美国数字隐私法

已发表: 2023-04-25

美国打个喷嚏,全世界就感冒。 这种说法在数字技术领域尤其如此。 毕竟,美国是许多世界领先和最成功的在线公司的所在地(尽管有些人可能会争辩说中国正在紧跟其后)。 然而,我们的欧洲表亲带头的一个领域是数字隐私。

GDPR 改变了世界看待隐私的方式

如果您回想起 2018 年,您会记得欧盟如何通过通用数据保护条例 (GDPR)震撼了整个世界。

当时,GDPR 是独一无二的,因为它是一项包罗万象的法规,旨在保护欧洲公民的隐私,无论他们与谁共享数据或在何处共享数据。 该法规意味着,如果美国组织希望继续在欧洲开展业务或与欧洲公民合作,而不管他们身在何处,则他们必须遵守 GDPR。

与以前的隐私法规不同,GDPR 有强大的力量和欧盟委员会的支持,可以对违规行为征收巨额罚款。

在全球范围内花费了数百万美元和无数的员工时间来确保合规性。 在许多方面,这项投资帮助清理了成熟但仍基本上不受监管的数字业务部门所采用的“狂野西部”商业实践的最后残余。 然而,尽管如此,无数美国公司还是违反了 GDPR。

仍然认为 GDPR 不适用于您? 看看这张因违规而被处以最高罚款的清单——它读起来就像“谁是谁?” 亚马逊、Meta (Facebook) 和 Alphabet (Google) 占据了美国大企业的前十名。

美国隐私法的变化

可以说,在 GDPR 之前,美国在隐私方面基本上是在踢罐子 (CAN-SPAM)。

在许多方面,GDPR 迫使美国企业在不需要美国监管的情况下清理他们的行为。 但这并不意味着美国没有认真对待隐私。 目前有多项隐私法已到位,还有许多其他法律正在美国各地推出。但是,由于各个州制定立法的方式,这些法律的关联性或包罗万象不如 GDPR。 对于跨州经营的企业,这可能会造成混淆。

CCPA / CPRA

将于 2023 年 7 月 1 日生效的加州消费者隐私法案 (CCPA) 和随后的加州隐私权法案 (CPRA)被描述为最接近 GDPR 的法案。

CPRA 建立在 GDPR 设定的基础之上,GDPR 为 CCPA 中未包含的几条规则奠定了基础。 这些规则包括:

  • 数据最小化:确保数据收集对于实现特定目的是必要的。
  • 目的限制:确保收集的数据不能用于新的和不兼容的目的。
  • 存储限制:确保数据的存储时间不会超过必要的时间。

GDPR 还影响了 CPRA 处理敏感个人信息 (SPI) 的方式,例如种族或族裔出身、政治观点、宗教或哲学信仰、性取向、遗传学和健康相关数据。

尽管有相似之处,但 GDPR 和 CPRA 之间存在一些关键差异。

GDPR 适用于从欧盟公民那里收集和处理数据的任何组织,无论公司规模、地点或目的如何。 GDPR 也不区分个人数据和企业数据。

同时,加州隐私权法案(CPRA)仅适用于收集和处理加州居民个人信息并满足以下一项或多项条件的企业:

  • 年总收入超过 2500 万美元;
  • 每年购买、出售或共享 100,000 或更多消费者或家庭的个人信息; 或者
  • 从出售消费者个人信息中获得 50% 或更多的年收入。

与 GDPR 相比,企业在 CCPA/CCPR 的监管下有很大的发展空间。 与欧洲相比,这或许反映了美国组织对访问和存储个人信息的态度更为宽松。 然而,在几起给成千上万美国公民带来不便的引人注目的数据泄露事件之后,这些态度变得不那么松懈,越来越多的美国州加入了保护隐私的行列。

弗吉尼亚消费者数据保护法 (VCPDA)

弗吉尼亚消费者数据保护法 (VCDPA) 是一项类似于 CCPA/CPRA 和 GDPR 的隐私法,并于 2023 年 1 月 1 日生效。

VCDPA 适用于在弗吉尼亚开展业务或以弗吉尼亚居民为目标并满足特定门槛要求的企业。 这些要求包括每年处理至少 100,000 名弗吉尼亚消费者的个人数据,或从销售个人数据中获得超过 50% 的总收入,并每年处理至少 25,000 名弗吉尼亚消费者的个人数据。

根据 VCDPA,弗吉尼亚消费者有权知道正在收集关于他们的哪些个人数据、有权访问他们的数据、有权更正该数据中的不准确之处、有权在某些情况下删除他们的数据,以及有权选择不出售他们的数据。

科罗拉多隐私法 (CPA)

CPA 将于 2023 年 7 月 1 日生效。

与 CCPA/CPRA 和 GDPR 类似,CPA 适用于在科罗拉多州开展业务或以科罗拉多州居民为目标并满足特定门槛要求的企业。 这些要求包括每年处理至少 100,000 名科罗拉多消费者的个人数据,或从销售个人数据中获得超过 50% 的总收入,并每年处理至少 25,000 名科罗拉多消费者的个人数据。

再一次,根据 CPA,科罗拉多消费者有权知道正在收集有关他们的哪些个人数据、有权访问他们的个人数据、有权更正他们个人数据中的不准确之处、有权在某些情况下删除他们的个人数据,以及选择不出售其个人数据的权利。

全美越来越多的隐私保护运动

虽然 CCPA/CCPR、VCDPA 和 CPA 都是地方法规,但越来越多的州开始引入隐私法规,这将在一定程度上连接各个点,并形成保护隐私的“国家”承诺。

康涅狄格州、爱荷华州和犹他州都有规定,将在未来两年内实施。 根据国际隐私专家协会 (IAPP) 跟踪器,许多其他州正在引入法规。

但是,有一些遗留的美国隐私法跨越州界并在联邦层面保护个人。

HIPAA——联邦法律

健康保险流通与责任法案 (HIPAA)是一项联邦法律,于 1996 年颁布,早于 GDPR,甚至早于互联网的广泛使用。

HIPAA 旨在提供隐私和安全标准,以保护患者的个人健康信息。 该法律为受保护健康信息 (PHI) 的隐私和安全制定了国家标准,并适用于进行某些电子交易的健康计划、医疗保健提供者和医疗保健票据交换所。

根据 HIPAA,相关实体必须实施保护措施以保护 PHI 的机密性、完整性和可用性。 这些保护措施包括行政、物理和技术措施,以确保 PHI 的隐私和安全。

HIPAA 还赋予个人某些关于他们的 PHI 的权利,包括访问他们的 PHI 的权利、要求更正他们的 PHI 的权利,以及在他们认为他们的隐私权受到侵犯时提出投诉的权利。

企业反应如何?

总体而言,企业对日益增长的隐私法规浪潮反应积极。 知道这种趋势不会消失,许多公司正在调整他们的服务以将隐私纳入他们的商业模式。 我们已经看到了Apple 的邮件隐私保护更新,Google 正在重新发明它跟踪 GA4(Google Analytics 的最新版本)中的用户参与度的方式

然而,对于没有资源跟踪和跟上隐私法规要求的中小型企业来说,这可能是一个令人困惑的时期。 当跨多个技术平台收集和处理数据时尤其如此。 对于这些企业来说,通过与可以帮助他们保持合规性的专家交谈来保护客户的隐私和组织的未来是有意义的。

了解更多

要详细了解 emfluence 的营销专家如何帮助您的企业遵守当前和即将出台的隐私法规,请立即通过[email protected]联系我们。