遵守美国隐私法的终极指南

美国的隐私状况异常复杂。在没有联邦法律的情况下，各个州已经开始发布各自版本的隐私立法。

到2023年，在收集和处理个人数据方面，将有更多的美国机构需要遵守更严格、更广泛的要求。

美国全面的州隐私法包括:

• 加州的消费者隐私法案，该法案于2018年通过，并于2020年生效。
• 加州的消费者隐私权法案，该法案于2020年通过，修订了CCPA的关键领域，并于2023年全面生效，其中一些条款将于2022年开始生效。
• 弗吉尼亚州的消费者数据保护法，该法案于2021年通过，并于2023年生效。
• 科罗拉多州的隐私法案，该法案于2021年通过，并于2023年生效。
• 犹他州的消费者隐私法案，该法案于2022年通过，并于2023年底生效。
• 康涅狄格州的数据隐私法案，该法案于2022年通过，并于2023年生效。

美国的一些行业法律也涉及个人信息隐私:

• 1999年《格雷姆-里奇-比利利法案》保护消费者的财务隐私。
• 《1996年健康保险携带与责任法案》，保护病人免受敏感健康信息的泄露。
• 儿童在线隐私保护法(COPPA)，确立儿童和父母的权利。
• 美国1974年的隐私法案该法案允许个人要求政府机构保存有关自己的记录。

更复杂的是，内华达州和缅因州的互联网隐私法分别于2019年和2020年生效。

随着各州逐一制定隐私立法，了解每个法律的关键遵从性领域将有助于您的组织在各种法规中制定遵从性实践。了解美国隐私法的重叠和本质差异将是至关重要的。

为组织跟上一般资料保护规例(GDPR)，研究美国隐私法与欧盟法律的不同之处也将有所帮助。

遵守美国隐私法的好处包括培养消费者信任、建立和维护品牌声誉，以及避免行政处罚。

美国隐私法的主要合规领域

鉴于2023年美国隐私领域的前景如此之大，隐私团队应该进一步了解即将出台的美国隐私法的关键领域，以及如何遵守CPRA、CDPA、CPA和UCPA制定的各种要求。

加州消费者隐私法(CCPA)

虽然CCPA概述了许多消费者权利，该法律规定的最重要的合规领域是消费者有权选择不出售其个人资料。它规定了数据所有者和处理者的义务，包括一个链接说明:“不要出售我的个人信息。”消费者必须能够从企业主页访问此链接，通过提交表单或通过电子邮件阻止其数据的出售。

加州隐私权法案

的CPRA修订了CCPA，增加了消费者选择退出数据共享和数据出售的权利。“不要出售或分享我的个人信息”将于2023年生效。

此外，CPRA还引入了敏感个人信息(SPI)的概念。SPI涵盖了社会保险号、驾照号、生物识别、精确地理位置以及未经授权使用和访问的种族和民族出身数据。

虽然CPRA最初是一项消费者保护法案，但CPRA修改了CCPA，将其所有消费者权利扩展到员工。

《防止舞弊行为条例》和《防止舞弊行为条例》的每一个主要合规范畴，都要求公司加强控制所持有的个人及敏感资料，以符合消费者及雇员的要求。

弗吉尼亚州消费者数据保护法

维吉尼亚州的CDPA为数据控制器引入进行评估的新需求。具体来说，涉及的组织必须对涉及个人数据的活动进行数据保护影响评估。可获批准实施可持续发展计划的活动包括:

• 有针对性的广告
• 出售个人资料
• 分析
• 使用敏感数据
• 使用任何增加对消费者伤害可能性的数据

熟悉GDPR的人会发现，GDPR与CDPA的语言和规定有很大的重叠。

科罗拉多州隐私法案(CPA)

科罗拉多州的注册会计师与弗吉尼亚州的CDPA类似。它确立了消费者对数据的保护权利，包括访问权、删除权、更正权和数据便携权。它还规定了DPIA对所涉组织的义务。它的范围有一些例外，包括雇佣记录。

犹他州消费者隐私法(UCPA)

的UCPA该法案于2022年3月24日通过，成为美国最新的综合性州隐私法。与之前的法律一样，它确立了消费者权利，包括:

• 知情权
• 访问权
• 删除权
• 数据可携带权
• 选择退出的权利:
  • 有针对性的广告
  • 出售个人资料

UCPA的独特之处在于它对待SPI的方式。数据控制器必须为消费者提供预先选择退出SPI处理的机会——但不必获得他们的明确同意。

康涅狄格州数据隐私法(CTDPA)

康涅狄格州很快步犹他州的后尘，通过了自己的全面数据隐私法CTDPA．对于隐私团队来说，值得庆幸的是，CTDPA并没有偏离CPRA、CDPA、CPA和UCPA已经制定的道路太远，它的许多条款要么反映了这些法律，要么与它们非常相似。

尽管如此，CTDPA将要求相关企业为康涅狄格州居民实现一系列消费者权利，包括访问权、更正权、删除权、数据可移植权和选择退出某些处理活动的权利。

CTDPA的其他要求包括向消费者提供公开隐私通知、隐私风险评估，以及在处理敏感个人信息时获得有效同意。

CTDPA将于2023年7月1日生效。

美国即将出台的隐私法

在2022年立法季，几个州的众议院和参议院已经提出了全面的隐私法案。虽然有些国家已经在2022年失败了(比如在2022年)佛罗里达)，其他的似乎今年就接近通过了纽约）.

任何通过的新法案都将给在美国各地运营的机构带来额外的复杂性和考虑因素。随着各种立法的不断完善，对联邦隐私保护框架的需求将继续加强。

行业私隐法

美国的部门隐私法适用于个人数据收集和处理的特定行业应用。以下是为涉及的行业和相关活动规定额外义务的最重要的部门隐私法。

《健康保险携带与责任法案》

HIPAA规定了患者及其医疗数据的隐私和保护。它为受保护的健康信息设置同意条款，并在默认情况下实施隐私保护。

CCPA、CPRA、CDPA和CPA的规定不适用于HIPAA所涵盖的受保护健康信息。

格兰姆-利奇-比利利法案

GLBA规定了金融机构保护消费者金融隐私权的义务。该法律适用于提供消费金融产品的公司，如贷款、保险和投资建议。

覆盖的组织必须披露其信息共享实践，并采取额外措施保护敏感数据。

CCPA、CPRA、CDPA和CPA的规定不适用于GLBA所涵盖的私人消费金融数据。

儿童在线隐私保护法(COPPA)

COPPA通过确立父母的权利和同意条款来确立儿童的隐私权。覆盖的组织必须通知父母他们正在收集孩子的哪些个人信息，获得父母的同意，提供访问权限，并实行数据最小化。

《防止儿童资料私隐条例》所涵盖的儿童个人资料不受《防止儿童资料私隐条例》及《防止儿童资料私隐条例》的规管，但不受《防止儿童资料私隐条例》/《防止儿童资料私隐条例》的规管。

美国1974年的隐私法案

《隐私法案》允许美国公民和永久居民访问政府机构保存的有关他们自己的记录。机构必须遵守记录要求，并满足处理记录的既定标准。

《隐私法》的范围不同于美国其他隐私法，因为它只涵盖政府机构及其数据收集和处理活动。

美国隐私法与欧盟法律有何不同?

美国的隐私法主要涉及消费者与企业之间的互动。该语言侧重于在收集、处理和处理数据方面为商业市场设置护栏。

欧盟的隐私法采取了另一种视角，专注于保护人类的基本权利。他们将数据主体置于大多数条款的中心位置，并将数据保护视为组织必须履行的道德运营的基本义务。

尽管参照框架不同，但美国和欧盟的法律在一些情况下产生了类似的结果。例如，CPRA有权选择不出售和共享数据，这与GDPR不惜一切代价优先考虑同意的精神是一致的。

美国隐私法与欧盟隐私法的一个显著区别在于处罚。

GDPR的监管罚款根据严重程度的不同，在年收入的2%或1,000万欧元到4%或2,000万欧元之间。

CPRA、CDPA和UCPA通过民事处罚强制执行不遵守行为。每次违规罚款最高可达2500美元，故意违规或涉及儿童的违规罚款最高可达7500美元。科罗拉多州的法律规定，每次违规罚款高达2万美元。

美国有联邦数据隐私法吗?

美国目前还没有联邦数据隐私法。但立法者多年来一直试图通过一项联邦法律。

共和党能源和商务委员会介绍了《数据管制法》2021年11月。这是众多试图建立联邦隐私框架的法案之一。

如果获得通过，《控制我们的数据法案》将引入条款，要求覆盖的组织:

• 进行风险评估
• 通过设计实现隐私
• 遵守新成立的消费者私隐保护及资料安全局的规定

最近，联邦数据保护法案美国数据隐私与保护法(ADPPA)该法案由参众两院领导人提出。ADPPA与之前的尝试不同之处在于，它是第一个得到两党支持的联邦隐私法案。虽然在认真考虑ADPPA之前还有一段路要走，但如果它通过了，它将引入忠诚义务、消费者权利和企业问责的要求。

遵守美国隐私法的6步

美国五花八门的隐私法，使得合规之路更具挑战性。遵循这6个步骤来增强您的方法，并提高您的组织履行其对消费者和员工的隐私义务的能力。

步骤1:发现、分类和映射组织的数据

对于任何成熟的隐私计划，遵从性的第一步是全面了解组织收集、存储和处理的数据。这将使您的团队能够全面检查您的数据，以确定美国隐私法的应用，例如:

• 识别符合CPRA的SPI
• 集中数据以满足访问和退出请求

您可以通过执行数据发现、分类和映射来实现这一点。通过访问您所拥有的数据以及涵盖这些数据的法律的中心可视化，您可以采取必要的行动来实现遵从性。

步骤2:为消费者和员工的权利要求构建基础设施

2023年，更多的组织将不得不为消费者和员工的权利要求提供一个接收流程。隐私保护团队必须找到并向请求者分发相关信息，必要时对其进行编辑，并在法律允许的时间范围内(各州不同)完成工作。

随着CPRA中包含员工权利，团队将处理更大的数据量——包括大量非结构化数据。因此，自动发现和数据编校对于及时满足消费者和雇员的权利要求至关重要。

第三步:尊重行使选择退出权利的消费者

一旦这些全面的州隐私法生效，企业必须允许消费者选择不出售和分享他们的个人数据。

你可以通过一个简化退出程序同意管理系统，它记录下消费者的偏好，并将其传递给下游的第三方。通过自动实现选择退出的权利，团队可以获得请求不会从裂缝中溜走的安心。

步骤4:更新与SPI相关的策略和流程

美国各州隐私法加强了与使用敏感个人信息相关的保护:

• CCPA和CPRA:消费者可以要求组织不使用他们的SPI。
• CDPA和CPA:组织在处理SPI之前必须获得明确的同意。

您的隐私策略必须明确说明在收集时和收集点使用SPI，以获得有效的同意。

此外，如果您的数据地图还不能将SPI与其他数据区分开来，那么您将需要在2023年1月1日之前优先完成数据标记工作。

步骤5:进行风险评估和独立的网络安全审计

CPRA、CDPA和CPA要求进行风险评估，包括数据保护影响评估。每个标准都提供了不同的执行门槛，并概述了何时完成后续行动，包括补救和向相关监管机构提交报告。

此外，CPRA要求对对消费者隐私或安全构成重大风险的处理活动进行年度网络安全审计。

第六步:时刻关注法规的更新

立法者将在2022年底发布CPRA的最终法规。随着美国其他州法律的考虑，以及联邦层面法律的可能性，组织需要继续监测这一变化的情况。这将确保您的策略和政策调整反映最相关的隐私见解和要求。

观看美国隐私大师系列课程

准备美国隐私法遵守我们的新，免费大师系列．OneTrust提供专家主导的60分钟在线研讨会，现场问答，帮助我们的客户成功地应对当今美国各地五花八门的隐私法规。你也可以下载美国隐私大师课程资料包其中包括对美国各州隐私法规的简要介绍，一本比较美国各州隐私法律的全面电子书，美国隐私法规的六步路线图，等等。