康涅狄格州数据隐私法:我们如何确保 Convert 保持合规
已发表: 2022-07-13
随着康涅狄格州 SB 6(通常称为康涅狄格州数据隐私法或“CTDPA” )的推出,康涅狄格州已加入美国加利福尼亚州、弗吉尼亚州、科罗拉多州、内华达州和犹他州等已通过全面隐私法保护个人隐私的州行列。个人信息。
尽管美国已有数十年的隐私和数据安全法规,但这些法规以前仅适用于特定的业务、领域和数据类型。
这些新的国家法规并没有严格限制某些形式的数据处理,而是加强了更广泛地保护个人隐私权的增长趋势。
越来越多的美国州正在制定管理在线信息处理的法律。 查看我们对隐私法的评估
- 犹他州,
- 加利福尼亚,
- 弗吉尼亚,
- 内华达州,
- 科罗拉多州
康涅狄格州 SB 6 和其他隐私法之间的区别
以下是康涅狄格州 SB 6 条款与
- 犹他州消费者隐私法 (UCPA)
- 科罗拉多州隐私法 (CPA)
- 内华达州隐私法 (SB200)
- 弗吉尼亚州 VCDPA
- CCPA(经加州隐私权法案 (CPRA) 修订)
- 欧洲通用数据保护条例 (GDPR)
| 关键条款 | 康涅狄格 SB6 | 犹他州 UCPA | 科罗拉多州注册会计师 | 内华达州 SB220 | 弗吉尼亚 CDPA | 加利福尼亚 CCPA + CPRA | 欧洲 GDPR | ||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 处理能力 | |||||||||||||||||||||||||||||||||||||||||||||||
| 数据最小化 | 是的 | 是的 | 是的 | – | 是的 | 不 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 允许的目的 | 是的 | 是的 | 是的 | – | 是的 | 不 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 个人权利 | |||||||||||||||||||||||||||||||||||||||||||||||
| 接收处理活动通知的权利 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 访问个人数据的权利 | 是的 | 是的 | 是的 | – | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 数据可移植性的权利。 数据应该以易于使用的格式提供,以便从一个实体/平台传输到另一个实体/平台。 | 是的 | 是的 | 是的 | . | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 纠正个人数据错误的权利 | 是的 | 不 | 是的 | – | 是的 | 不 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 删除个人数据的权利 | 是的 | 是的 | 是的 | – | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 选择退出行为广告的权利 | 是的 | 是的 | 不 | – | 是的 | 不 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 反对自动分析和决策的权利 | 是的 | 是的 | 不 | – | 是的 | 不 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 行使这些权利的不受歧视的权利 | 是的 | 是的 | 是的 | – | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 选择不出售个人信息的权利 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 不 | ||||||||||||||||||||||||||||||||||||||||
| 选择加入或退出处理敏感信息 | 选择退出 | 选择退出 | 选择参加 | – | 选择参加 | 选择退出 | 选择参加 | ||||||||||||||||||||||||||||||||||||||||
| 拒绝请求的上诉权 | 是的 | 不 | 不 | – | 是的 | 不 | 不 | ||||||||||||||||||||||||||||||||||||||||
| 问责制/治理 | |||||||||||||||||||||||||||||||||||||||||||||||
| 数据保护评估 | 是的 | 不 | 是的 | – | 是的 | 不 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 安全 | |||||||||||||||||||||||||||||||||||||||||||||||
| 适当的数据安全性以保护信息 | 是的 | 不 | 是的 | – | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 违规通知 | 是的 | 是的 | 是的 | – | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 欧洲经济区 (EEA) 以外的数据传输 | |||||||||||||||||||||||||||||||||||||||||||||||
| 国际转移的附加措施 | 是的 | 是的 | 是的 | – | 不 | 不 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 转让给第三方 | |||||||||||||||||||||||||||||||||||||||||||||||
| 服务提供商协议中的合同要求 | 是的 | 不 | 是的 | – | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 营销 | |||||||||||||||||||||||||||||||||||||||||||||||
| 同意 Adtech cookie | 是的 | 不 | 不 | – | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 在直接营销之前获得同意 | 是的 | 不 | 是的 | – | 不 | 不 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 执法机构 | |||||||||||||||||||||||||||||||||||||||||||||||
| 司法部长 | 犹他州商务部 | 司法部长 | – | 司法部长 | 总检察长,CPPA | DPA | |||||||||||||||||||||||||||||||||||||||||
| 手术日期 | |||||||||||||||||||||||||||||||||||||||||||||||
| 2023 年 7 月 1 日 | 2023 年 12 月 31 日 | 2023 年 7 月 1 日 | 2019 年 10 月 1 日 | 2023 年 1 月 1 日 | 2020 年 1 月 1 日/ 2023 年 1 月 1 日 | 2018 年 5 月 25 日 | |||||||||||||||||||||||||||||||||||||||||
如上表所示,州立法机构如何处理广泛的隐私保护法似乎正在出现一种模式。
康涅狄格州 SB 6 几乎逐字采用了科罗拉多州和弗吉尼亚州法规的大部分内容,包括如何定义个人数据、如何处理敏感的个人信息以及何时进行数据保护影响评估。
康涅狄格州 SB 6 的主要规定是什么?
以下是康涅狄格 SB 6 的一些最重要的规定:
1. 与其他州法律相同的隐私权
康涅狄格州数据隐私法建立了一套个人隐私权,类似于犹他州 UCPA、科罗拉多州 CPA、弗吉尼亚州 VCDPA 和加利福尼亚州 CCPA/CPRA。
这些权利包括查看、更正、复制和删除个人信息。
消费者还可以选择不处理他们的个人数据,以用于广告、数据销售和档案建设。
与其他州隐私法一样,SB 6 包括一个选择加入系统,用于涉及 13 至 16 岁儿童的数据处理类型。
2. 未经技术批准的隐私请求
在提交和处理隐私权请求的方式方面,康涅狄格州的新法律与科罗拉多州的注册会计师相比,与弗吉尼亚州的法律更为相似。
康涅狄格州正在加入加利福尼亚州和科罗拉多州,要求企业通过某种技术机制为客户提供选择退出定向广告或销售的选项。 不过,与加利福尼亚州和科罗拉多州相比,康涅狄格州 SB 6 不需要州监管机构批准技术机制要求。
3. 出售个人数据的广义定义
根据康涅狄格州 SB 6,“出售个人数据”是指与第三方交换个人数据以换取金钱或其他有价值的对价。
SB 6 将“有价值的对价”与货币对价相结合,提供了更全面的销售定义,类似于加州 CCPA 和科罗拉多州 CPA 的定义。
个人数据出售的定义有几个例外,包括应消费者要求披露个人数据、公司内部披露,以及在收购、破产、或其他类型的交易。
4. 仅由司法部长执行
康涅狄格州 SB 6 遵循只允许司法部长起诉犯罪的模式。
康涅狄格州的总检察长与科罗拉多州的总检察长一样,必须提供 60 天通知和纠正违规行为的机会。
根据该州的不公平和欺骗性行为和做法法规,违反 SB 6 的行为被视为欺骗性贸易行为,除了实际和惩罚性损害赔偿以及律师费和成本外,还可能导致高达 5,000 美元的民事罚款。
5. 增强敏感信息的安全性
与其他几项隐私法一样,康涅狄格州 SB 6 为特定类型的信息提供了增强的保护措施。
这些“敏感数据”包括有关个人的种族、民族、宗教信仰、心理或身体健康状况或诊断、性生活、性取向、公民身份或移民身份的信息; 可用于识别的遗传和生物特征数据; 从儿童那里收集的信息; 和地理位置信息。
敏感数据的处理需要消费者的同意,并且不可避免地会增加对消费者造成伤害的可能性,这就是为什么需要进行数据隐私影响评估 (DPIA) 的原因。
6. 隐私政策披露
康涅狄格州 SB 6 要求组织更新其隐私政策以包括以下披露:
- 公司处理的个人数据类型;
- 公司为何处理个人数据;
- 消费者行使隐私权的一种或多种安全和值得信赖的方式,包括对有关隐私权请求的决定提出上诉的能力;
- 与第三方交换的个人数据类别(如果有);
- 与之交换个人数据的第三方类型(如果有);
- 客户可以联系公司的有效电子邮件地址;
- 如果公司为定向广告销售或处理个人数据,隐私政策必须说明这一点,以及客户如何选择退出。
Convert 的隐私合规计划
随着更多隐私法的出台,我们可以预期情况会进一步转变,更多关于数据隐私的新立法,以及更多轮次的评论和修订。
这些因素都会影响您的软件的合规性以及隐私政策的措辞方式。
那么,Convert 如何跟踪所有这些数据并确保我们不会忽略任何事情呢?
1.创建与隐私相关的关键字警报
我们首先为适当的条款设置 Google 快讯。 每次通过新立法、提出新法案或决定包含我们任何搜索词的案件时,我们的系统都会提醒我们。 下面的屏幕截图说明了其中一些警报。
搜索结果可能并不都是相关的,因此我们必须筛选警报以确保我们只评估相关数据。
每个优秀的研究人员都知道,您不应该依赖一个来源来获取所有信息。 这就是为什么 Convert 是多个隐私论坛的成员。 我们还每周检查国际隐私专业人员协会提供的材料。
例如,IAPP 发布了一份隐私法比较表(见下文),其中包含有关已引入的所有隐私法案的有用信息。
2. 检查数据保护机构 (DPA) 的网站
虽然跟踪新法案、法律和法规至关重要,但遵循数据保护机构及其解释同样重要。 诸如此类的实体可以为您提供有关将要执行什么以及如何执行的重要信息。
在最近的一篇文章中,我们概述了奥地利数据保护局如何非法使用 Google Analytics。
3.阅读隐私文章
我们阅读有关隐私和技术的观点文章和故事,以及有关隐私的行业观点和有关公众对当前隐私保护的看法的信息。
了解行业和广大公众对隐私和技术的看法有助于我们评估执法和立法行动的模式,以及我们行业未来的发展方向。
四、更新政策及相关信息
请务必注意,Convert 不仅针对隐私政策,而且针对条款和条件、最终用户许可协议、免责声明、合同和实际的 A/B 跟踪脚本,处理上述所有内容。
收集所有信息后,我们决定是否对政策进行修订,然后进行更新。
5. 通知网站访问者
随着越来越多的消费者查看网站是否有隐私政策以及这些政策中规定了哪些隐私惯例,下一步是通知我们网站的访问者和转换用户我们正在进行的更改。 所有新法律都要求隐私政策说明其生效日期或最新修订日期。 如果您的隐私政策包含此披露,网站用户只需查看其日期即可轻松确定该政策是否已更改。
Convert 的康涅狄格 SB 6 计划
如果您已经拥有 Convert 帐户,则无需担心! 我们将为您跟踪这项新法律以及任何修订或法规。 如果法律适用于您,您的政策将在法律生效前进行修订以包括上述披露。
我们在 Convert 密切关注州隐私和网络安全立法。 有关“如何为 SB 6 做准备”和其他新的美国隐私法的更多信息,请访问我们的GDPR 路线图。
