关注我们,学习更多隐私合规讯息
美国全面的州隐私法网络的演变可能最终达到了一个分水岭时刻。近年来,州立法者似乎永远无法在他们的提案中坚持的私人行动权在佛蒙特州即将突破。
佛蒙特州大会将众议院第121号法案推迟到立法会议的最后几天,众议院和参议院于5月11日就一项全面框架达成一致,该框架包含一项突破性的行动权,对其适用性进行限制,并对其使用有效性进行必要的审查。
此外,该法案采用了类似于马里兰州综合法律的数据最小化标准,明确保护儿童和消费者的健康数据,要求用户选择退出机制,并要求进行数据保护评估。
据HB 121的发起人、州众议员Monique Priestley,D-Vt.表示,最终法案文本正在进行立法审查,预计将于5月15日公布,然后转交给州长Phil Scott,R-Vt.,他将有五天的时间采取行动。如果颁布,拟议的法律将于2025年7月1日生效。
首场隐私保护公开课开始啦!
扫码即可立即学习
电脑端观看:http://navo.top/YJFBfq
Priestley说:“总的来说,我们在制定数据隐私政策方面落后了20年。”这是她的第一个州议员任期。“这项法案实际上更像是五位一体。我想尽可能地更新这一切。
对我来说,这是我们需要的基础,尽管各州通常需要多次尝试才能单独获得每一项法案。”
HB 121的适用性带来了一种为期三年的逐步减少的方法,该方法将每年增加覆盖范围,希望最终实现对佛蒙特州所有企业的全面覆盖。
在第一年,拟议的法律将涵盖控制或处理25000多名居民数据的企业,或持有12500多名居民数据并从这些数据中产生25%总收入的企业。
到目前为止,还没有颁布全面的州隐私法适用于该州所有提供服务的企业。
Priestley说:“在与(其他州的立法者)交谈后,我倾向于零。我有一张完整的图表,显示了所有阈值与州人口的百分比……我真的很自豪和高兴,因为这是一个几乎被取消的地区。
PRA的突破
立法者通过了一项审慎监管局,该局考虑到消费者保护,同时避免对佛蒙特州企业造成意外后果。
数据合规发展好吗?GDPR对中国合规有何联系?一起来了解数据合规的发展趋势
消费者将被允许对数据代理和“大型数据持有者”提起诉讼,这些人被定义为处理超过10万名佛蒙特人数据的公司。审慎监管局将于2026年生效,给企业一年时间准备合规计划。
相关各方在立法者最终投票前几天就目标审慎监管局达成一致。Priestley表示,她向商界提供了三个潜在的保险选项,这些选项是她从美国国会的《美国隐私权法案》讨论草案中提取的。
她表示,大型数据持有者的门槛“非常武断”,但感觉足够大,可以避免伤害小企业。
她说:“他们可以选择其中一个或全部(三个潜在阈值)。如果这真的是关于小企业的,那么这些都不应该再让他们担心了。我们真的是有意为之,不想给小家伙带来负担,但我们需要保护企业的实际危害。”
围绕诉讼权的限制旨在避免对毫无戒心的公司提起轻率的诉讼,比如《伊利诺伊州生物识别信息隐私法》中广泛的审慎监管局。
佛蒙特州审慎监管局的另一层是将于2028年进行的为期两年的审查。州立法者将根据总检察长办公室的强制执行报告,考虑削弱或加强审慎监管局的日落或潜在延期。
审慎监管局的加入标志着隐私倡导者的胜利,他们长期以来一直在游说消费者有权就所谓的数据滥用寻求损害赔偿。《消费者报告》政策分析师Matt Schwartz在一份声明中表示,佛蒙特州的工作“意义重大”,其他仍在努力通过自己的全面隐私立法的州不应忽视这一点。
施瓦茨补充道:“这意味着,受到大型科技公司数据滥用伤害的消费者实际上将被授予扞卫自己权利的能力。
我们希望这标志着州隐私法的一个转折点,立法者将对为消费者提供强有力的执法补救措施的想法感到更加满意,而不是将这个问题推给资源不足的(总检察长办公室)。”
在商业模式以及考虑到新的诉讼风险是否继续在佛蒙特州提供服务方面,低于审慎监管局阈值的企业有很多需要考虑的问题。
Kelley Drye&Warren合伙人Alysa Hutnik呼吁,特别关注那些处理敏感健康数据的公司,这些数据现在将属于佛蒙特州的范围,此外,根据华盛顿的《我的健康我的数据法》,这些数据将属于审慎监管局的范围。
Hutnik说:“在某种程度上,我的健康我的数据并没有造成紧迫性,这可能是公司从粒度上评估他们拥有的数据以及如何使用这些数据是否会将天平倾斜为敏感数据的一个转折点。
情绪相关数据会是消费者健康数据吗?
因为它涉及个人的心理状况?
如果消费者从零售店购买糖尿病或妊娠测试相关用品,商店就会有购买数据。即使他们不使用这些数据来推断个人患有糖尿病或可能怀孕,他们也可能会向客户提供优惠券或推广之前购买的商品。”
新颖性和感兴趣的领域
Priestley和共同发起人在制定保护法案方面进行了尽职调查。她说,与其他州议员进行了多次跨州对话,询问“你希望自己做了什么?”和“你做了什么,我们应该继续推进和趋势?”
在其他州的做法中,值得注意的是数据最小化要求,该要求侧重于将数据收集限制在“提供或维护数据所属消费者要求的特定产品或服务的合理必要和相称的范围内”。
这些要求与马里兰州最近颁布的法律一致,而美国国会提出的澳大利亚审慎监管局也有类似的最小化联系。
中国有DPO数据合规吗?GDPR对中国合规有何联系?一起来了解数据合规的发展趋势
各州之间的数据最小化语言缺乏一致性存在一些风险,但华盛顿大学法学院科赫杰出法学教授Neil Richards对最小化政策激增的影响持乐观态度。
Richards
“这可能会像我们在国家数据泄露通知差异或(欧盟通用数据保护条例)中看到的那样,造成一场‘争顶’,在该条例中,企业有动机遵守最严格的消费者保护。
虽然易于遵守肯定是法律中的一个重要美德,但这并不是最重要的,因为我们谈论的是对基本隐私权的保护——而数据最小化是有意义的、实质性的隐私保护的最重要要素之一。”
对其他州使用的既定定义的调整显示了该法案中的一些细微差别。Priestley表示,她通过法案中列出的10个类别,使敏感数据的定义“更加全面”。生物特征数据的定义也通过具体的覆盖和豁免领域列表更加明确。
Hutnik发现,佛蒙特州对定向广告和假名数据的拟议要求之间的相互作用可以说提高了对使用第一方数据的积极合规性考虑。
她说:“当这两个概念放在一起时,就有潜在的循环逻辑。然而,从更实际的意义上讲,这可能意味着定向广告被广泛定义为包括一些越来越受欢迎的第一方数据货币化概念,但如果使用了假名数据,并且支持这些用例的个人数据没有以与法律相冲突的方式披露,则可能不需要将选择退出权应用于此类做法。”
Priestley表示,佛蒙特州众议院商业和经济发展委员会致力于将HB 121作为一项“内务法案”向前推进,这意味着它将每年重新审查该法案,以解决潜在的改进问题。她还表示,在法案生效之前,她可能会在2025年立法会议上以该法案为基础。
文章来源于iapp.org,由隐私合规交流圈 隐小私整理,转发请备注出处
*整理编辑:A隐小私(yinxiaosi00)
最新直播预约
分享内容:
IAPP协会及CIPP/US证书介绍
数据泄露应急通知法知多少?
数据安全防护法安全吗?
数据销毁执行法彻底吗?
CIPP/US“闯关”实用技巧分享
特邀嘉宾: JODI
超十年数据合规工作经验
CIPM/CIPPE持证者
Fellow of Information Privacy(FIP)
直播时间:
北京时间:5月24日(周五)下午19:30-21:00
直播间福利:
最低至8折优惠
法律、合规类课程全套考试备考指南
预约前10名可获涉外法律英语免费体验课程,还可享受旗下指定指定课程套餐
更多神秘大礼包,请添加:隐小私(yinxiaosi00),立即激活!
扫码预约直播
电脑端观看:http://navo.top/YJFBfq
更多课程/直播疑惑,扫描下方二维码解答 或+yinxiaosi00
往期直播回顾
扫码即可立即学习
电脑端观看:http://navo.top/eQvUfi
扫码即可立即学习
电脑端观看:http://navo.top/VRru6z
扫码即可立即学习
电脑端观看:http://navo.top/yYJRFn
更/多/GDPR/文章
学员经验
往/期/回/顾
更多课程在线听讲
更多课程疑惑,扫描下方二维码解答 或+yinxiaosi00
-END-
年薪百万的数据合规律师需要考哪些合规证书?一起听听老师的分享