猶他州:另一個通過數據隱私法的州,UCPA
已發表: 2022-05-31
2022 年 3 月,猶他州州長 Spencer J. Cox 簽署了參議院法案 (SB) 227,也稱為猶他州消費者隱私法案 (UCPA) 。
UCPA 是一項跨行業隱私法,賦予猶他州消費者對其個人信息的重要隱私權。 與已識別或可識別個人相關的任何數據都稱為個人數據。 其他合規要求適用於更精確定義的“敏感數據”類別。 該法律將於 2023 年 12 月 31 日生效。
UCPA 與加利福尼亞州、弗吉尼亞州、內華達州和科羅拉多州的消費者隱私法規相似但不完全相同。 它深受弗吉尼亞消費者數據保護法 (VCDPA) 的啟發,一些類似 VCDPA 的元素也可以在科羅拉多州隱私法中找到。
乍一看,UCPA 的某些功能與加州消費者隱私法 (CCPA) 相似。 然而,在實踐中,它是一種比其前輩更溫和、對企業更友好的消費者隱私方法。
UCPA 與其他州隱私法有何不同
這是 UCPA 條款與
- 科羅拉多州隱私法 (CPA)
- 內華達州隱私法 (SB200)
- VCDPA
- CCPA(經加州隱私權法案 (CPRA) 修訂)
- 通用數據保護條例 (GDPR)
| 關鍵條款 | 猶他州 UCPA | 科羅拉多州註冊會計師 | 內華達州 SB220 | 弗吉尼亞 CDPA | 加利福尼亞 CCPA + CPRA | 歐洲 GDPR | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 處理能力 | |||||||||||||||||||||||||||||||||||||||||
| 數據最小化 | 是的 | 是的 | – | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||||||
| 允許的目的 | 是的 | 是的 | – | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||||||
| 個人權利 | |||||||||||||||||||||||||||||||||||||||||
| 接收處理活動通知的權利 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||||||
| 訪問個人數據的權利 | 是的 | 是的 | – | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||||||
| 數據可移植性的權利。 數據應該以易於使用的格式提供,以便從一個實體/平台傳輸到另一個實體/平台。 | 是的 | 是的 | . | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||||||
| 糾正個人數據錯誤的權利 | 不 | 是的 | – | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||||||
| 刪除個人數據的權利 | 是的 | 是的 | – | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||||||
| 選擇退出行為廣告的權利 | 是的 | 不 | – | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||||||
| 反對自動分析和決策的權利 | 是的 | 不 | – | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||||||
| 行使這些權利的不受歧視的權利 | 是的 | 是的 | – | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||||||
| 選擇不出售個人信息的權利 | 是的 | 是的 | 是的 | 是的 | 是的 | 不 | |||||||||||||||||||||||||||||||||||
| 選擇加入或退出處理敏感信息 | 選擇退出 | 選擇參加 | – | 選擇參加 | 選擇退出 | 選擇參加 | |||||||||||||||||||||||||||||||||||
| 拒絕請求的上訴權 | 不 | 不 | – | 是的 | 不 | 不 | |||||||||||||||||||||||||||||||||||
| 問責制/治理 | |||||||||||||||||||||||||||||||||||||||||
| 數據保護評估 | 不 | 是的 | – | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||||||
| 安全 | |||||||||||||||||||||||||||||||||||||||||
| 適當的數據安全性以保護信息 | 不 | 是的 | – | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||||||
| 違規通知 | 是的 | 是的 | – | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||||||
| 歐洲經濟區 (EEA) 以外的數據傳輸 | |||||||||||||||||||||||||||||||||||||||||
| 國際轉移的附加措施 | 是的 | 是的 | – | 不 | 不 | 是的 | |||||||||||||||||||||||||||||||||||
| 轉讓給第三方 | |||||||||||||||||||||||||||||||||||||||||
| 服務提供商協議中的合同要求 | 不 | 是的 | – | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||||||
| 營銷 | |||||||||||||||||||||||||||||||||||||||||
| 同意 Adtech cookie | 不 | 不 | – | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||||||
| 在直接營銷之前獲得同意 | 不 | 是的 | – | 不 | 不 | 是的 | |||||||||||||||||||||||||||||||||||
| 執法機構 | |||||||||||||||||||||||||||||||||||||||||
| 猶他州商務部 | 司法部長 | – | 司法部長 | 總檢察長,CPPA | DPA | ||||||||||||||||||||||||||||||||||||
| 手術日期 | |||||||||||||||||||||||||||||||||||||||||
| 2023 年 12 月 31 日 | 2023 年 7 月 1 日 | 2019 年 10 月 1 日 | 2023 年 1 月 1 日 | 2020 年 1 月 1 日/ 2023 年 1 月 1 日 | 2018 年 5 月 25 日 | ||||||||||||||||||||||||||||||||||||
從上表中可以明顯看出,遵守 CCPA、CPRA、VCDPA 和 CPA 的公司很可能會輕鬆滿足 UCPA 的標準。
UCPA 使用 GDPR 的“控制者”和“處理者”命名法,並且不為消費者提供針對涉嫌違規行為的私人訴訟權。 與所有其他政府法規一樣,它使消費者能夠控制自己的個人信息。
然而,它也做出了一些重要的區別。
例如,UCPA不賦予消費者糾正其個人數據錯誤的權利,也不要求控制者對特定處理操作進行數據保護影響評估 (DPIA)。
UCPA 要求涵蓋的企業在處理其敏感數據之前向消費者提供通知和選擇退出的機會。
這與 VCDPA 和 CPA 形成鮮明對比,要求選擇加入權限來收集和處理敏感數據。 此外,消費者投訴不是直接提交給總檢察長 (AG),而是通過猶他州商務部提交,後者可以將問題提交給總檢察長。
UCPA的主要條款
以下是 UCPA 的一些關鍵條款。
個人數據和敏感數據的廣義定義
根據 UCPA,個人數據是與已識別或可識別的個人相關或可以合理鏈接到的任何信息。 它將特定類型的數據歸類為“敏感數據”,這受到不適用於其他類型個人數據的附加標準和限制的約束。
減少數據主體權利
根據 UCPA,消費者享有四項基本權利:
- 訪問權:了解控制者是否正在處理消費者的個人數據並有權訪問該數據的權利。
- 刪除權:消費者有權刪除向控制者提供的個人數據。
- 可攜帶權:以可移植且易於訪問的格式獲取先前提供給控制者的消費者個人數據副本的權利,允許消費者不受限制地將數據傳輸到另一個控制者。
- 選擇退出權:拒絕為“定向廣告”和“銷售”處理個人數據的權利。
儘管擁有所有這些重要權利,但 UCPA 與其他州法律不同,它並沒有為消費者提供糾正不准確個人信息的能力。
可訪問且清晰的隱私聲明
UCPA 還要求控制者向消費者提供至少應包含以下信息的通知:
- 控制者處理的個人數據類型
- 處理不同數據類別的目的
- 客戶如何行使其權利
- 控制者(如果有)與第三方共享的個人數據類型
- 控制者與之交換個人數據的第三方(如果適用)
更輕鬆的數據處理協議 (DPA)
UCPA 包括較輕的數據處理協議,並要求控制者與處理者合作。 該處理器管理和處理控制器的個人數據。
控制者和處理者訂立的條款應具體說明:
- 協議的性質和目的
- 處理時間
- 數據主體類型
- 各方的權利和義務
加工商還應要求任何分包商保密,並僅通過書面合同委託他們。 如果分包商代表處理者處理數據,則本合同將其視為處理者。
與其他隱私法不同,UCPA 不需要數據處理條款來審計處理者或允許控制者選擇不分包處理者。
熟悉的安全要求
UCPA 有一個關於安全的部分。 它規定控制者採用適當的管理、技術和物理數據安全措施來保護個人數據,並根據處理的規模、範圍、數量和性質消除對消費者造成傷害的可預見風險。
Convert 的 UCPA 合規性清單
在猶他州運營的組織應以與其他州法律相同的方式考慮 UCPA。 但是,在合規性方面檢查每個框可能具有挑戰性。
為了幫助組織了解 UCPA 的複雜性,我們編制了這份方便的合規檢查表。
以下是您需要牢記的:
- 確保您的業務在 UCPA 範圍內。 組織必須評估他們是否符合 UCPA 的管轄門檻,包括財務和數據量門檻。
- 重新考慮您的隱私政策。 修改您的隱私政策以反映個人數據的處理、傳達額外的消費者權利以及確定消費者行使這些權利的方式。
- 使用合理的數據安全措施來保護您的數據。 檢查您的網絡安全政策、實踐和控制,以確保它們符合行業標準。
- 允許訪問者選擇不處理他們的個人數據(如果適用)。 為猶他州居民提供一種方式,讓他們在公司出售或使用他們的個人信息進行定向廣告時行使選擇退出的權利。
- 實施敏感數據收集機制。 企業不得在未向消費者發出警告和選擇退出的機會的情況下收集敏感數據。 為遵守這一義務,公司應實施適當的退出系統。
- 及時接收並回复消費者的詢問。 制定接受、跟踪、確認和滿足消費者請求以行使其 UCPA 訪問和擦除權的程序。
轉換尊重所有隱私法(歐盟 + 美國)
應以與其他州法律相同的方式處理對猶他州法律的遵守,為清楚起見,對語言進行細微更改以使其僅適用於猶他州居民。 UCPA 可能要求選擇退出消息的不同地理定位,這必須明確說明。
Convert 密切關注州隱私和網絡安全立法。 有關“如何為 UCPA 做準備”和其他新的美國隱私法的更多信息,請參閱我們的GDPR 路線圖。
