康涅狄格州數據隱私法:我們如何確保 Convert 保持合規
已發表: 2022-07-13
隨著康涅狄格州 SB 6(通常稱為康涅狄格州數據隱私法或“CTDPA” )的推出,康涅狄格州已加入美國加利福尼亞州、弗吉尼亞州、科羅拉多州、內華達州和猶他州等已通過全面隱私法保護個人隱私的州行列。個人信息。
儘管美國已有數十年的隱私和數據安全法規,但這些法規以前僅適用於特定的業務、領域和數據類型。
這些新的國家法規並沒有嚴格限制某些形式的數據處理,而是加強了更廣泛地保護個人隱私權的增長趨勢。
越來越多的美國州正在製定管理在線信息處理的法律。 查看我們對隱私法的評估
- 猶他州,
- 加利福尼亞,
- 弗吉尼亞,
- 內華達州,
- 科羅拉多州
康涅狄格州 SB 6 和其他隱私法之間的區別
以下是康涅狄格州 SB 6 條款與
- 猶他州消費者隱私法 (UCPA)
- 科羅拉多州隱私法 (CPA)
- 內華達州隱私法 (SB200)
- 弗吉尼亞州 VCDPA
- CCPA(經加州隱私權法案 (CPRA) 修訂)
- 歐洲通用數據保護條例 (GDPR)
| 關鍵條款 | 康涅狄格 SB6 | 猶他州 UCPA | 科羅拉多州註冊會計師 | 內華達州 SB220 | 弗吉尼亞 CDPA | 加利福尼亞 CCPA + CPRA | 歐洲 GDPR | ||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 處理能力 | |||||||||||||||||||||||||||||||||||||||||||||||
| 數據最小化 | 是的 | 是的 | 是的 | – | 是的 | 不 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 允許的目的 | 是的 | 是的 | 是的 | – | 是的 | 不 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 個人權利 | |||||||||||||||||||||||||||||||||||||||||||||||
| 接收處理活動通知的權利 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 訪問個人數據的權利 | 是的 | 是的 | 是的 | – | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 數據可移植性的權利。 數據應該以易於使用的格式提供,以便從一個實體/平台傳輸到另一個實體/平台。 | 是的 | 是的 | 是的 | . | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 糾正個人數據錯誤的權利 | 是的 | 不 | 是的 | – | 是的 | 不 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 刪除個人數據的權利 | 是的 | 是的 | 是的 | – | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 選擇退出行為廣告的權利 | 是的 | 是的 | 不 | – | 是的 | 不 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 反對自動分析和決策的權利 | 是的 | 是的 | 不 | – | 是的 | 不 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 行使這些權利的不受歧視的權利 | 是的 | 是的 | 是的 | – | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 選擇不出售個人信息的權利 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 不 | ||||||||||||||||||||||||||||||||||||||||
| 選擇加入或退出處理敏感信息 | 選擇退出 | 選擇退出 | 選擇參加 | – | 選擇參加 | 選擇退出 | 選擇參加 | ||||||||||||||||||||||||||||||||||||||||
| 拒絕請求的上訴權 | 是的 | 不 | 不 | – | 是的 | 不 | 不 | ||||||||||||||||||||||||||||||||||||||||
| 問責制/治理 | |||||||||||||||||||||||||||||||||||||||||||||||
| 數據保護評估 | 是的 | 不 | 是的 | – | 是的 | 不 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 安全 | |||||||||||||||||||||||||||||||||||||||||||||||
| 適當的數據安全性以保護信息 | 是的 | 不 | 是的 | – | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 違規通知 | 是的 | 是的 | 是的 | – | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 歐洲經濟區 (EEA) 以外的數據傳輸 | |||||||||||||||||||||||||||||||||||||||||||||||
| 國際轉移的附加措施 | 是的 | 是的 | 是的 | – | 不 | 不 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 轉讓給第三方 | |||||||||||||||||||||||||||||||||||||||||||||||
| 服務提供商協議中的合同要求 | 是的 | 不 | 是的 | – | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 營銷 | |||||||||||||||||||||||||||||||||||||||||||||||
| 同意 Adtech cookie | 是的 | 不 | 不 | – | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 在直接營銷之前獲得同意 | 是的 | 不 | 是的 | – | 不 | 不 | 是的 | ||||||||||||||||||||||||||||||||||||||||
| 執法機構 | |||||||||||||||||||||||||||||||||||||||||||||||
| 司法部長 | 猶他州商務部 | 司法部長 | – | 司法部長 | 總檢察長,CPPA | DPA | |||||||||||||||||||||||||||||||||||||||||
| 手術日期 | |||||||||||||||||||||||||||||||||||||||||||||||
| 2023 年 7 月 1 日 | 2023 年 12 月 31 日 | 2023 年 7 月 1 日 | 2019 年 10 月 1 日 | 2023 年 1 月 1 日 | 2020 年 1 月 1 日/ 2023 年 1 月 1 日 | 2018 年 5 月 25 日 | |||||||||||||||||||||||||||||||||||||||||
如上表所示,州立法機構如何處理廣泛的隱私保護法似乎正在出現一種模式。
康涅狄格州 SB 6 幾乎逐字採用了科羅拉多州和弗吉尼亞州法規的大部分內容,包括如何定義個人數據、如何處理敏感的個人信息以及何時進行數據保護影響評估。
康涅狄格州 SB 6 的主要規定是什麼?
以下是康涅狄格 SB 6 的一些最重要的規定:
1. 與其他州法律相同的隱私權
康涅狄格州數據隱私法建立了一套個人隱私權,類似於猶他州 UCPA、科羅拉多州 CPA、弗吉尼亞州 VCDPA 和加利福尼亞州 CCPA/CPRA。
這些權利包括查看、更正、複製和刪除個人信息。
消費者還可以選擇不處理他們的個人數據,以用於廣告、數據銷售和檔案建設。
與其他州隱私法一樣,SB 6 包括一個選擇加入系統,用於涉及 13 至 16 歲兒童的數據處理類型。
2. 未經技術批准的隱私請求
在提交和處理隱私權請求的方式方面,康涅狄格州的新法律與科羅拉多州的註冊會計師相比,與弗吉尼亞州的法律更為相似。
康涅狄格州正在加入加利福尼亞州和科羅拉多州,要求企業通過某種技術機制為客戶提供選擇退出定向廣告或銷售的選項。 不過,與加利福尼亞州和科羅拉多州相比,康涅狄格州 SB 6 不需要州監管機構批准技術機制要求。
3. 出售個人數據的廣義定義
根據康涅狄格州 SB 6,“出售個人數據”是指與第三方交換個人數據以換取金錢或其他有價值的對價。
SB 6 將“有價值的對價”與貨幣對價相結合,提供了更全面的銷售定義,類似於加州 CCPA 和科羅拉多州 CPA 的定義。
個人數據出售的定義有幾個例外,包括應消費者要求披露個人數據、公司內部披露,以及在收購、破產、或其他類型的交易。
4. 僅由司法部長執行
康涅狄格州 SB 6 遵循只允許司法部長起訴犯罪的模式。
康涅狄格州的總檢察長與科羅拉多州的總檢察長一樣,必須提供 60 天通知和糾正違規行為的機會。
根據該州的不公平和欺騙性行為和做法法規,違反 SB 6 的行為被視為欺騙性貿易行為,除了實際和懲罰性損害賠償以及律師費和成本外,還可能導致高達 5,000 美元的民事罰款。
5. 增強敏感信息的安全性
與其他幾項隱私法一樣,康涅狄格州 SB 6 為特定類型的信息提供了增強的保護措施。
這些“敏感數據”包括有關個人的種族、民族、宗教信仰、心理或身體健康狀況或診斷、性生活、性取向、公民身份或移民身份的信息; 可用於識別的遺傳和生物特徵數據; 從兒童那裡收集的信息; 和地理位置信息。
敏感數據的處理需要消費者的同意,並且不可避免地會增加對消費者造成傷害的可能性,這就是為什麼需要進行數據隱私影響評估 (DPIA) 的原因。
6. 隱私政策披露
康涅狄格州 SB 6 要求組織更新其隱私政策以包括以下披露:
- 公司處理的個人數據類型;
- 公司為何處理個人數據;
- 消費者行使隱私權的一種或多種安全和值得信賴的方式,包括對有關隱私權請求的決定提出上訴的能力;
- 與第三方交換的個人數據類別(如果有);
- 與之交換個人數據的第三方類型(如果有);
- 客戶可以聯繫公司的有效電子郵件地址;
- 如果公司為定向廣告銷售或處理個人數據,隱私政策必須說明這一點,以及客戶如何選擇退出。
Convert 的隱私合規計劃
隨著更多隱私法的出台,我們可以預期情況會進一步轉變,更多關於數據隱私的新立法,以及更多輪次的評論和修訂。
這些因素都會影響您的軟件的合規性以及隱私政策的措辭方式。
那麼,Convert 如何跟踪所有這些數據並確保我們不會忽略任何事情呢?
1.創建與隱私相關的關鍵字警報
我們首先為適當的條款設置 Google 快訊。 每次通過新立法、提出新法案或決定包含我們任何搜索詞的案件時,我們的系統都會提醒我們。 下面的屏幕截圖說明了其中一些警報。
搜索結果可能並不都是相關的,因此我們必須篩選警報以確保我們只評估相關數據。
每個優秀的研究人員都知道,您不應該依賴一個來源來獲取所有信息。 這就是為什麼 Convert 是多個隱私論壇的成員。 我們還每週檢查國際隱私專業人員協會提供的材料。
例如,IAPP 發布了一份隱私法比較表(見下文),其中包含有關已引入的所有隱私法案的有用信息。
2. 檢查數據保護機構 (DPA) 的網站
雖然跟踪新法案、法律和法規至關重要,但遵循數據保護機構及其解釋同樣重要。 諸如此類的實體可以為您提供有關將要執行什麼以及如何執行的重要信息。
在最近的一篇文章中,我們概述了奧地利數據保護局如何非法使用 Google Analytics。
3.閱讀隱私文章
我們閱讀有關隱私和技術的觀點文章和故事,以及有關隱私的行業觀點和有關公眾對當前隱私保護的看法的信息。
了解行業和廣大公眾對隱私和技術的看法有助於我們評估執法和立法行動的模式,以及我們行業未來的發展方向。
四、更新政策及相關信息
請務必注意,Convert 不僅針對隱私政策,而且針對條款和條件、最終用戶許可協議、免責聲明、合同和實際的 A/B 跟踪腳本,處理上述所有內容。
收集所有信息後,我們決定是否對政策進行修訂,然後進行更新。
5. 通知網站訪問者
隨著越來越多的消費者查看網站是否有隱私政策以及這些政策中規定了哪些隱私慣例,下一步是通知我們網站的訪問者和轉換用戶我們正在進行的更改。 所有新法律都要求隱私政策說明其生效日期或最新修訂日期。 如果您的隱私政策包含此披露,網站用戶只需查看其日期即可輕鬆確定該政策是否已更改。
Convert 的康涅狄格 SB 6 計劃
如果您已經擁有 Convert 帳戶,則無需擔心! 我們將為您跟踪這項新法律以及任何修訂或法規。 如果法律適用於您,您的政策將在法律生效前進行修訂以包括上述披露。
我們在 Convert 密切關注州隱私和網絡安全立法。 有關“如何為 SB 6 做準備”和其他新的美國隱私法的更多信息,請訪問我們的GDPR 路線圖。
