2024 年 7 月 1 日,新的隱私權法在佛羅裡達州、俄勒岡州和德克薩斯州生效。這些州的人們現在對其個人資料擁有更多控制權,這標誌著美國隱私權政策的轉變。以下是您需要了解的有關這些法律的信息,以及以隱私為中心的分析如何幫助您的企業保持合規。
消費者權益是所有三項法律的首要和中心
佛羅裡達州數位權利法案 (FDBR)、俄勒岡州消費者隱私法案 (OCPA) 和德州資料隱私和安全法案 (TDPSA) 授予消費者類似的權利。
存取: 消費者可以存取企業持有的個人資料。
更正: 消費者可以更正不準確的數據。
刪除: 消費者可以要求刪除資料。
選擇退出: 消費者可以選擇不出售其個人資料和定向廣告。
俄勒岡州消費者隱私法 (OCPA)
俄勒岡州消費者隱私法案 (OCPA)於 2023 年 6 月 23 日簽署成為法律,並於 2024 年 7 月 1 日生效,賦予俄勒岡人有關其個人資料的新權利,並對企業規定了義務。從 2025 年 7 月 1 日開始,當局將執行要求進行資料保護評估的規定,企業必須在 2026 年 1 月 1 日之前認可通用選擇退出機制。
- 在俄勒岡州開展業務或向俄勒岡州居民提供產品和服務
- 控製或處理 100,000 名或更多消費者的個人數據,或
- 控製或處理 25,000 名或更多消費者的數據,同時透過出售個人資料獲得超過 25% 的總收入。
豁免包括州和地方政府、金融機構以及依照特定金融法規運作的保險公司等公共機構。該法律還排除 HIPAA 和其他特定聯邦法規涵蓋的受保護健康資訊。
商業義務
資料保護評估: 企業必須對高風險處理活動進行資料保護評估,例如涉及敏感資料或針對兒童的活動。
敏感資料的同意: 企業在收集、處理或 伊朗電話號碼數據 出售敏感個人資料(例如種族或族裔、宗教信仰、健康資訊、生物識別資料和地理位置)之前必須獲得明確同意。
通用選擇退出:從 2025 年 1 月 1 日開始,企業必須承認通用選擇退出機制,例如全球隱私控制,允許消費者選擇退出資料收集和處理活動。
執行
俄勒岡州總檢察長可對每次違規行為處以最高 7,500 美元的罰款。不存在私人訴權。
OCPA 的獨特特徵
OCPA 與其他州隱私法的不同之處在於,要求處理敏感資料和兒童資料時必須獲得明確的選擇同意,並將非營利組織納入其範圍。它還 將所有收到的工作請求保存在處 要求從 2026 年開始建立全球瀏覽器選擇退出機制。
佛羅裡達州數位權利法案 (FDBR)
佛羅裡達州數位權利法案 (FDBR) 於 2023 年6 月6 日成為法律,並於2024 年7 月1 日生效。的個人資料賦予居民對其資訊更大的控制權並對企業施加更嚴格的義務。它適用於以下實體:
- 在佛羅裡達州開展業務或提供針對佛羅裡達州居民的產品或服務,
- 年全球總收入超過 10 億美元,
- 50% 或更多的收入來自數位廣告或 印度數據 經營重要的數位平台,例如應用程式商店或具有虛擬助理的智慧揚聲器。
豁免包括 Gramm-Leach-Bliley 法案涵蓋的政府實體、非營利組織、金融機構以及 HIPAA 涵蓋的實體。
商業義務
資料安全措施: 公司必須實施合理的資料安全措施,以保護個人資料免於未經授權的存取和外洩。
處理敏感資料: 處理敏感資料需要明確同意,其中包括種族或民族、宗教信仰和生物識別資料等資訊。
不歧視: 實體必須確保不歧視行使隱私權的消費者。
數據最小化: 企業必須只收集必要的數據。
供應商管理: 企業必須確保其處理者和供應商也遵守 FDBR 關於個人資料安全處理的規定。
佛羅裡達州總檢察長可對每次違規行為處以最高 5 萬美元的罰款,對故意違規行為的處罰更高。
FDBR 的獨特特性
與加州消費者隱私法 (CCPA)等更廣泛的隱私法不同,FDBR 的特點是針對具有大量數位收入的大型企業,該法適用於基於較低收入門檻和處理資料量的更廣泛企業。 FDBR 也強調與現代數位互動相關的特定消費者權利,反映了線上隱私問題不斷變化的格局。