美国各州的数据隐私立法全图景：趋势及比较

作者：Mitchell Noordyke

来源：IAPP Website

翻译：魏雪颖，上海交大法学院本科生

未经授权，请勿转载！

美国各州制定法典化的数据隐私法案的势头前所未有。在2018年通过《加利福尼亚州消费者隐私法案（CCPA）》之后，多个州提出了制定类似法律来保护本州消费者的数据隐私权益。IAPP（International Association of Privacy Professionals）威斯汀研究中心整理了以下来自美国各州立法议案和已制定的统一数据隐私法案的清单，以帮助大家了解不断变化的各州数据隐私立法的趋势。

尽管表中的许多提案最终不会成为法律，但比较其中的关键条款将有助于我们理解“数据隐私”这一概念是如何在美国发展的。那些已经被州议会投票否决的法案并不会在表中移除，因为这些法案有助于我们理解各州是如何考虑数据隐私的。我们识别出了普遍出现在各州全面隐私法案中17个条文，以“x”标注各州法案出现了相应的条文。这17个条文在下表中被分解为了两类——消费者权利和企业责任。

该表中的法案旨在全面管理州内个人信息的使用。特定行业、特定信息或范围更小的法案（如数据安全法案）不包括在表中的法案内，除非他们有配套立法，并与前述法案共同构建了一个综合体系，适用于数据共享经济中的中心行业（例如互联网服务提供商或技术公司）。

备注：对表格中要素的解释

1．Legislative Process：每个州都有自己的立法程序，大致可概括为下列六栏：

• Introduced：立法的议院（以下简称“立法院”）提出议案，但还未进入州立法委员会。

• In Committee：该议案在州立法院中的各个立法委员会中通过。

• Crossed Chamber：该议案已在州立法院通过表决，并移至州立法院的对立院（例如，州众议院通过了法案，移至州参议院）。

• Cross Committee：该议案在非立法院的各个委员会中通过。

• Passed：州参议院和州众议院都通过了该议案。

• Signed：州长签署该议案，该议案正式成为州法律。

2．当前正在开会或临时休会（与延长的休会期相比）的立法机构名单。

3．17个普遍出现的隐私法条文如下：

• 访问被收集的个人信息的权利——消费者有权从业务/数据控制器访问所收集的关于消费者的信息或信息类别；该权利仅当企业将信息出售给第三方时才可能存在。

• 访问与第三方共享的个人信息的权利——消费者有权访问与第三方共享的个人信息。

• 纠正权——消费者有权要求对其不正确或过时的个人信息纠正而非删除。

• 删除权——消费者有权在特定情况下要求删除其个人信息。

• 限制处理权——消费者有权限制企业处理其个人信息。

• 数据携带权——消费者有权要求其个人信息以通用文件格式公开。

• 选择不出售个人信息权——消费者有权拒绝将其个人信息卖给第三方。

• 反对完全自动化决策的权利——禁止企业仅基于自动化流程来进行有关消费者的决策，而不进行人工干预。

• 消费者的诉讼权利——因企业违反法规而向其寻求民事损害赔偿的权利。

• 严格限制出售一定年龄以下的消费者的个人信息——限制企业以同意出售个人信息为默认状态，来对待特定年龄以下的消费者。

• 通知/透明度要求——企业有义务向消费者提供有关某些数据惯例，隐私操作和/或隐私程序的通知。

• 数据泄露通知——企业有义务就隐私或安全漏洞通知消费者和/或执法机构。

• 强制风险评估——企业有义务对隐私和/或安全项目或程序进行正式的风险评估。

• 禁止歧视行使权利的消费者–禁止企业对行使消费者权利的消费者与不行使权利的消费者区别对待。

• 目的限制——GDPR式的限制结构，除特定目的外，禁止收集个人信息。

• 处理限制——GDPR式的限制结构，除特定目的外，禁止处理个人信息。

• 信托义务——赋予企业/控制人以谨慎，忠诚和保密（或类似）职责并为消费者的最大利益行事的义务。

声明：本文来自数据法盟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。