2022年3月24日，犹他州州长斯宾塞·考克斯签署了《犹他州消费者隐私法》（“UCPA”），使犹他州成为最新通过全面隐私立法的州。UCPA-连同2020年《加利福尼亚隐私权法案》（CPRA）、《科罗拉多隐私法案》（CPA）和《弗吉尼亚州消费者数据保护法案》（CDPA）-组成了将于2023年生效的新一轮法律（“2023年法律”），将重塑美国的隐私格局。

UCPA与CDPA密切相关，不太可能对受其他2023年法律或《一般数据保护条例》（条例（欧盟）2016/679）（“GDPR”）约束的企业的合规制度产生重大影响。然而，UCPA确实包含某些差异，主要是在缩小其应用范围和减轻控制者负担的方式上。从这个意义上讲，UCPA可能会成为更多倾向于更加保守和支持商业的州的新模式。在本文中，Ballard Spahr LLP合伙人Gregory Szewczyk探讨了其中的一些差异。

术语

与CPA和CDPA一样，UCPA通常使用GDPR中关于控制者、处理者和个人数据的术语。相比之下，CPRA使用诸如业务、服务提供商和个人信息等术语。然而，所有2023年法律都提到“消费者”，而不是GDPR的“数据主体”。如下文所述，这种区别不仅仅是措辞上的差异：它反映了与员工个人数据和企业对企业（“B2B”）环境相关的实质性不同的范围。

本条一般以每项法律中使用的术语为基础。然而，为了便于阅读，在比较和对比权利和义务时，可以互换使用等效术语。

适用性阈值较窄

作为初步事项，2023年法律在适用性方面采取了与GDPR完全不同的方法。在非常普遍的层面上，2023年的法律适用于控制者在该州开展业务，并满足额外的阈值，而GDPR适用于控制人在欧盟设立机构或目标和监控欧盟数据主体的情况。请注意，所有这些法律的细微差别都会对适用性产生重大影响，公司应进行彻底和完整的分析，以确定是否有任何特定法律适用于它们。

与许多不同之处一样，UCPA的适用性阈值比其他2023年法律要窄。基本上，UCPA要求CPRA的年度收入阈值（这是CPRA下的一个独立阈值）加上CDPA的一个处理阈值。因此，为了遵守UCPA，控制者或处理者必须：

• 在该州开展业务；
• 年收入为2500万美元或以上；和
• （a）在一个日历年内控制或处理100000名或更多犹他州消费者的个人数据，或（b）从个人数据销售中获得超过50%的收入，并控制或处理25000名或更多的犹他州用户的个人数据。

更广泛的豁免

UCPA遵循科罗拉多州和弗吉尼亚州的模式，完全排除员工和B2B数据。相比之下，CPRA对这些类别的个人数据包含有限的豁免，而GDPR根本不包含任何豁免。值得注意的是，CPRA中的这些有限豁免受制于日落条款，并将于2023年1月1日到期，即CPRA生效之日。虽然已经提出了一些修正案来扩大有限豁免，但不能保证这些修正案会获得通过。此外，即使修正案获得通过，它们也可能面临宪法挑战。因此，根据CPRA，员工和B2B数据的豁免程度尚不清楚。

UCPA豁免受某些美国联邦法规管辖的个人数据，包括1996年《健康保险便携性和责任法案》（“HIPAA”）、1999年《格拉姆-利奇-布莱利法案》（“GLBA”）和1970年《公平信用报告法案》（“FCRA”）。与其他2023年法律一样，豁免的范围可以受到限制，并取决于处理。值得注意的是，UCPA遵循科罗拉多州和弗吉尼亚州的模式，完全排除受GLBA监管的金融机构，而CPRA仅豁免受GLBA管理的非公开个人信息。GDPR不包括美国特定行业法律规定的此类数据的任何豁免。

UCPA遵循CPRA和CDPA豁免非营利组织。相比之下，CPA和GDPR适用于其他主体的非营利组织。与CDPA一样，UCPA还包括对高等教育机构的明确豁免，而CPA对高等教育的豁免似乎仅适用于科罗拉多州的机构。最后，UCPA包括对“部落”的豁免。

未明确禁止同意中的暗模式

暗模式的概念通常指的是使用设计用于操纵、颠覆或损害用户自主性、决策或选择的界面。在实践中，暗模式常常被用来操纵用户做出某种选择，或者阻止他们知道自己正在做出选择。

与CDPA一样，UCPA不解决或禁止使用暗模式。另一方面，CPA和CPRA明确禁止在获得同意的情况下使用暗图案。尽管如此，根据UCPA，使用暗模式可能会导致同意无效，因为同意被定义为明确表示消费者自愿和知情同意的肯定行为。

敏感数据无选择加入同意

UCPA将“敏感数据”定义为：

• 揭示个人种族或民族血统、宗教信仰、性取向、公民身份或移民身份的个人数据，或关于个人病史、心理健康状况或医疗专业人员的医疗或诊断的信息；
• 处理遗传个人数据或生物特征数据，如果处理是为了识别特定个人；或
• 特定地理位置数据。

UCPA不要求选择加入同意来处理敏感数据，除非数据涉及儿童。相反，UCPA要求控制员向消费者提供明确的通知和选择退出敏感数据处理的机会。CPRA采取了类似的方法，要求披露使用和保留，以及限制使用和披露的选择权。相比之下，CPA和CDPA都需要选择加入同意才能处理敏感数据。GDPR还要求获得选择加入同意，但有几个例外。

狭义选择退出权

UCPA的退出权与其他2023年法律既有相似之处，也有不同之处。与所有法律一样，UCPA要求控制员向消费者提供选择不销售和定向广告的权利。然而，UCPA没有提供选择退出分析的权利。事实上，UCPA根本没有解决评测问题。相比之下，CPA、CPRA和CDPA都要求控制者允许消费者选择退出分析，尽管CPRA与CPA和CDPA的定义和范围不同。

关于“销售”，UCPA将“销售”的定义限制为“控制人向第三方交换个人数据以获取金钱报酬”。该定义跟踪CDPA，但与CPA和CPRA不同，后者将销售定义扩展为包括“其他有价值对价”的交换。

UCPA还包括销售定义的例外情况，即如果向第三方披露的目的与消费者在特定情况下的合理预期一致，则不会发生销售。其他2023年法律中未出现此例外情况。

与CDPA一样，UCPA不要求控制者遵守通用选择退出机制。相比之下，CPA特别要求控制员根据即将出台的规则进行控制，CPRA也考虑了类似的过程。

缩小删除权限

与其他2023年法律一样，UCPA为消费者提供了删除的权利。但是，删除权并不适用于控制者收集的所有数据。相反，它仅适用于消费者提供给控制者的个人数据。因此，它不适用于控制者从第三方收集的个人数据，也不适用于由控制者内部开发的推论。

另一方面，CPA和CDPA将该权利扩展到所有与消费者有关的数据。GDPR的删除权同样适用于与数据主体有关的数据。CPRA还为企业收集的关于消费者的所有信息提供了更广泛的删除权。此外，加州总检察长（“AG”）的一份现有意见解释说，“收集的关于消费者的数据”包括内部开发的推论。

没有纠正的权利

与其他2023年法律和GDPR不同，UCPA不向消费者提供更正其个人数据的权利。

没有上诉权

CPA和CDPA都要求控制人创建一个程序，让消费者对拒绝对消费者权利请求采取行动提出上诉。GDPR包含类似的反对权。

然而，UCPA不包含这项权利。

无数据保护评估

CPA和CDPA都要求控制者在执行某些类型的高风险处理之前进行数据保护评估。GDPR包含类似的要求，尽管它将该活动称为数据保护影响评估（“DPIA”）。CPRA在其风险评估条款中也包含了类似的概念，其具体内容将通过即将出台的法规予以解决。

另一方面，UCPA不要求进行数据保护评估。

永久治愈期

与CDPA一样，UCPA规定了犹他州AG可以对指控的违规行为提起诉讼之前的30天补救期。CPA和CPRA补救期包含日落条款。

无私人诉讼权

与CPA和CDPA一样，UCPA没有提供消费者可以通过其提出指控侵权索赔的私人诉讼权。另一方面，CPRA为因企业未能实施合理的安全措施而导致的安全违规行为提供了私人诉讼权和法定损害赔偿。

本文：https://cioctocdo.com/utah-ucpa-compared-state-privacy-laws-and-gdpr