概述
互联网和新技术不断提出有关隐私的新政策问题,州立法者正在继续解决在线活动引起的一系列隐私问题。
本网页记录了有限领域的国家隐私法:全面的消费者数据隐私、网站隐私政策、在线图书下载和读者浏览信息的隐私、互联网服务提供商持有的个人信息、针对未成年人的某些产品的在线营销以及员工电子邮件监控。其他类型的州法律涉及隐私,也可以适用于在线活动。
请注意:NCSL为州议员及其工作人员提供服务。本网站仅提供一般比较信息,不应依赖或解释为法律建议。此外,国家空间法委员会不支持或主张国家立法、法律或政策。以下提供的任何外部资源仅供参考。
消费者数据隐私立法
- 2022年消费者数据隐私立法
- 2021消费者数据隐私立法
- 2020年消费者数据隐私立法
- 2019年消费者数据隐私立法
- 2022 Consumer Data Privacy Legislation
- 2021 Consumer Data Privacy Legislation
- 2020 Consumer Data Privacy Legislation
- 2019 Consumer Data Privacy Legislation
全面的消费者数据隐私法
加利福尼亚、科罗拉多、康涅狄格、犹他和弗吉尼亚五个州颁布了全面的消费者数据隐私法。这些法律有几个共同的规定,例如访问和删除个人信息的权利,以及选择不出售个人信息等。其他条款要求商业网站或在线服务发布隐私政策,描述收集的个人信息类型、与第三方共享的信息以及消费者如何请求更改某些信息。
加利福尼亚
Cal. Civ. Code §§ 1798.100 et seq.(2018年加州消费者隐私法(CCPA))
允许消费者有权要求企业披露企业收集的有关消费者的个人信息的类别和具体部分,以及该信息的来源和收集信息的业务目的。规定消费者可以要求企业删除从消费者处收集的个人信息。规定消费者有权选择退出企业出售其个人信息,企业不得歧视选择退出的消费者。适用于加州居民。(A.B.375,自2020年1月1日起生效。由2018年S.B.1121修订。)
相关CCPA信息:
- CCPA Regulations, California Office of the Attorney General
- California Attorney General, Background on the CCPA and the Rulemaking Process
- Standardized Regulatory Impact Assessment: California Consumer Privacy Act of 2018 Regulations, prepared for California Attorney General's Office, Aug. 2019
加州消费者隐私权法(CPRA)
提案24于2020年11月批准,于2023年1月1日生效
扩展消费者数据隐私法。允许消费者:(1)阻止企业共享个人信息;(2) 纠正不准确的个人信息;(3)限制企业使用“敏感个人信息”,包括精确的地理位置;比赛种族渊源宗教遗传数据;私人通信;性取向;以及指定的健康信息。成立加利福尼亚隐私保护局,以进一步执行和实施消费者隐私法,并处以罚款。改变企业必须遵守法律的标准。禁止企业将个人信息保留超过合理需要的时间。将涉及16岁以下消费者的违法行为的最高处罚提高两倍。根据规定,授权对盗窃消费者登录信息的民事处罚。(2021 A.B.1490修订)
科罗拉多州
《科罗拉多州修订统计》第6-1-1301条及以下内容。(2021 S.B.190)
在《科罗拉多州消费者保护法》中创建了《科罗拉多州隐私法》。解决消费者的隐私权、公司保护个人数据的责任,并授权总检察长和地区检察官对侵权行为采取执法行动。定义与涵盖的业务、消费者和数据相关的各种术语,包括将术语“控制器”定义为确定如何使用和处理数据的个人或一群人。生效日期为2023年7月1日。
康涅狄格州
2022 S.B.6(个人数据隐私和在线监控)
《康涅狄格州法案》确立了控制和处理个人数据的框架;为数据控制器和处理器提供责任和隐私保护标准;并授予消费者访问、更正、删除和获取个人数据副本的权利,以及选择不处理个人数据的权利。生效日期为2023年7月1日。
犹他州
2022年S.B.227(《犹他州消费者隐私法》)
犹他州的《消费者隐私法》规定消费者有权了解企业收集的个人数据、企业如何使用个人数据以及企业是否出售个人数据。它还规定,消费者可以访问和删除企业维护的个人数据,并选择不收集和使用个人数据。它还要求特定企业保护个人数据,提供关于如何使用消费者个人数据的明确信息,并接受和遵守消费者访问、删除或停止销售个人数据的请求。法律授权总检察长采取执法行动并实施处罚。生效日期为2023年12月31日。
弗吉尼亚州
2021 H.B.2307/2021 S.B.1392(消费者数据保护法)
建立联邦控制和处理个人数据的框架。该法律适用于在英联邦开展业务的所有人,且(i)控制或处理至少100000名消费者的个人数据,或(ii)从个人数据销售中获得超过50%的总收入,并控制或处理最少25000名消费者的私人数据。该法律概述了数据控制器和处理器的责任和隐私保护标准。该法案不适用于州或地方政府实体,并包含受联邦法律管辖的某些类型的数据和信息的例外情况。法律授予消费者访问、更正、删除、获取个人数据副本的权利,以及出于定向广告的目的选择不处理个人数据的权利。法律规定,总检察长拥有强制执行违法行为的专属权力,而消费者隐私基金正是为了支持这一努力而设立的。该法律指示技术和科学联合委员会成立一个工作组,审查该法案的规定及其实施相关问题,并在2021 11月1日前报告调查结果。生效日期为2023年1月1日。
其他关键的消费者数据隐私法
加利福尼亚
加州公民。代码§§1798.99.80及其后。(数据代理注册)
要求数据代理向总检察长注册并提供某些信息。将数据代理定义为故意收集并向第三方出售与该业务没有直接关系的消费者的个人信息的业务,但规定的例外情况除外。要求总检察长在其互联网网站上提供数据代理提供的信息。未注册的数据代理将在总检察长提起的诉讼中受到禁令和民事处罚、费用和成本责任的约束,并按照规定将任何追偿存入消费者隐私基金。该法案将对立法调查结果和声明以及立法意图进行陈述。
内华达州
NRS§603A。300(要求内华达州的网站允许用户选择不将其个人数据出售给第三方。)
要求运营商(例如,为商业目的拥有或运营互联网网站或在线服务的人,或从内华达州居民处收集和维护特定信息的人)建立指定的请求地址,消费者可以通过该地址提交经验证的请求,指示运营商不出售收集的有关消费者的涵盖信息。术语“销售”的定义是指运营商将涵盖信息交换给一个人,以便该人向其他人许可或出售涵盖信息。法律还禁止收到此类请求的运营商出售收集的有关消费者的任何涵盖信息。总检察长可就违反行为寻求禁令或民事处罚。
内华达州2021 S.B.260,第292章
涉及互联网隐私;豁免在本州收集的有关消费者的某些人员和信息,使其不受对运营商、数据代理和涵盖信息的要求的约束;禁止数据代理出售收集的有关该州消费者的某些信息,如果消费者有此指示;修订有关销售收集的有关该州消费者的某些信息的规定。
佛蒙特州
9 V.S.A§2446-2447(个人信息保护:数据代理)
要求数据代理——有意收集和许可与之没有直接关系的消费者个人信息的企业,每年向国务卿注册。数据代理还必须向消费者提供特定信息,包括数据代理的名称、电子邮件和互联网地址;数据代理是否允许消费者选择退出个人信息收集或数据销售;用于请求选择退出的方法;选择退出适用的活动或销售;以及数据代理是否允许消费者授权第三方代表消费者执行选择退出。除其他披露外,还必须披露一份声明,说明消费者不得选择退出的数据收集、数据库或销售活动,以及一份关于数据代理是否实施买方认证流程的声明。数据代理还必须实施并维护书面信息安全计划,其中包含管理、技术和物理保护措施,以保护个人身份信息。
互联网服务提供商(ISP)持有的个人信息的隐私
另请参见2017-2020年与互联网服务提供商相关的隐私立法
内华达州和明尼苏达州特别要求互联网服务提供商对其客户的某些信息保密,除非客户允许披露这些信息。明尼苏达州还要求ISP在披露用户的上网习惯和访问过的网站信息之前,必须获得用户的许可。缅因州禁止使用、披露、出售或允许访问客户个人信息,除非客户明确同意。缅因州还禁止供应商拒绝为客户服务、向客户收取罚款或提供折扣。
- Maine - 35-A MRSA § 9301 (effective 7-1-20)
- Minnesota - Minn. Stat. §§ 325M.01 to .09
- Nevada - NRS § 205.498
儿童在线隐私
加州
加州巴士公司教授代码§§22580-22582
《加利福尼亚州未成年人在数字世界中的隐私权法案》(也称为“橡皮擦”法案)允许未成年人删除或请求并获取互联网网站、在线服务、在线应用程序或移动应用程序上发布的内容或信息。它还禁止面向未成年人的网站或在线服务的运营商向未成年人营销或广告法律禁止未成年人购买的特定产品或服务。法律还禁止基于未成年人的个人信息或故意使用、披露、编辑或允许第三方这样做来营销或宣传某些产品。
特拉华州
删除代码§1204C
禁止针对儿童的网站、在线或云计算服务、在线应用程序或移动应用程序的运营商在其互联网服务上营销或广告不适合儿童观看的特定产品或服务,如酒精、烟草、枪支或色情制品。当针对儿童的互联网服务的营销或广告由广告服务提供时,互联网服务的运营商需要向广告服务提供通知,此后,禁止营销和广告特定产品或服务的规定直接适用于广告服务。法律还禁止实际知道儿童正在使用互联网服务的互联网服务运营商使用儿童的个人身份信息向儿童推销或宣传产品或服务,并且如果已知儿童的个人识别信息将用于向儿童营销或广告这些产品或服务,则还禁止披露儿童的个人标识信息。
电子阅读器隐私
亚利桑那州
《亚利桑那州修订统计》第41-151.22条
规定由公共资金支持的图书馆或图书馆系统不允许披露任何记录或其他信息,包括电子书,这些记录或信息表明图书馆服务用户请求或获得特定材料或服务,或以其他方式使用图书馆。
加利福尼亚
加州政府法规§§6254、6267和6276.28
保护图书馆用户的使用记录,例如识别用户借阅信息或使用图书馆信息资源的书面记录或电子交易,包括但不限于数据库搜索记录、借阅记录、类别记录以及图书馆资源信息请求或查询的任何其他个人可识别的使用。
加州民法第1798.90条
《加州读者隐私法》保护加州人浏览、阅读或从电子服务和在线书商处购买的书籍信息,这些书商可能有权获得有关读者的详细信息,如浏览的特定页面。在此类企业可以披露其用户与书籍使用相关的个人信息之前,需要搜查令、法院命令或用户的肯定同意,但特定的例外情况除外,包括死亡或重伤的迫在眉睫的危险。
特拉华州
德尔,这是山雀的密码。第6条第1206C款
通过禁止向公众提供图书服务的商业实体向执法实体、政府实体或其他人披露有关图书服务用户的个人信息,保护数字图书服务和技术用户的个人资料,特定情况除外。允许在存在需要披露图书服务信息的死亡或严重身体伤害的迫在眉睫的危险时,立即向执法实体披露用户的图书服务信息,并在执法实体要求时,要求图书服务提供商将用户的图书服务信息保存指定时间段。要求图书服务提供商编制并在线发布其个人信息披露的年度报告,除非获得豁免。司法部消费者保护股有权调查和起诉违反行为。
密苏里州
Mo.Rev.Stat.§§182.815、182.817
定义“电子书”和“数字资源或材料”,并将其添加到图书馆用户可能使用、借阅或请求的“图书馆材料”定义中指定的项目中。规定由图书馆签订的接收、传输、维护或存储图书馆记录的任何第三方不得向任何人发布或披露图书馆记录的全部或部分,但记录或法院命令中确定的人员除外。
网站或在线服务的隐私政策和做法
加利福尼亚
加州巴士公司教授代码§22575
要求商业网站或在线服务的运营商在其隐私政策中披露其如何响应网络浏览器的“请勿跟踪”信号或类似机制,使消费者能够选择跨网站或服务在线跟踪其个人信息。它还要求运营商披露第三方是否正在或可能正在运营商的网站或服务上进行此类跟踪。
加州巴士公司教授代码§22575-22578(CalOPPA)
加利福尼亚州的《在线隐私保护法》要求运营商(定义为通过互联网网站或在线服务为商业目的从加利福尼亚州居民收集个人身份信息的个人或实体)在其网站或在线业务(可能包括移动应用)上发布明显的隐私政策,并遵守该政策。除其他外,法律要求隐私政策确定运营商收集的关于使用或访问其网站或在线服务的个人消费者以及运营商可能与之共享信息的第三方的个人可识别信息类别。
加州公民。法典§§1798.130(5)、1798.135(a)(2)(a)
要求某些公司在其互联网网站上披露在线隐私政策或政策中的特定信息,如果该公司有在线隐私政策,或在加利福尼亚州特定的消费者隐私权描述中,或如果该公司没有维护这些政策,则至少每12个月更新一次该信息。要求某些公司根据第1798.120节的规定,在在线隐私政策中包括对消费者权利的描述,以及指向“请勿出售我的个人信息”互联网网页的单独链接。
校准代码§99122
要求私立非营利或营利高等教育机构在其互联网网站上发布社交媒体隐私政策。
康涅狄格州
康涅狄格州总统计第42-471条
要求在业务过程中收集社会保险号码的任何人制定隐私保护政策。该政策必须通过在网页上发布“公开展示”,并且该政策必须(1)保护社会保障号码的机密性,(2)禁止非法披露社会保障号码,以及(3)限制获取社会保障号码。
特拉华州
德尔,这是山雀的密码。6§205C
要求商业互联网网站、在线或云计算服务、在线应用程序或移动应用程序的运营商通过互联网收集居住在特拉华州的个人用户的个人可识别信息,这些用户使用或访问运营商的商业互联网网站,在线或云运算服务,在线应用程序,以使其隐私政策在其互联网网站、在线或云计算服务、在线应用程序或移动应用程序上显著可用。只有当运营商在收到违规通知后的30天内未能显著提供其隐私政策时,运营商才应违反本小节。指定策略的要求。
内华达州
NRS§603A.340
要求收集个人识别信息的互联网网站或在线服务的运营商确定通过其互联网网站或网上服务收集的关于使用或访问网站或服务的消费者的信息类别,以及运营商可能与之共享此类信息的第三方类别。为使用或访问互联网网站或在线服务以审查和请求更改通过互联网网站或网上服务收集的任何信息的个人消费者提供流程说明(如果存在此类流程)。
俄勒冈
ORS§646.607
如果某人在与其业务相关的网站上或在与消费者交易相关的消费者协议中发布声明或陈述,声称此人将以特定方式或出于特定目的使用、披露、收集、维护、删除或处置其请求的信息,则该行为为非法交易行为,要求或从消费者处接收信息,且该人使用、披露、收集、维护、删除或处置信息的方式与该人的声明或陈述严重不一致。
与个人信息披露或共享相关的其他法律
此外,加利福尼亚州和犹他州的法律虽然没有专门针对在线企业,但要求所有非金融企业以书面或电子邮件形式向客户披露企业与第三方共享或出售给第三方的个人信息类型,以进行直接营销或获得补偿。根据加州法律,企业可以发布隐私声明,让客户有机会选择不免费共享信息。
加州民法§§1798.83至.84(“发光法”)
犹他州法典§§13-37-201至-203
隐私政策中的虚假和误导性陈述
涵盖在在线隐私政策中明确提及虚假或误导性陈述的法律。所有50个州都有不公平和欺诈行为(UDAP)法律,这些法律也适用于在线发布的信息。
内布拉斯加州
《内布拉斯加州统计》第87-302(15)条
内布拉斯加州禁止在互联网上发布或以其他方式分发或发布的隐私政策中,就公众提交的个人信息的使用故意做出虚假或误导性声明。
俄勒冈
ORS§646.607
俄勒冈州法律将以下行为归类为非法贸易行为,如果一个人在其业务、职业或职业过程中:
"…(12)在与该人的业务相关的网站上,或在与消费者交易相关的消费者协议中,发布该人声称该人将以特定方式或出于特定目的使用、披露、收集、维护、删除或处置该人要求的信息的事实陈述或陈述,要求或从消费者处接收信息,而该人使用、披露、收集、维护、删除或处置信息的方式与该人的声明或陈述存在实质性不一致。”
宾夕法尼亚
18 Pa.C.S.A.§4107(A)(10)
宾夕法尼亚州在网站上发布的隐私政策中或以其他方式发布的欺诈性或欺诈性商业行为法规中包含虚假和误导性陈述。
监控员工电子邮件通信、互联网访问或位置信息的通知
康涅狄格州、特拉华州和纽约州要求雇主在监控电子邮件通信或互联网接入之前向员工发出通知。科罗拉多州和田纳西州要求各州和其他公共实体采取与监控公共雇员电子邮件相关的政策。夏威夷禁止雇主要求员工将移动应用程序下载到员工的个人通信设备,以跟踪员工的位置或披露员工的个人信息。
康涅狄格州《Gen.Stat.§31-48d》
从事任何类型电子监控的雇主必须事先书面通知所有员工,告知他们可能发生的监控类型。
如果雇主有合理理由相信雇员从事非法行为,并且电子监控可能提供此类不当行为的证据,则雇主可以在不事先发出书面通知的情况下进行监控。
规定第一次犯罪的民事处罚为500美元,第二次犯罪为1000美元,第三次及以后每次犯罪为3000美元。
特拉华州法典§19-7-705
禁止雇主监控或截取雇员的电子邮件或互联网访问或使用,除非雇主首先向雇员发出一次性书面或电子通知。
为仅为计算机系统维护和/或保护目的执行的过程以及法院命令的行动提供例外情况。
规定每违反一项民事处罚为100美元。
夏威夷2021 H.B.1253
在某些豁免情况下,禁止雇主:
(1) 要求员工或潜在员工将移动应用程序下载到员工的个人通信设备,以跟踪员工的位置或披露员工的个人信息,作为雇佣或继续雇佣的条件;或
(2) 终止、解雇或以其他方式歧视员工:(A)拒绝下载或拒绝同意下载到员工的个人通信设备,该移动应用程序可跟踪员工的位置或披露员工的个人信息;或(B)反对本法禁止的任何行为,或提出投诉、作证或协助与本法禁止非法行为有关的任何诉讼。
纽约公民社会。Rts代码§52-C*2(2022年5月7日生效)
要求通过任何电子设备或系统监控或截获员工电话对话或传输、电子邮件或传输、互联网访问或使用或由员工使用的私营部门雇主在雇佣时向所有受电子监控的员工发出事先书面通知。
规定由总检察长执行。被发现违反规定的雇主,第一次违反最高民事处罚为500美元,第二次违反最高刑事处罚为1000美元,第三次及以后每次违反最高民事罚款为3000美元。
科罗拉多州《修订统计》第24-72-204.5节
要求运营或维护电子邮件通信系统的国家或其任何机构、机构或政治分支机构采取书面政策,对电子邮件通信进行任何监控,并在何种情况下进行监控。
该政策应包括一项声明,即根据《公共记录法》,员工以电子邮件形式进行的通信可以是公共记录,并且可以根据本部分接受公共检查。
田纳西州代码§10-7-512
要求运营或维护电子邮件通信系统的国家或其任何机构、机构或政治分支机构采取书面政策,对电子邮件通信进行任何监控,并在何种情况下进行监控。
该政策应包括一项声明,即根据《公共记录法》,员工以电子邮件形式进行的通信可以是公共记录,并且可以根据本部分接受公共检查。
Privacy Policies: Government Websites
At least 16 states require government Web sites or state portals to establish privacy policies and procedures, or to incorporate machine-readable privacy policies into their Web sites.
| State | Statute |
|---|---|
| Arizona | Ariz. Rev. Stat. Ann. § 41-4151, 41-4152 |
| Arkansas | Ark. Code § 25-1-114 |
| California | Cal. Govt. Code § 11019.9 |
| Colorado | Colo. Rev. Stat. § 24-72-501, 24-72-502 |
| Delaware | Del. Code tit. 29 § 9017C et seq. |
| Iowa | Iowa Code § 22.11 |
| Illinois | Ill. Rev. Stat. ch. 5 § 177/15 |
| Maine | Me. Rev. Stat. tit. 1 § 14-A § 541- 542 |
| Maryland | Md. Gen. Prov. Code § 4-501 |
| Minnesota | Minn. Stat. § 13.15 |
| Montana | Mont. Code Ann. § 2-17-550 to - 553 |
| New York | N.Y. State Tech. Law § 201 to 207 |
| South Carolina | S.C. Code Ann. § 30-2-40 |
| Texas | Tex. Govt. Code Ann. § 10-2054.126 |
| Utah | Utah Code Ann. § 63D-2-101, -102, -103, -104 |
| Virginia | Va. Code § 2.2-3800, - 3801, -3802, -3803 |
Additional Resources
- 登录 发表评论