即将制定的法律为公民数据提供了进一步的治理
去年带来了许多值得注意的消费者隐私开发项目,这些发展极大地影响了收集和使用个人数据作为其运营的一部分的企业,包括制定了弗吉尼亚州和科罗拉多州的两项新的消费者隐私法规。
就在最近,犹他州成为制定全面消费者的第四个州隐私法律,《犹他州消费者隐私法》(UCPA),该法将于2023年12月31日生效。
虽然UCPA包含许多类似于2020年《加利福尼亚隐私权法》(CPRA),弗吉尼亚州消费者数据保护法(VCDPA)和Colorado Privacy Act(CPA)的规定,犹他州法律也偏离了这些消费者隐私法规在几个重要方面。
但是,尽管为商业目的而利用了无数的新的和创新的个人数据,但相关的法律风险也在增加我们随着立法者寻求加强对企业数据收集和处理实践的要求。
范围和适用性
UCPA适用于任何实体;在犹他州开展业务或生产针对犹他州消费者的产品或服务;年收入至少为2500万美元;并符合以下一个或两个标准 - 在日历年中,控制或处理个人资料100,000或更多的消费者;或从销售个人数据和控制或处理25,000或更多消费者的个人数据中获得该实体总收入的50%以上。
Importantly, the UCPA’s requirement that businesses meet both a financial threshold and a data processing threshold presents a much higher bar to fall under the scope of the UCPA versus the CPRA, VCDPA, and CPA – and will likely remove some companies that are subject to the California, Virginia, and Colorado laws from the scope of Utah’s recently-enacted statute.
UCPA将处理个人数据的实体分类为“控制器”或“处理器”,并要求每个实体要求不同的要求。控制器是那些确定处理个人数据的目的和手段的实体,而处理器只是代表控制器处理个人数据。
'个人资料'
在UCPA下,个人数据与与已确定的个人或可识别的个人链接或合理链接的任何信息有关。
UCPA以类似于CPRA,VCDPA和CPA的方式类似,将某些类型的数据分类为“敏感数据”,这些数据符合不适用于其他类型的个人数据的其他要求和限制。
根据法律,敏感数据包括:数据揭示了种族或族裔,宗教信仰,性取向,公民身份或移民身份;有关病史,精神或身体健康状况或医疗或诊断的信息;遗传或生物识别数据;和特定的地理位置数据。
UCPA为消费者提供了四个基本权利:
使用权:确认控制器是否正在处理消费者的个人数据并访问此类数据的权利。
删除:删除消费者提供给控制器的消费者个人数据的权利。
可移植性:获取消费者个人数据副本的权利,该副本先前以便携式且易于可用的格式提供给控制器,该格式使消费者可以将数据传输到另一个控制器的情况下,而不会障碍。
选择退出:出于目标广告的目的和个人数据的“销售”(UCPA定义为个人数据的交换),选择退出个人数据处理的权利是由控制者向第三方考虑的货币考虑)。
但是,重要的是,与CPRA,VCDPA和CPA不同,UCPA没有为消费者提供纠正不准确的个人数据的权利。
UCPA要求控制者遵守消费者权利请求,包括建立一种或多种手段,以供消费者提交要求行使其消费者权利的请求。它并不要求控制者实施内部呼吁流程,以使消费者挑战拒绝对其请求采取行动。
隐私通知
也类似于CPRA,VCDPA和CPA,UCPA要求控制器向包含以下信息的消费者提供通知:
控制器处理的个人数据类别
处理数据类别的目的
消费者如何行使自己的权利
控制器与第三方共享的个人数据类别,如果有的话
以及控制者共享个人数据的第三方类别(如果有)。
你也许也喜欢印度的个人数据隐私法案:这对个人和企业意味着什么?
在处理任何敏感数据之前,控制器必须首先向消费者提供明确的通知和选择退出处理的机会。
控制者必须建立,实施和维护合理的数据安全实践,旨在保护个人数据的机密性和完整性,并减少对与个人数据处理有关的消费者的合理可预见风险。
UCPA还规定了个人数据处理器的一系列要求,其中包括与控制者签订书面合同,这些合同列出了处理器所限制的指示,以及协助控制者履行其UCPA义务,包括与义务有关的义务处理个人数据和任何必要的数据泄露通知的安全性。
责任和执法
UCPA不为个人提供私人行动权,要求个人针对涉嫌违反法律的实体提起诉讼。相反,执法机构仅在犹他州总检察长中安息。
违反UCPA的公司可能会受到每次违规最高7,500美元的民事罚款。但是,重要的是,UCPA包括一项治疗条款,该规定为企业提供了机会,如果在收到涉嫌违规通知后的30天内纠正违规行为,则可以避免执行诉讼。
采取行动
Although the UCPA does not go into effect until the end of 2023, companies should add UCPA compliance to their 2023 consumer privacy preparedness plans (which should already encompass compliance with the CPRA, VCDPA, and CPA) to ensure full compliance by the UCPA’s effective date of December 31, 2023.
特别是,公司应立即实施以下操作步骤(如果尚未执行此操作):
完成数据映射和库存练习
实施公共可用的隐私政策
在收集个人数据时或之前向所有个人提供书面通知
设计和实施响应消费者请求的流程和程序
实施数据安全指标以保护和保护个人数据
并咨询经验丰富的隐私顾问,以确保遵守当今不断发展的隐私法律格局。
