美国第四部州级隐私法《犹他州消费者隐私法》通过

来源：IAPP

翻译：黄锐奇，上海交通大学法学院硕士生

3月24日，美国犹他州州长Spencer Cox签署了《犹他州消费者隐私法》(UCPA)，使犹他州成为第四个颁布全面消费者隐私立法的州。该法于2023年12月31日生效。

UCPA与加利福尼亚州、弗吉尼亚州和科罗拉多州的消费者隐私法既相似又不同。也就是说，它在很大程度上借鉴了《弗吉尼亚州消费者数据保护法》(VCDPA)，与《科罗拉多隐私法》(CPA)也有类似部分。乍一看，UCPA的某些方面又与《加州消费者隐私法》(CCPA)很相似。然而，在实践中，UCPA的实质内容对消费者隐私采取了比之前三部法律更为宽松、更有利于商业的方法。

适用范围

与VCDPA的范围非常相似，UCPA 适用于任何控制者或处理者：

1、在本州开展业务，或生产针对本州居民的消费者的产品或服务。

2、年收入达到或超过25,000,000美元；并且

3、满足以下一个或多个门槛:

(1)在一个日历年内，控制或处理10万或更多消费者的个人数据；或

(2)该实体50%以上的总收入来自个人数据的销售，并控制或处理25,000名或更多消费者的个人数据"。

但与VCDPA不同的是，VCDPA没有年收入门槛，只有年收入在2500万美元以上的实体，同时满足上述至少一个额外的门槛，才会受到UCPA的约束。通过包括多个门槛要求，UCPA的范围与其他州的现行隐私法相比更窄。年收入门槛要求意味着较小的实体，即使满足其他门槛要求，也将不受UCPA的约束。同样，满足年收入门槛的较大实体将不受该法律约束，除非它们还满足其他门槛。

一些关键的定义也是确定法律的适用范围。根据UCPA，"消费者 "被定义为 "在个人或家庭范围内行动的本州居民"。然而，与VCDPA和CPA一样，UCPA明确排除了 "在就业或商业环境中行事 "的个人。因此，实体在考虑其是否属于该法律的范围时，不需要包括这些个人的个人信息。

UCPA包含一个类似VCDPA的 "销售 "定义，它被定义为 "控制者以货币为代价向第三方交换个人数据"。UCPA没有借鉴CCPA和CPA--以 "货币或其他有价值的对价 "交换的个人数据构成销售--而是根据UCPA交换的个人数据只有在对价是货币的情况下才有资格成为一种销售。该法明确地将某些类型的披露排除在销售定义之外，其中大部分与VCDPA和CPA中的排除条款几乎相同。例如，向处理者和控制者的附属机构披露信息被排除在外，向第三方披露信息以提供消费者要求的产品或服务也被排除在外。然而，UCPA对销售的定义也明确排除了 "如果控制者向第三方披露个人数据的目的与消费者的合理期望一致，则不包括在内"。

与VCDPA和CPA一样，UCPA在 "个人数据 "的定义中明确排除了非识别数据和公开信息。但UCPA进一步排除了 "综合数据"，其定义为 "与一组或一类消费者有关的信息：(a)个人消费者的身份已被删除；以及(b)与任何消费者没有联系或可合理联系的信息"。

关键是UCPA的范围比CCPA、VCDPA和CPA更窄：它不适用于更小的实体且更多类别的数据不在法律范围内。

豁免权

除了其相对狭窄的范围，UCPA还包含广泛的豁免。与VCDPA和CPA一样，UCPA包括实体和数据层面的豁免。

属于实体层面豁免的控制者和处理者不需要遵守UCPA，即使个人数据在其他方面属于法律的适用范围。值得注意的是，UCPA豁免了高等教育机构和非营利组织，以及根据《健康保险可携性和责任法案》（Health Insurance Portability and Accountability Act）的承保实体和业务伙伴，以及受《格雷姆-里奇-比利法》（Gramm-Leach-Bliley Act）管辖的金融机构。政府实体和承包商以及部落和航空公司也被豁免于该法。

至于数据层面的豁免，UCPA不适用于受HIPAA、GLBA、公平信用报告法、司机隐私保护法、家庭教育权利和隐私法以及农业信贷法管辖的信息。在就业过程中处理或维护的数据，包括求职者的数据，也属于豁免范围。

消费者权利

UCPA为消费者提供了四项主要权利：

1、访问权。消费者有 "以下权利：

(1)确认控制者是否在处理消费者的个人数据；以及

(2)查阅消费者的个人数据"。

2、删除权。消费者有 "删除消费者提供给控制者的个人数据的权利"。重要的是，UCPA并没有赋予消费者删除控制者所拥有的关于他们的所有个人数据的权利。根据UCPA，消费者只有权删除他们提供给控制者的个人数据。

3、数据可携权。消费者有 "权利获得一份消费者以前提供给控制者的个人数据的副本，其格式为：

(1)在技术上可行的情况下，可以携带。

(2)在实际可行的范围内，可以随时使用；以及

(3)如果处理是通过自动方式进行的，允许消费者将数据传输给另一个控制者而不受阻碍"。

4、选择不接受某些处理的权利。消费者有 "权利选择拒绝为定向广告的目的处理消费者的个人数据；或出售个人数据"。

与VCDPA和CPA不同的是，UCPA中没有选择拒绝被分析的权利。而且，与CPA不同的是，受UCPA约束的控制者不需要承认通用的退出信号是消费者行使其退出权利的一种方法。

值得注意的是，UCPA中没有更正权。与加利福尼亚州、弗吉尼亚州和科罗拉多州的同类法律不同，该法律没有赋予犹他州的消费者纠正其个人数据不准确的权利。

为行使上述任何权利，UCPA与VCDPA和CPA一样，规定控制者应明确消费者提交请求的方式。然而，与VCDPA和CPA不同的是，法律没有额外要求控制者在规定这些方式时要考虑的问题，如可靠性或考虑消费者通常与控制者互动的方式。

控制者的义务

1、透明度。与大多数消费者隐私法一样，UCPA要求控制者向消费者提供 "合理的、清晰的隐私通知"。隐私通知必须包括：

(1)控制者处理的个人数据的类别。

(2)处理这些数据的目的。

(3)消费者可如何行使其权利。

(4)控制者与第三方共享的个人数据类别（如有）。

(5)如果有的话，控制者与之分享个人数据的第三方的类别。

如果个人数据被出售给第三方或用于定向广告，控制者必须 "明确和具体地披露 "消费者行使其拒绝权的方式。

2、同意处理儿童的个人数据。处理已知未满13岁的消费者个人数据的控制者必须获得可核实的父母同意，并按照《儿童在线隐私保护法》处理这些数据。

根据UCPA，处理儿童数据是唯一需要肯定同意的活动。与VCDPA和CPA不同，UCPA不要求消费者同意处理的敏感数据。该法仅要求控制者在处理消费者的敏感数据之前，向消费者提供 "明确的通知和选择退出的机会"。

3、安全性。与CCPA、VCDPA和CPA一样，控制者必须 "建立、实施和维护合理的行政、技术和物理数据安全做法，以保护个人数据的保密性和完整性。"

4、非歧视性。控制者被禁止 "通过以下方式歧视行使权利的消费者。

(1)拒绝向消费者提供商品或服务。

(2)对消费者的商品或服务收取不同的价格或费率；或

(3)向消费者提供不同质量水平的商品或服务"。

然而，如果消费者选择退出定向广告，或者如果该提议与消费者自愿参与善意的忠诚度计划有关，控制者可以提供 "不同的价格、费率、水平、质量或对商品或服务的选择"。

5、回应消费者的要求。除非有例外情况，否则控制者有义务在45天内对消费者的请求作出回应。在合理必要的情况下，控制者可以将回应期再延长45天，但他们必须在最初的45天回应期内 "通知消费者延期，包括延期的时间（和理由）"。控制者还必须在回应期结束前通知消费者对请求采取的任何行动--或不行动。

UCPA禁止控制者对请求的回应收取费用。然而，在以下情况下，控制者可以收取合理的费用：

(1)该请求是消费者 "在同一12个月期间的第二次或后续请求"。

(2)该请求是 "过度的、重复的、技术上不可行的、或明显没有根据的"。

(3)控制者 "有理由相信提交该请求的主要目的不是为了行使权利"。

(4)该请求 "骚扰、扰乱或对控制人的业务资源造成不适当的负担"。

尽管VCDPA和CPA要求控制者为请求被拒绝的消费者提供申诉程序，但UCPA中没有包括这一义务。

6、数据处理合同。与VCDPA和CPA的情况一样，处理者代表控制者进行的处理活动必须受到合同的约束。虽然数据处理合同中必须包含的列举条款与VCDPA和CPA中的条款类似，但UCPA规定的要求较少。例如，UCPA下的数据处理合同不需要包括要求处理者遵守控制者的合理审计的条款。

与VCDPA和CPA不同，UCPA不要求控制者进行数据保护评估，以评估与数据处理活动相关的风险。

强制措施

UCPA没有规定私人诉权，也不允许消费者利用违法行为来支持根据犹他州其他法律提出的索赔。

与VCDPA一样，州检察总长拥有独家执法权。然而，执法过程本身采取了一种新颖的、多层次的方法。UCPA责成消费者保护司 "管理一个接受消费者投诉的系统"，并授权该司调查所指控的违法行为是否有理。如果该司司长有 "合理的理由相信存在实质性的（违规）证据"，则需要将其提交给检察总长。如果检察总长决定对移交的事项采取行动，该办公室必须首先向控制者或处理者提供书面通知。然后，控制者和处理者有30天的时间来纠正违规行为，并向检察总长提供一份 "明确的书面声明，说明违规行为已被纠正，不会再发生被纠正的违规行为。" 如果控制者或处理者未能纠正违规行为，或在提供书面声明后继续违规，总检察长可启动执法行动并进行处罚--实际损失和每项违规行为最高7500美元的罚款。

结论

尽管UCPA专门为犹他州的消费者和企业扩展了类似VCDPA的权利和义务，但该法律不会为企业现有的隐私合规义务增加特殊考虑。从表面上看，该法律比加州、弗吉尼亚州和科罗拉多州的同类法律更窄、更宽松。然而，对已通过的UCPA的理解仅仅是个开始。正如其发起人、犹他州参议员Kirk Cullimore所指出的，UCPA目前的形式旨在作为一个起点。根据法律的实际运作情况，未来有可能进行修订，特别是由于UCPA要求犹他州总检察长和消费者保护司在2025年7月1日前提交一份报告，评估其有效性。

声明：本文来自数据法盟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。