总体概念以包括在内,但公司应参考每项法律的文本,以全面了解其法律义务。此外,除了要求一般披露面向消费者的隐私通知外,这些法律中的一些还可能要求公司采用其他通知,如面向员工的隐私政策、选择退出通知等。
Privacy policy disclosures |
UCPA |
CPA |
CDPA |
CPRA/CCPA |
Personal data processing |
||||
Collection of personal data and categories thereof |
✓ |
✓ |
✓ |
✓ |
Purpose(s) of processing |
✓ |
✓ |
✓ |
✓ |
Disclosure of personal data to third parties, if any, and categories thereof |
✓ |
✓ |
✓ |
✓ |
Whether controller 'sells' personal data and to whom |
✓ |
✓ |
✓ |
✓ |
Whether controller engages in 'targeted advertising' or 'shares' personal information for cross-context behavioural advertising purposes |
✓ |
✓ |
✓ |
✓ |
Use of automated decision-making or profiling |
✓ |
✓ |
✓ |
|
Data retention period |
✓ |
|||
Consumer rights and choices |
||||
Consumer rights and choices available |
✓ |
✓ |
✓ |
✓ |
Instructions for exercising consumer rights |
✓ |
✓ |
✓ |
✓ |
How a consumer may appeal a controller's action |
N/A |
✓ |
✓ |
N/A |
Other |
||||
Controller's contact information |
recommended, but not legally required |
✓ |
recommended, but not legally required |
✓ |
UCPA下的敏感数据是什么?
UCPA项下的“敏感数据”包括揭示个人种族或民族血统、宗教信仰、性取向、公民身份或移民身份的个人数据、关于个人病史、心理或身体健康状况、医疗保健专业人员的医疗或诊断的信息,以及遗传个人或生物特征数据,如果处理这些数据是为了识别特定个人或特定地理位置数据。值得注意的是,UCPA下的敏感数据不包括视频通信服务或某些医疗工作者处理时显示种族或族裔血统的信息-UCPA独有的例外情况,进一步缩小了法律的范围。
与其他现有的综合性州隐私法一样,UCPA对处理“敏感数据”的控制器施加了额外的义务。与CPRA一样,UCPA要求控制员向消费者提供明确的通知和选择不处理其敏感数据的机会。相反,CPA和CDPA需要选择加入同意。
各自的法律是如何执行的?
犹他州总检察长(“AG”)拥有执行UCPA的专属权力。控制人和处理人有权收到指控违规的书面通知,并有30天的机会纠正违规行为。该补救期不会日落,而根据CPA,60天的补救期在2025年1月日落,CPRA取消了加利福尼亚州政府根据CCPA提出的强制行动的强制补救期。
犹他州股份公司可能会对未纠正的违规行为提起诉讼,并在民事处罚中赔偿消费者的实际损失和每次违规7500美元。不存在私人诉讼权,法律明确优先于任何也管辖个人数据处理的地方法律或法规。
Enforcement |
UCPA |
CPA |
CDPA |
CPRA/CCPA |
Enforced by AG |
✓ |
✓ |
✓ |
✓ |
Enforced by district attorney |
✓ |
|||
Private right of action |
✓ |
|||
Right to cure |
✓ |
✓ |
✓ |
X |
Penalty per violation |
✓ |
✓ |
✓ |
✓ |
结论
在这些州运营的企业应继续寻求相关监管机构或执法机构以法规或出版物形式提供的额外指导。当然,企业应该继续监控未来法律的隐私状况。
本文:https://cioctocdo.com/usa-ucpa-compared-cpa-cpda-and-cpra
- 登录 发表评论