内华达州隐私退出法第一州：转换准备得如何？

已发表: 2019-06-13

2019 年 5 月 29 日，内华达州州长签署了 SB 220 法案。

该法律修订了内华达州现有的安全和隐私法，要求出于商业目的的网站或在线服务的运营商允许消费者选择不出售运营商已经收集或将收集的有关消费者的任何涵盖的个人身份信息。

该法律于 2019 年 10 月 1 日生效，比加州消费者隐私法 (CCPA) 的 2020 年 1 月 1 日生效日期早了几个月，因此将成为继 GDPR 之后在美国实施的第一个此类法律欧盟。

SB 220 是对内华达州现行隐私法的重大修订，总体上对整个行业提出了新的挑战。从表面上看，该法律的范围比 CCPA 更窄，包括对“消费者”和“销售”的更狭隘定义，并为《格拉姆-里奇-比利利法案》（“GLBA”）和根据《健康保险流通与责任法案》（“HIPPA”）涵盖的实体。

尽管如此，专注于 CCPA 合规的公司现在必须将资源转移到符合 SB 220 的要求。

以下提供了 CCPA 与内华达州修订的在线隐私法的高级比较：

SB 220 要求

SB 220 有四个主要要求，但有几个关键定义和排除适用于法律：

“经营者”必须建立一个“指定的请求地址”，消费者可以通过该地址提交“经过验证的请求”，指示经营者不要出售收集到的关于消费者的“涵盖信息”。
消费者可以随时通过指定的请求地址提交经过验证的请求，指示运营商不要出售运营商收集的有关消费者的涵盖信息。
收到验证请求的运营商不得出售其已收集或将收集的有关消费者的任何涵盖信息。
运营商必须在 60 天内回复消费者的验证请求。如果 (a) 运营商确定此类延期是合理必要的，运营商可以将响应期延长不超过 30 天； (b) 延长响应期的运营商将此类延长通知消费者。

那么让我们看看 Convert 为遵守内华达州隐私法及其要求做了哪些工作？

与 CCPA 的情况一样，内华达州的消费者将能够选择不出售“涵盖的信息”，其中包括通过网站或在线服务收集的以下任何项目：

许多组织几乎不了解他们出售的信息及其存在的位置。

在 Convert，我们已经通过 GDPR 数据最小化原则为此做好了准备。我们通过将数百名网站访问者分组到仅计算访问者存在的访问者组中，在我们的跟踪中匿名访问者 ID。

个人访客不会存储在转换体验中。无法以任何方式将组计数重新连接到单个访问者。

GDPR 为我们提供了一个机会，让我们仔细审视我们在 Convert 中存储的内容，以及将其保存在日益以隐私为中心的环境中的用例。

内华达州的新法律规定，法律范围内的组织“应建立一个指定的请求地址，消费者可以通过该地址提交经过验证的请求。”

在 Convert，我们使用 [email protected] 地址来接收和验证退出请求，这自 GDPR 以来一直存在。这些请求被汇集到一个中央队列中，我们的数据保护官会按照 GDPR 和正在执行的其他隐私法的要求及时响应它们。

GDPR 授予组织 30 天的时间来响应消费者的请求，而 CCPA 则更为宽松，为 45 天。

内华达州法律将这一时间表进一步延长至 60 天，同时在合理必要的情况下还赋予组织延长 30 天的权利。这三部法律有不同的延期制度，并要求运营商在不同的时间窗口内通知消费者。

Convert 已为 GDPR 的 30 天响应做好了准备，到目前为止，我们已经成功满足了我们的所有要求，从而可以轻松地在强制性的 60 天期限内响应内华达州的要求。

与 GDPR 和 CCPA 的情况一样，组织必须在响应请求之前验证消费者的身份。

当消费者提交退出请求时，Convert 还通过只有消费者知道的安全附件提交 ID 来促进这种验证。

尽管其他州的隐私立法已经停滞或失败，但内华达州通过 SB-220 提醒人们，在不久的将来，在数字世界中保持对法律和监管义务的遵守仍将是一项挑战。

我们正在关注其他几个州（俄勒冈州、得克萨斯州、缅因州、犹他州）仍在考虑某种形式的受 CCPA 启发的立法，并将准备在它们都可以发挥作用的环境中运作。

Convert 可以很好地处理我们所有的数据处理操作以及向其传输数据的第三方。

有关如何为 CCPA 和潜在的其他新美国隐私法做准备的更多信息，请参阅我们的 GDPR 路线图。