2022年5月4日,康涅狄格州成为继参议院第6号法案《关于个人数据隐私和在线监控的法案》颁布后,美国第五个拥有全面消费者隐私立法的州。新颁布的《数据隐私法》(Connecticut Data Privacy Act,CTDPA)(SB 6)的大部分条款将于2023年7月1日与《科罗拉多州隐私法》一起生效,给各组织不到14个月的时间来遵守。
该法律包括许多与加利福尼亚州、科罗拉多州、犹他州和弗吉尼亚州已经出台的消费者隐私法相同的权利、义务和例外情况。它大量借鉴了CPA(《消费者保护法》)和《弗吉尼亚消费者数据保护法》,该法的许多规定要么反映了科罗拉多州或弗吉尼亚州的隐私法,要么介于两者之间,但包含一些应纳入实体合规工作的显著区别。
康涅狄格州法律的范围采用了与弗吉尼亚州隐私法和CPA相同的基本框架,但包括一些重要的细微差别。该法律适用于以下实体:
在康涅狄格州开展业务或生产针对康涅狄格州居民的产品或服务,并且在上一年中:
控制或处理至少100,000名消费者的个人数据,不包括仅为完成支付交易而控制或处理的个人数据。
或控制或处理至少25,000名消费者的个人数据,并且其总收入的25%以上来自个人数据的出售。
该法律的范围比《弗吉尼亚州消费者数据保护法》略宽,比CPA略窄,其数据销售收入的门槛介于《弗吉尼亚州消费者数据保护法》(总收入的 50%)和CPA(任何收入或折扣)之间。同样值得注意的是,该法律明确排除了仅为支付交易而处理的个人数据。因此,仅在完成销售所需的范围内处理借记卡或信用卡的实体将不受该法律要求的约束。
还需注意的是,康涅狄格州法律中没有规定年收入门槛。这意味着在实践中,与《加利福尼亚州消费者隐私法》不同,实体不会仅仅因为其年收入而受到法律的约束;与《犹他州消费者隐私法》不同,实体无需超过一定的年收入要求即可在该法律约束范围之内。
在确定该法的范围时,重要的是要考虑几个关键定义。它将“消费者”定义为康涅狄格州居民,并且与《弗吉尼亚州消费者数据保护法》、CPA和UCPA(《反不正当竞争法》)一样,明确排除了“在商业或就业环境中行事”的个人。因此,当实体评估法律的适用性时,可以省略此类人的个人数据。
此外,该法将“个人数据的出售”定义为“控制者将个人数据出售给第三方以换取金钱或其他有价值的对价”。与《弗吉尼亚州消费者数据保护法》和UCPA不同,该法没有采用“当个人数据仅以金钱为代价进行交换时,就产生了销售”,而是采用了类似于《加利福尼亚州消费者隐私法》和CPA的更为广泛的定义,认为以“其他有价值的代价”进行交换也构成销售。“个人数据的出售”的定义还明确排除了某些披露,这些披露几乎逐字逐句地遵循了CPA中的规定,例如:向处理者或控制者的关联公司披露,消费者指示控制者披露等。
与《弗吉尼亚州消费者数据保护法》和CPA一样,该法律对“个人数据”的定义明确排除了任何非识别性的数据或公开信息。“公开信息”是指“(A)通过……政府记录或广泛传播的媒体合法提供的信息,以及(B)控制者有合理理由相信消费者已合法地向公众提供的信息。”
该法还豁免了某些类型的实体和数据,使其不受约束。以下六类实体,无论收集和处理的数据是否受法律约束,均可免于遵守该法:
州和地方政府。
非营利组织。
高等教育机构。
根据《1934年证券交易法》注册的国家证券协会。
受格雷姆-里奇-比利雷法案(亦称“金融服务现代化法案”)约束的金融机构和数据。
《健康保险流通与责任法案》定义的涵盖实体和商业伙伴。
该法律包含16类豁免数据,包括受HIPAA(《医疗保险可携性和责任法案》)、《公平信用报告法》、《驾驶员隐私保护法》、《家庭教育权利和隐私法》、《农业信贷法》和《航空公司放松管制法》监管的特定信息。特定的员工和求职者的数据也可以豁免。
根据法律,康涅狄格州的消费者享有五项主要权利。尽管有一些偏差,但这些权利在《弗吉尼亚州消费者数据保护法》和CPA中也是相同的。
访问的权利。 消费者有权“确认控制者是否正在处理消费者的个人数据,并访问此类个人数据”。然而,与弗吉尼亚州的隐私法不同的是,它为这项权利提供了一个例外,即“此类确认或访问将要求控制者披露商业秘密”。
纠正的权利。 消费者有权“在考虑到个人数据的性质和处理消费者个人数据的目的的情况下,纠正消费者个人数据中的不准确之处”。
删除的权利。 消费者还有权“删除由消费者提供的或获得的关于消费者的个人数据”。
数据可移植性的权利。在行使其访问权时,消费者有权“以便携、在技术上可行的范围内、易于使用的格式,获取由控制者处理的消费者个人数据的副本。该格式使消费者能够不受阻碍地通过自动化方式将数据传输给另一个控制者,前提是不应要求该控制者透露任何商业秘密。”
消费者有权获得便携式副本的数据类型尤其值得注意。根据弗吉尼亚州相关法律,此权利仅限于消费者提供的数据。然而,该法的做法更类似于CPA,它允许消费者获取控制者处理过的关于他们的数据的副本,而不论控制者是如何获得这些数据的。
选择退出的权利。与《弗吉尼亚州消费者数据保护法》和CPA一样,消费者有权“出于以下目的,选择拒绝处理个人数据”:
有针对性的广告,
出售个人数据,
或为促进出台有关消费者的法律或类似的重大影响,完全自动决定而进行的特征分析。
法律生效后,控制者必须在其网站上提供“清晰和显眼”的链接,让消费者可以选择退出上述类型的处理。然而,从2025年1月1日开始,控制者必须识别通用的“退出偏好信号”,表明消费者有意退出有针对性的广告和销售,这将胜过任何与控制者特定的隐私设置冲突。这类似于CPA从2024年7月1日开始强制承认通用退出信号。但与CPA不同的是,该法 不要求控制者对退出请求进行身份验证,这在理论上将使消费者更容易选择退出。从这个意义上说,该法律类似于《加利福尼亚隐私权法》,尽管对通用退出信号的识别是可选的, 但退出请求无需认证。
收集限制。与《加利福尼亚州消费者隐私法》、《弗吉尼亚州隐私法》和CPA的情况一样,控制者必须“将个人数据的收集限制在与处理此类数据的目的有关的适当、相关和合理必要的范围内,正如向消费者披露的那样”。
使用限制。除非有例外情况,例如获得同意,否则控制者不得将个人数据用于“既非合理必要,也不符合披露的处理这些个人数据的目的“。
数据安全。控制者还必须“建立、实施和维护合理的管理、技术和物理数据安全措施,以保护与相关个人数据的数量和性质相适应的个人数据的机密性、完整性和可访问性。”
同意要求。未经同意,该法与《弗吉尼亚州隐私法》、CPA一样,禁止控制者处理敏感数据。“敏感数据”包括从控制者知道的未满13岁的个人那里收集的个人数据,在这种情况下,必须根据《儿童在线隐私保护法》处理数据。
除了处理敏感数据外,如果控制者实际知道并故意无视消费者的年龄在13至16岁之间,则处理消费者的个人数据用于定向广告或出售其数据也需要征得同意。该规定超出了《弗吉尼亚州隐私法》和CPA的同意要求,更符合CPRA(《加州公共记录法案》),后者禁止在未经同意的情况下出售或共享16岁以下消费者的数据。
消费者的同意必须是“自由给予的、具体的、知情的和明确的”,而且法律明确规定不能通过使用暗箱模式来获得。此外,要求控制者为消费者撤销同意“提供有效机制”,该机制至少与提供同意的机制一样容易。一旦撤销,控制者必须尽快停止处理数据,并在收到撤销后的15天内。
不歧视。如果消费者决定行使法律规定的任何权利,控制者不得通过“拒绝提供商品或服务、对商品或服务收取不同的价格或费率,或提供不同质量的商品或服务”来对其进行歧视。
透明度。与其之前出台的相关法律一样,该法要求控制者向消费者提供“合理的、清晰的且有意义的隐私声明”。隐私声明必须包括:
控制者处理的个人数据的类别。
处理个人数据的目的。
消费者如何行使其权利和上诉。
控制者与第三方共享的个人数据类别(如果有)。
控制者与之共享个人数据的第三方类别(如果有)。
供消费者联系控制器的活动电子邮件地址或其他在线机制。
此外,如果个人数据被出售给第三方或被处理用于有针对性的广告,控制者必须“清楚而明显地披露此类处理”以及消费者如何行使其拒绝权。
回应消费者的要求。回应消费者请求的义务与《弗吉尼亚州隐私法》和CPA的义务非常相似。控制者有义务“不得无故拖延”地回应消费者的请求,并应在收到请求后的45天内,如有合理必要,可以再延长45天。控制者还必须建立一个“明显可用”的上诉程序,供消费者在合理时间内对控制者拒绝对请求采取行动提出上诉。与《弗吉尼亚州隐私法》一样,控制者必须在60天内以书面形式通知消费者针对上诉采取的任何行动或不作为。如果上诉被驳回,控制者必须向消费者提供在线机制或其他方法,联系检察长并提交投诉。
数据处理合同。与其大多数之前的法律一样,该法要求控制者和处理者之间签订合同,以管理处理者代表控制者执行的数据处理。此类合同必须“明确规定处理数据的说明、处理的性质和目的、处理的数据类型、处理的清晰以及双方的权利和义务”,还有其他列举的条款。以上这些都与《弗吉尼亚州隐私法》和CPA的要求基本相似。
数据保护评估。对于每一项对消费者“构成更高伤害风险”的处理活动,控制者必须进行并记录数据保护评估。必须评估的活动类型包括:
为有针对性的广告目的处理数据。
出售个人数据。
出于分析的目的处理个人数据,如果此类分析存在合理可预见的对消费者造成重大伤害的风险。
处理敏感数据。
与《弗吉尼亚州隐私法》、CPA和UCPA一样,该法缺乏私人诉讼权,并且按照弗吉尼亚州的做法,执法完全由首席检察官负责。在提起诉讼之前,检察官必须通知控制者其违规行为。与CPA一样,该法给予控制者60天的时间来纠正违规行为,这是加州、犹他州和弗吉尼亚州相关法律规定的30天纠正期的两倍。该法的纠正权在不止有关方面效仿CPA,因为从2025年1月1日起,它也将不再要求纠正权,此后检察官将有权自由裁定是否提供纠正机会。。
根据《康涅狄格州不公平贸易行为法》,违反法律被视为不公平贸易行为。因此,实体每次故意违规可能面临最高5000美元的民事处罚。检察官还可以根据《康涅狄格州不公平贸易行为法》寻求公平的补救措施,包括恢复原状、没收财产和禁令救济。
尽管我们还没有看到《康涅狄格州消费者数据隐私法》将如何在实践中发挥作用,但该法的文本提供了一个坚实的起点。为CPA做准备的实体能够基于此,开展尤其是在消费者权利方面的一些合规工作。不过,该法肯定还需额外考虑对儿童数据的更高保护和其他重要的细微差别。
来源:iapp