2024年美国数据隐私法:主要更新和变化
UniConsent
9 min read
简短时间线
2022年6月21日,美国数据隐私和保护法案(ADPPA)被提出。ADPPA 获得了足够的两党支持,使人们对通过联邦隐私法抱有真正的乐观态度。。
然而,ADPPA 从未进入众议院讨论。2023年,隐私领域见证了多个州全面数据隐私法的实施,要求企业分别评估每项法律的具体合规要求和消费者权利。
2024年4月,美国隐私权法案(APRA)宣布推出。到2024年7月,更多州通过了类似法律,随着监管机构的发展,执法行动和和解增加。因此,企业需要优先考虑数据隐私法的合规性。
此外,人工智能在技术、采用、拟议法规、执法以及拜登总统的行政命令中经历了显著增长,预计州一级的人工智能政策和法规将进一步扩展。
已实施和即将生效的州数据隐私法
2023年12月31日,犹他州消费者隐私法(UCPA)生效。该法律适用于年收入至少为2500万美元,且满足以下任一条件的企业:(a) 在一个日历年内控制或处理10万名以上犹他州消费者的个人信息;或 (b) 其50%以上的总收入来自于个人信息的出售,并控制或处理2.5万名以上犹他州消费者的个人信息。尽管法律提供了30天的整改期,但鼓励企业在年底前履行合规义务。
随着 APRA 推进委员会审议,2024年将有四项新的州消费者隐私法生效。
2024年7月1日,佛罗里达州数字权利法案、俄勒冈州消费者隐私法和德克萨斯州数据隐私和安全法生效。
2024年10月1日,蒙大拿州消费者数据隐私法生效。
以下是跟踪美国州数据隐私立法的图表:
| 州 | 签署的法律 | 生效日期 |
|---|---|---|
| 加利福尼亚 | 加利福尼亚消费者隐私法 | 2020年1月1日 |
| 科罗拉多 | 科罗拉多隐私法 | 2023年7月1日 |
| 康涅狄格 | 康涅狄格数据隐私法 | 2023年7月1日 |
| 特拉华 | 特拉华个人数据隐私法 | 2025年1月1日 |
| 印第安纳 | 印第安纳消费者数据保护法 | 2026年1月1日 |
| 爱荷华 | 爱荷华消费者数据保护法 | 2025年1月1日 |
| 肯塔基 | 肯塔基消费者数据保护法 | 2026年1月1日 |
| 马里兰 | 马里兰在线数据隐私法 | 2025年10月1日 |
| 明尼苏达 | 明尼苏达消费者数据隐私法 | 2025年7月31日 |
| 蒙大拿 | 蒙大拿消费者数据隐私法 | 2024年10月1日 |
| 内布拉斯加 | 内布拉斯加数据隐私法 | 2025年1月1日 |
| 新罕布什尔 | 新罕布什尔隐私法 | 2025年1月1日 |
| 新泽西 | 新泽西数据隐私法 | 2025年1月15日 |
| 俄勒冈 | 俄勒冈消费者隐私法 | 2024年7月1日 |
| 田纳西 | 田纳西信息保护法 | 2025年7月1日 |
| 德克萨斯 | 德克萨斯数据隐私和安全法 | 2024年7月1日 |
| 犹他 | 犹他消费者隐私法 | 2023年12月31日 |
| 弗吉尼亚 | 弗吉尼亚消费者数据保护法 | 2023年1月1日 |
执法
自2023年以来,监管机构发起了执法检查和调查,以确保合规。
在联邦层面,FTC 针对多家企业采取行动,包括数据泄露、与共享健康数据相关的不公平和欺骗性披露、未获得父母同意收集儿童数据以及使用与儿童隐私相关的暗黑模式等问题。
在州级层面,加利福尼亚州检察长向某些雇主发送了关于其处理员工个人信息的调查问询,CPPA 开始审查互联车辆制造商及相关技术的数据隐私实践。同样,科罗拉多州检察长向部分机构发送了有关其处理敏感数据的调查问询。
基本数据隐私原则
- 访问权:消费者可以查看企业收集的关于他们的数据,并查看与哪些第三方共享。
- 更正权:消费者可以要求更正任何不准确或过时的个人数据。
- 删除权:消费者可以要求删除其个人数据。
- 限制处理权:消费者可以限制企业处理其数据的方式。
- 数据可携权:消费者可以请求以常用格式获取其数据。
- 拒绝权:消费者可选择不将其数据出售给第三方。
使用 UniConsent 管理州隐私法
UniConsent 同意管理平台(CMP),帮助美国组织解决这些问题,同时在减少运营复杂性和保持优化数据实践所需的灵活性之间找到平衡。
如果您希望自己管理这些法律,以下是企业在不断变化的美国数据隐私环境中需要考虑的一些事项:
- 进行数据映射:确保数据收集、共享和处理实践符合新要求并保持一致。
- 审查外部隐私政策:确认所有适当的披露内容准确无误,并符合适用法律下的消费者权利。
- 实施选择退出偏好信号:实施退出偏好信号:识别并实施适用于2024年生效州法律的退出偏好。
- 进行数据保护影响评估(DPIA):根据适用法律对个人信息处理进行 DPIA,或确保现有 DPIA 符合相关法律。考虑所有相关因素,如使用敏感信息和 ADMT。
- 审查人工智能工具的使用:与隐私框架保持一致,如《安全、可靠和可信的人工智能开发和使用行政命令》、白宫的《人工智能权利法案蓝图》和 NIST 的《人工智能风险管理框架》。了解所有模型输入和输出,确保数据和 IP 合规,制定内部 AI 使用政策,审查外部 AI 声明的准确性和透明度,并将隐私、偏见、伦理和安全审查纳入 AI 产品。
关于 UniConsent
UniConsent 同意管理平台(CMP)是一家全球公认且认证的同意管理平台,为领先的出版商提供服务,每天服务数千万用户。 通过提供无缝的隐私体验,UniConsent CMP 帮助企业在后 GDPR 时代中前行,满足不断发展的数据保护法规要求。
联系我们了解更多信息:hello@uniconsent.com
Leading Consent Management Platform
Compliant with GDPR, CCPA, COPPA, LGPD, PECR, PDPA, PIPEDA, and more.
Activate Google Consent Mode UniConsent to enhance the accuracy of your Google Analytics and Google Ads conversion data.
Set up Google Consent Mode →开始使您的网站和应用符合欧盟 GDPR、美国 CPRA、加拿大 PIPEDA 等法规
注册意见征求管理平台资源
开始使您的网站和应用符合欧盟 GDPR、美国 CPRA、加拿大 PIPEDA 等法规
注册