犹他州:另一个通过数据隐私法的州,UCPA
已发表: 2022-05-31
2022 年 3 月,犹他州州长 Spencer J. Cox 签署了参议院法案 (SB) 227,也称为犹他州消费者隐私法案 (UCPA) 。
UCPA 是一项跨行业隐私法,赋予犹他州消费者对其个人信息的重要隐私权。 与已识别或可识别个人相关的任何数据都称为个人数据。 其他合规要求适用于更精确定义的“敏感数据”类别。 该法律将于 2023 年 12 月 31 日生效。
UCPA 与加利福尼亚州、弗吉尼亚州、内华达州和科罗拉多州的消费者隐私法规相似但不完全相同。 它深受弗吉尼亚消费者数据保护法 (VCDPA) 的启发,一些类似 VCDPA 的元素也可以在科罗拉多州隐私法中找到。
乍一看,UCPA 的某些功能与加州消费者隐私法 (CCPA) 相似。 然而,在实践中,它是一种比其前辈更温和、对企业更友好的消费者隐私方法。
UCPA 与其他州隐私法有何不同
这是 UCPA 条款与
- 科罗拉多州隐私法 (CPA)
- 内华达州隐私法 (SB200)
- VCDPA
- CCPA(经加州隐私权法案 (CPRA) 修订)
- 通用数据保护条例 (GDPR)
| 关键条款 | 犹他州 UCPA | 科罗拉多州注册会计师 | 内华达州 SB220 | 弗吉尼亚 CDPA | 加利福尼亚 CCPA + CPRA | 欧洲 GDPR | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 处理能力 | |||||||||||||||||||||||||||||||||||||||||
| 数据最小化 | 是的 | 是的 | – | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||||||
| 允许的目的 | 是的 | 是的 | – | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||||||
| 个人权利 | |||||||||||||||||||||||||||||||||||||||||
| 接收处理活动通知的权利 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||||||
| 访问个人数据的权利 | 是的 | 是的 | – | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||||||
| 数据可移植性的权利。 数据应该以易于使用的格式提供,以便从一个实体/平台传输到另一个实体/平台。 | 是的 | 是的 | . | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||||||
| 纠正个人数据错误的权利 | 不 | 是的 | – | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||||||
| 删除个人数据的权利 | 是的 | 是的 | – | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||||||
| 选择退出行为广告的权利 | 是的 | 不 | – | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||||||
| 反对自动分析和决策的权利 | 是的 | 不 | – | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||||||
| 行使这些权利的不受歧视的权利 | 是的 | 是的 | – | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||||||
| 选择不出售个人信息的权利 | 是的 | 是的 | 是的 | 是的 | 是的 | 不 | |||||||||||||||||||||||||||||||||||
| 选择加入或退出处理敏感信息 | 选择退出 | 选择参加 | – | 选择参加 | 选择退出 | 选择参加 | |||||||||||||||||||||||||||||||||||
| 拒绝请求的上诉权 | 不 | 不 | – | 是的 | 不 | 不 | |||||||||||||||||||||||||||||||||||
| 问责制/治理 | |||||||||||||||||||||||||||||||||||||||||
| 数据保护评估 | 不 | 是的 | – | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||||||
| 安全 | |||||||||||||||||||||||||||||||||||||||||
| 适当的数据安全性以保护信息 | 不 | 是的 | – | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||||||
| 违规通知 | 是的 | 是的 | – | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||||||
| 欧洲经济区 (EEA) 以外的数据传输 | |||||||||||||||||||||||||||||||||||||||||
| 国际转移的附加措施 | 是的 | 是的 | – | 不 | 不 | 是的 | |||||||||||||||||||||||||||||||||||
| 转让给第三方 | |||||||||||||||||||||||||||||||||||||||||
| 服务提供商协议中的合同要求 | 不 | 是的 | – | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||||||
| 营销 | |||||||||||||||||||||||||||||||||||||||||
| 同意 Adtech cookie | 不 | 不 | – | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||||||
| 在直接营销之前获得同意 | 不 | 是的 | – | 不 | 不 | 是的 | |||||||||||||||||||||||||||||||||||
| 执法机构 | |||||||||||||||||||||||||||||||||||||||||
| 犹他州商务部 | 司法部长 | – | 司法部长 | 总检察长,CPPA | DPA | ||||||||||||||||||||||||||||||||||||
| 手术日期 | |||||||||||||||||||||||||||||||||||||||||
| 2023 年 12 月 31 日 | 2023 年 7 月 1 日 | 2019 年 10 月 1 日 | 2023 年 1 月 1 日 | 2020 年 1 月 1 日/ 2023 年 1 月 1 日 | 2018 年 5 月 25 日 | ||||||||||||||||||||||||||||||||||||
从上表中可以明显看出,遵守 CCPA、CPRA、VCDPA 和 CPA 的公司很可能会轻松满足 UCPA 的标准。
UCPA 使用 GDPR 的“控制者”和“处理者”命名法,并且不为消费者提供针对涉嫌违规行为的私人诉讼权。 与所有其他政府法规一样,它使消费者能够控制自己的个人信息。
然而,它也做出了一些重要的区别。
例如,UCPA不赋予消费者纠正其个人数据错误的权利,也不要求控制者对特定处理操作进行数据保护影响评估 (DPIA)。
UCPA 要求涵盖的企业在处理其敏感数据之前向消费者提供通知和选择退出的机会。
这与 VCDPA 和 CPA 形成鲜明对比,要求选择加入权限来收集和处理敏感数据。 此外,消费者投诉不是直接提交给总检察长 (AG),而是通过犹他州商务部提交,后者可以将问题提交给总检察长。
UCPA的主要条款
以下是 UCPA 的一些关键条款。
个人数据和敏感数据的广义定义
根据 UCPA,个人数据是与已识别或可识别的个人相关或可以合理链接到的任何信息。 它将特定类型的数据归类为“敏感数据”,这受到不适用于其他类型个人数据的附加标准和限制的约束。
减少数据主体权利
根据 UCPA,消费者享有四项基本权利:
- 访问权:了解控制者是否正在处理消费者的个人数据并有权访问该数据的权利。
- 删除权:消费者有权删除向控制者提供的个人数据。
- 可携带权:以可移植且易于访问的格式获取先前提供给控制者的消费者个人数据副本的权利,允许消费者不受限制地将数据传输到另一个控制者。
- 选择退出权:拒绝为“定向广告”和“销售”处理个人数据的权利。
尽管拥有所有这些重要权利,但 UCPA 与其他州法律不同,它并没有为消费者提供纠正不准确个人信息的能力。
可访问且清晰的隐私声明
UCPA 还要求控制者向消费者提供至少应包含以下信息的通知:
- 控制者处理的个人数据类型
- 处理不同数据类别的目的
- 客户如何行使其权利
- 控制者(如果有)与第三方共享的个人数据类型
- 控制者与之交换个人数据的第三方(如果适用)
更轻松的数据处理协议 (DPA)
UCPA 包括较轻的数据处理协议,并要求控制者与处理者合作。 该处理器管理和处理控制器的个人数据。
控制者和处理者订立的条款应具体说明:
- 协议的性质和目的
- 处理时间
- 数据主体类型
- 各方的权利和义务
加工商还应要求任何分包商保密,并仅通过书面合同委托他们。 如果分包商代表处理者处理数据,则本合同将其视为处理者。
与其他隐私法不同,UCPA 不需要数据处理条款来审计处理者或允许控制者选择不分包处理者。
熟悉的安全要求
UCPA 有一个关于安全的部分。 它规定控制者采用适当的管理、技术和物理数据安全措施来保护个人数据,并根据处理的规模、范围、数量和性质消除对消费者造成伤害的可预见风险。
Convert 的 UCPA 合规性清单
在犹他州运营的组织应以与其他州法律相同的方式考虑 UCPA。 但是,在合规性方面检查每个框可能具有挑战性。
为了帮助组织了解 UCPA 的复杂性,我们编制了这份方便的合规检查表。
以下是您需要牢记的:
- 确保您的业务在 UCPA 范围内。 组织必须评估他们是否符合 UCPA 的管辖门槛,包括财务和数据量门槛。
- 重新考虑您的隐私政策。 修改您的隐私政策以反映个人数据的处理、传达额外的消费者权利以及确定消费者行使这些权利的方式。
- 使用合理的数据安全措施来保护您的数据。 检查您的网络安全政策、实践和控制,以确保它们符合行业标准。
- 允许访问者选择不处理他们的个人数据(如果适用)。 为犹他州居民提供一种方式,让他们在公司出售或使用他们的个人信息进行定向广告时行使选择退出的权利。
- 实施敏感数据收集机制。 企业不得在未向消费者发出警告和选择退出的机会的情况下收集敏感数据。 为遵守这一义务,公司应实施适当的退出系统。
- 及时接收并回复消费者的询问。 制定接受、跟踪、确认和满足消费者请求以行使其 UCPA 访问和擦除权的程序。
转换尊重所有隐私法(欧盟 + 美国)
应以与其他州法律相同的方式处理对犹他州法律的遵守,为清楚起见,对语言进行细微更改以使其仅适用于犹他州居民。 UCPA 可能要求选择退出消息的不同地理定位,这必须明确说明。
Convert 密切关注州隐私和网络安全立法。 有关“如何为 UCPA 做准备”和其他新的美国隐私法的更多信息,请参阅我们的GDPR 路线图。
