內華達州隱私退出法第一州：轉換準備得如何？

已發表: 2019-06-13

2019 年 5 月 29 日，內華達州州長簽署了 SB 220 法案。

該法律修訂了內華達州現有的安全和隱私法，要求出於商業目的的網站或在線服務的運營商允許消費者選擇不出售運營商已經收集或將收集的有關消費者的任何涵蓋的個人身份信息。

該法律於 2019 年 10 月 1 日生效，比加州消費者隱私法 (CCPA) 的 2020 年 1 月 1 日生效日期早了幾個月，因此將成為繼 GDPR 之後在美國實施的第一個此類法律歐盟。

SB 220 是對內華達州現行隱私法的重大修訂，總體上對整個行業提出了新的挑戰。從表面上看，該法律的範圍比 CCPA 更窄，包括對“消費者”和“銷售”的更狹隘定義，並為《格拉姆-里奇-比利利法案》（“GLBA”）和根據《健康保險流通與責任法案》（“HIPPA”）涵蓋的實體。

儘管如此，專注於 CCPA 合規的公司現在必須將資源轉移到符合 SB 220 的要求。

以下提供了 CCPA 與內華達州修訂的在線隱私法的高級比較：

SB 220 要求

SB 220 有四個主要要求，但有幾個關鍵定義和排除適用於法律：

“經營者”必須建立一個“指定的請求地址”，消費者可以通過該地址提交“經過驗證的請求”，指示經營者不要出售收集到的關於消費者的“涵蓋信息”。
消費者可以隨時通過指定的請求地址提交經過驗證的請求，指示運營商不要出售運營商收集的有關消費者的涵蓋信息。
收到驗證請求的運營商不得出售其已收集或將收集的有關消費者的任何涵蓋信息。
運營商必須在 60 天內回复消費者的驗證請求。如果 (a) 運營商確定此類延期是合理必要的，運營商可以將響應期延長不超過 30 天； (b) 延長響應期的運營商將此類延長通知消費者。

那麼讓我們看看 Convert 為遵守內華達州隱私法及其要求做了哪些工作？

與 CCPA 的情況一樣，內華達州的消費者將能夠選擇不出售“涵蓋的信息”，其中包括通過網站或在線服務收集的以下任何項目：

許多組織幾乎不了解他們出售的信息及其存在的位置。

在 Convert，我們已經通過 GDPR 數據最小化原則為此做好了準備。我們通過將數百名網站訪問者分組到僅計算訪問者存在的訪問者組中，在我們的跟踪中匿名訪問者 ID。

個人訪客不會存儲在轉換體驗中。無法以任何方式將組計數重新連接到單個訪問者。

GDPR 為我們提供了一個機會，讓我們仔細審視我們在 Convert 中存儲的內容，以及將其保存在日益以隱私為中心的環境中的用例。

內華達州的新法律規定，法律範圍內的組織“應建立一個指定的請求地址，消費者可以通過該地址提交經過驗證的請求。”

在 Convert，我們使用 [email protected] 地址來接收和驗證退出請求，這自 GDPR 以來一直存在。這些請求被匯集到一個中央隊列中，我們的數據保護官會按照 GDPR 和正在執行的其他隱私法的要求及時響應它們。

GDPR 授予組織 30 天的時間來響應消費者的請求，而 CCPA 則更為寬鬆，為 45 天。

內華達州法律將這一時間表進一步延長至 60 天，同時在合理必要的情況下還賦予組織延長 30 天的權利。這三部法律有不同的延期制度，並要求運營商在不同的時間窗口內通知消費者。

Convert 已為 GDPR 的 30 天響應做好了準備，到目前為止，我們已經成功滿足了我們的所有要求，從而可以輕鬆地在強制性的 60 天期限內響應內華達州的要求。

與 GDPR 和 CCPA 的情況一樣，組織必須在響應請求之前驗證消費者的身份。

當消費者提交退出請求時，Convert 還通過只有消費者知道的安全附件提交 ID 來促進這種驗證。

儘管其他州的隱私立法已經停滯或失敗，但內華達州通過 SB-220 提醒人們，在不久的將來，在數字世界中保持對法律和監管義務的遵守仍將是一項挑戰。

我們正在關注其他幾個州（俄勒岡州、德克薩斯州、緬因州、猶他州）仍在考慮某種形式的受 CCPA 啟發的立法，並將準備在它們都可以發揮作用的環境中運作。

Convert 可以很好地處理我們所有的數據處理操作以及向其傳輸數據的第三方。

有關如何為 CCPA 和潛在的其他新美國隱私法做準備的更多信息，請參閱我們的 GDPR 路線圖。