收藏版 | 美国各州隐私保护立法的最近进展

扫码立即加入学习！

在当前政治极化持续存在的时代，州级层面一个值得注意的趋势给那些怀念两党合作的人带来了希望：数据隐私保护。自2018年《加利福尼亚州消费者隐私法》（California Consumer Privacy Act）颁布以来，美国各州的综合隐私立法逐年变得更加健全和充满活力。在美国——各州被视为名副其实的“民主实验室”——隐私领域的试验从未停歇。

近年来，美国各州提出的综合隐私法案数量以及通过的隐私法律数量稳步增加。2018年，提出了两项法案，其中一项在加利福尼亚州获得通过。2019年，美国各地共提出了15项法案，但均未通过。在2020年提出的24项法案中，有一项获得通过，即对《加利福尼亚州消费者隐私法》的更新——《加利福尼亚州隐私权法》（California Privacy Rights Act）。2021年，在提出的29项法案中，有两项分别在弗吉尼亚州和科罗拉多州获得通过。2022年，在提出的59项法案中，有两项分别在犹他州和康涅狄格州成为法律。2023年，在提出的54项法案中，有七项分别在特拉华州、印第安纳州、爱荷华州、蒙大拿州、俄勒冈州、田纳西州和德克萨斯州成为法律。目前，2024年有41项法案正在审议中，包括一些从2023年遗留下来的法案，今年已有7项新法律在新泽西州、新罕布什尔州、肯塔基州、内布拉斯加州、马里兰州、明尼苏达州和罗德岛州获得通过。

迄今为止，美国各州在综合隐私立法方面至少采取了两种主要方法。加利福尼亚州形成了自己的立法思路，而其他州最初则是基于尚未通过的《华盛顿州隐私法》（Washington Privacy Act），该法案于2019年提出。与受《华盛顿州隐私法》启发的各州相比，加利福尼亚州在多个重要方面仍显得与众不同。它是唯一要求在收集信息时发出通知的州。随着《加利福尼亚州隐私权法》对《加利福尼亚州消费者隐私法》的修订，加利福尼亚州现在也是唯一一个赋予消费者限制敏感个人信息使用和披露权利的州。此外，与其他州不同的是，加利福尼亚州设有专门的隐私机构——加利福尼亚州隐私保护局（California Privacy Protection Agency）。随着每一项新的综合州隐私法律的通过，现有法律中的定义、范围和可执行性都在不断变化。对《加利福尼亚州消费者隐私法》、《弗吉尼亚州消费者数据隐私法》（Virginia Consumer Data Privacy Act）和《科罗拉多州隐私法》（Colorado Privacy Act）等现有立法的最新修订，进一步凸显了立法者在连续几届立法会议中对隐私问题的不同看法。因此，本报告旨在揭示这一演变过程，并阐明当前所有有效的美国各州综合隐私法律的范围、权利和要求。

自2021年以来，总共有19个州——包括“蓝州”如加利福尼亚州、俄勒冈州、科罗拉多州和康涅狄格州，以及“红州”如德克萨斯州、内布拉斯加州、印第安纳州、肯塔基州和蒙大拿州——颁布了全面的隐私法规。这些法律生效后将覆盖超过半数的美国人口，它们的通过并非基于党派路线，而是得到了两党压倒性的支持。

事实上，许多这些法律的发起人现在经常相互沟通，讨论趋势、进展和理念，不论党派归属。

美国联邦贸易委员会（Federal Trade Commission）最近发布的2019-2020年社交媒体和视频流媒体服务的隐私实践报告，捕捉了许多州法律颁布之前的立法状况。联邦贸易委员会的许多建议与现有的州隐私法律相一致，包括限制敏感数据的收集、消费者数据权利、对定向广告和画像的限制，以及要求企业实施数据最小化和数据保护影响评估。

当然，这并不是要求停止联邦立法的努力——相反，建立一套统一的消费者和企业规则的合理联邦立法将得到广泛支持。然而，在缺乏此类联邦行动的情况下，州法律目前正在填补空白，提供了许多怀疑论者未能充分认识到的重要保障。

消费者权利
在已颁布隐私法律的州中，几乎一致同意消费者应有权控制自己的数据，这与联邦贸易委员会所表达的关切一致。所有这些州都规定了消费者数据隐私权，包括访问被收集或共享的消费者数据的权利、更正不正确或过时的个人信息的权利、请求删除个人信息的权利、选择退出个人信息出售的权利以及选择退出定向广告的权利。

这些权利的范围可能有所不同——例如，加利福尼亚州、爱荷华州和犹他州要求企业仅删除消费者提供的信息，而其他州则要求删除关于或获得的所有消费者数据。加利福尼亚州还颁布了《删除法案》（DELETE Act），允许居民请求从被定义为“数据经纪人”的实体中删除个人信息。不过，这些权利的范围在各州之间大体一致。

虽然联邦贸易委员会的报告指出缺乏透明度和消费者更正或删除数据的选项有限，但如今每一个有消费者隐私法律的州都至少授予了访问权、可携带权、删除权，以及选择退出数据出售和定向广告的能力。

敏感数据保护
各州正在通过要求在处理前获得明确同意的方式，赋予消费者对敏感数据强有力的控制权，从而解决了联邦贸易委员会的核心关切之一。这不仅确保消费者充分了解并明确授权个人数据的收集或使用——如种族或民族、性取向、生物识别数据、健康数据和精确地理位置数据——而且还让他们对自己的数据如何使用拥有持续的控制权。

企业被禁止在未获得进一步同意的情况下，将敏感信息用于或出售给未披露的目的。

这些措施增强了透明度和控制力，直接解决了联邦贸易委员会对敏感数据处理的担忧。

通用退出机制
有11个州颁布了规定，要求企业承认通用退出机制，使消费者能够通过自动浏览器信号更容易地表达其退出数据出售和定向广告的意愿。

科罗拉多州根据其《隐私法》建立了一个公认的通用退出机制公共名单，由科罗拉多州总检察长办公室维护，该名单列出了哪些机制符合允许消费者退出数据收集、出售和定向广告的标准。企业随后有六个月的时间来整合并遵守这些信号。值得注意的是，科罗拉多州的做法涉及行业和利益相关者就退出信号提供的公众意见，最终只正式认可了首批三个申请者中的一个。

这凸显了各州如何通过简化退出流程来增强消费者自动表达退出偏好的能力，同时让利益相关者参与进来，以确保隐私和网络安全保护。通过简化退出流程，州法律解决了联邦贸易委员会报告中关于复杂性和缺乏透明度的担忧，使消费者对其个人数据拥有更大的控制权。

数据保护影响评估和数据最小化
隐私不仅仅涉及面向消费者的机制，如退出选项或同意表，它还涉及在企业内部创造隐私文化的实践。为此，各州通过要求数据保护影响评估（DPIA）和数据最小化，显著提高了企业的问责制。

具体而言，DPIA要求企业评估与高风险数据处理活动相关的风险，并在适当时采取措施减轻这些风险。在加利福尼亚州、犹他州和爱荷华州之外的所有州，对于从事高风险处理（如画像处理或敏感数据处理）的企业，DPIA是强制性的。

至少，企业必须记录处理（例如，任何敏感数据的处理）对控制者、消费者、其他利益相关者和公众的益处，并对照此类处理对消费者权利带来的潜在风险。然后，企业必须考虑能够降低风险的保障措施。这些评估必须记录在案，并在调查期间可供执法机构查阅。

此外，除犹他州外，所有州都实施了数据最小化标准，这些标准借鉴了欧盟《通用数据保护条例》（General Data Protection Regulation）和《公平信息隐私原则》（Fair Information Privacy Principles）中概述的原则。这些标准要求企业仅收集为实现向消费者披露的目的所必需的数据，只要这些数据是充分、相关且合理必要的。数据收集类型或处理目的的进一步变更需要获得消费者的同意。

通过与联邦贸易委员会关于数据收集限制、透明度和风险评估的呼吁相一致，各州确保企业只收集所需的最少数据量，并确保消费者充分了解其数据的使用方式。

州隐私规则的创新
虽然一些怀疑论者认为州隐私法律缺乏“想象力”，但对这些法律进行更贴近现实、更细致的考察会发现，这种说法并不成立。此外，对于我们当中许多认为联邦立法是最佳途径的人来说，随着这些法律的不断发展，跨州一致性的需求变得更加明显。

各州正在采用建立在同一框架之上并在此基础上发展的隐私条款，同时创造了新的企业义务和消费者权利。特拉华州、明尼苏达州、康涅狄格州、科罗拉多州和俄勒冈州已经实施了超越联邦贸易委员会建议的解决方案，这些方案可能有助于塑造未来的隐私标准：

明尼苏达州授予消费者访问由自动化决策技术收集的数据的权利，并提供了自动化决策背后逻辑的透明度。
特拉华州禁止在未经消费者同意的情况下，为了定向广告的目的处理消费者的个人数据或出售消费者的个人数据，当控制者实际知道或故意忽视消费者年龄在13岁至18岁之间时。
康涅狄格州在2023年修订了其隐私法案，包括对处理、共享和出售消费者健康数据实施更严格的限制，并为儿童提供更精细的保护，如标记使用精确地理定位追踪。
俄勒冈州要求控制者能够提供已披露个人数据的具体第三方，但须遵守商业秘密保护。

迈向全面的隐私框架
州隐私法律的兴起是一个成功的例子，表明即使在政治分裂的环境中，也能实现有意义的隐私保护。虽然联邦贸易委员会的报告强调了联邦立法对于创建统一隐私框架的必要性，但州法律正在发挥主导作用，提供强有力的保护，并测试数据隐私的创新方法。

在缺乏联邦行动的情况下，各州将继续在塑造美国隐私的未来方面发挥关键作用。通过建立在州法律奠定的基础之上，联邦立法可以创建一个全面且协调的隐私框架，保护所有美国人，同时使企业能够在全国范围内清晰、一致地运营。

Comprehensive US State Privacy Laws

California Consumer Privacy Act

• Passage date: 28 June 2018

• Enforcement date: 1 Jan. 2020

California Privacy Rights Act

• Passage date: 3 Nov. 2020

• Enforcement date: 9 Feb. 2024

Colorado Privacy Act

• Passage date: 7 July 2021

• Enforcement date: 1 July 2023

Connecticut Data Privacy Act

• Passage date: 10 May 2022

• Enforcement date: 1 July 2023

Delaware Personal Data Privacy Act

• Passage date: 11 Sept. 2023

• Enforcement date: 1 Jan. 2025

Indiana Consumer Data Protection Act

• Passage date: 1 May 2023

• Enforcement date: 1 Jan. 2026

Iowa Consumer Data Protection Act

• Passage date: 29 March 2023

• Enforcement date: 1 Jan. 2025

Kentucky Consumer Data Protection Act

• Passage date: 4 April 2024

• Enforcement date: 1 Jan. 2026

Maryland Online Data Privacy Act

• Passage date: 9 May 2024

• Enforcement date: 1 Oct. 2025

Minnesota Consumer Data Privacy Act

• Passage date: 24 May 2024

• Enforcement date: 31 July 2025

Montana Consumer Data Protection Act

• Passage date: 19 May 2023

• Enforcement date: 1 Oct. 2024

Nebraska Data Privacy Act

• Passage date: 17 April 2024

• Enforcement date: 1 Jan. 2025

New Hampshire Senate Bill 255

• Passage date: 6 March 2024

• Enforcement date: 1 Jan. 2025

New Jersey Senate Bill 332

• Passage date: 16 Jan. 2024

• Enforcement date: 15 Jan. 2025

Oregon Consumer Privacy Act

• Passage date: 22 June 2023

• Enforcement date: 22 June 2023

Rhode Island Data Transparency and Privacy Protection Act

• Passage date: 25 June 2024

• Enforcement date: 1 Jan. 2026

Tennessee Information Protection Act

• Passage date: 11 May 2023

• Enforcement date: 1 July 2025

Texas Data Privacy and Security Act

• Passage date: 16 June 2023

• Enforcement date: 1 July 2024

Utah Consumer Privacy Act

• Passage date: 24 March 2022

• Enforcement date: 31 Dec. 2023

Virginia Consumer Data Protection Act

• Passage date: 2 March 2021

• Enforcement date: 1 Jan. 2023

更多AI及数据中译本请加入：