美國數字隱私法

已發表: 2023-04-25

美國打個噴嚏,全世界就感冒。 這種說法在數字技術領域尤其如此。 畢竟,美國是許多世界領先和最成功的在線公司的所在地(儘管有些人可能會爭辯說中國正在緊跟其後)。 然而,我們的歐洲表親帶頭的一個領域是數字隱私。

GDPR 改變了世界看待隱私的方式

如果您回想起 2018 年,您會記得歐盟如何通過通用數據保護條例 (GDPR)震撼了整個世界。

當時,GDPR 是獨一無二的,因為它是一項包羅萬象的法規,旨在保護歐洲公民的隱私,無論他們與誰共享數據或在何處共享數據。 該法規意味著,如果美國組織希望繼續在歐洲開展業務或與歐洲公民合作,而不管他們身在何處,則他們必須遵守 GDPR。

與以前的隱私法規不同,GDPR 有強大的力量和歐盟委員會的支持,可以對違規行為徵收巨額罰款。

在全球範圍內花費了數百萬美元和無數的員工時間來確保合規性。 在許多方面,這項投資幫助清理了成熟但仍基本上不受監管的數字業務部門所採用的“狂野西部”商業實踐的最後殘餘。 然而,儘管如此,無數美國公司還是違反了 GDPR。

仍然認為 GDPR 不適用於您? 看看這張因違規而被處以最高罰款的清單——它讀起來就像“誰是誰?” 亞馬遜、Meta (Facebook) 和 Alphabet (Google) 佔據了美國大企業的前十名。

美國隱私法的變化

可以說,在 GDPR 之前,美國在隱私方面基本上是在踢罐子 (CAN-SPAM)。

在許多方面,GDPR 迫使美國企業在不需要美國監管的情況下清理他們的行為。 但這並不意味著美國沒有認真對待隱私。 目前有多項隱私法已到位,還有許多其他法律正在美國各地推出。但是,由於各個州制定立法的方式,這些法律的關聯性或包羅萬像不如 GDPR。 對於跨州經營的企業,這可能會造成混淆。

CCPA / CPRA

將於 2023 年 7 月 1 日生效的加州消費者隱私法案 (CCPA) 和隨後的加州隱私權法案 (CPRA)被描述為最接近 GDPR 的法案。

CPRA 建立在 GDPR 設定的基礎之上,GDPR 為 CCPA 中未包含的幾條規則奠定了基礎。 這些規則包括:

  • 數據最小化:確保數據收集對於實現特定目的是必要的。
  • 目的限制:確保收集的數據不能用於新的和不兼容的目的。
  • 存儲限制:確保數據的存儲時間不會超過必要的時間。

GDPR 還影響了 CPRA 處理敏感個人信息 (SPI) 的方式,例如種族或族裔出身、政治觀點、宗教或哲學信仰、性取向、遺傳學和健康相關數據。

儘管有相似之處,但 GDPR 和 CPRA 之間存在一些關鍵差異。

GDPR 適用於從歐盟公民那裡收集和處理數據的任何組織,無論公司規模、地點或目的如何。 GDPR 也不區分個人數據和企業數據。

同時,加州隱私權法案(CPRA)僅適用於收集和處理加州居民個人信息並滿足以下一項或多項條件的企業:

  • 年總收入超過 2500 萬美元;
  • 每年購買、出售或共享 100,000 或更多消費者或家庭的個人信息; 或者
  • 從出售消費者個人信息中獲得 50% 或更多的年收入。

與 GDPR 相比,企業在 CCPA/CCPR 的監管下有很大的發展空間。 與歐洲相比,這或許反映了美國組織對訪問和存儲個人信息的態度更為寬鬆。 然而,在幾起給成千上萬美國公民帶來不便的引人注目的數據洩露事件之後,這些態度變得不那麼鬆懈,越來越多的美國州加入了保護隱私的行列。

弗吉尼亞消費者數據保護法 (VCPDA)

弗吉尼亞消費者數據保護法 (VCDPA) 是一項類似於 CCPA/CPRA 和 GDPR 的隱私法,並於 2023 年 1 月 1 日生效。

VCDPA 適用於在弗吉尼亞開展業務或以弗吉尼亞居民為目標並滿足特定門檻要求的企業。 這些要求包括每年處理至少 100,000 名弗吉尼亞消費者的個人數據,或從銷售個人數據中獲得超過 50% 的總收入,並每年處理至少 25,000 名弗吉尼亞消費者的個人數據。

根據 VCDPA,弗吉尼亞消費者有權知道正在收集關於他們的哪些個人數據、有權訪問他們的數據、有權更正該數據中的不准確之處、有權在某些情況下刪除他們的數據,以及有權選擇不出售他們的數據。

科羅拉多隱私法 (CPA)

CPA 將於 2023 年 7 月 1 日生效。

與 CCPA/CPRA 和 GDPR 類似,CPA 適用於在科羅拉多州開展業務或以科羅拉多州居民為目標並滿足特定門檻要求的企業。 這些要求包括每年處理至少 100,000 名科羅拉多消費者的個人數據,或從銷售個人數據中獲得超過 50% 的總收入,並每年處理至少 25,000 名科羅拉多消費者的個人數據。

再一次,根據 CPA,科羅拉多消費者有權知道正在收集有關他們的哪些個人數據、有權訪問他們的個人數據、有權更正他們個人數據中的不准確之處、有權在某些情況下刪除他們的個人數據,以及選擇不出售其個人數據的權利。

全美越來越多的隱私保護運動

雖然 CCPA/CCPR、VCDPA 和 CPA 都是地方法規,但越來越多的州開始引入隱私法規,這將在一定程度上連接各個點,並形成保護隱私的“國家”承諾。

康涅狄格州、愛荷華州和猶他州都有規定,將在未來兩年內實施。 根據國際隱私專家協會 (IAPP) 跟踪器,許多其他州正在引入法規。

但是,有一些遺留的美國隱私法跨越州界並在聯邦層面保護個人。

HIPAA——聯邦法律

健康保險流通與責任法案 (HIPAA)是一項聯邦法律,於 1996 年頒布,早於 GDPR,甚至早於互聯網的廣泛使用。

HIPAA 旨在提供隱私和安全標準,以保護患者的個人健康信息。 該法律為受保護健康信息 (PHI) 的隱私和安全制定了國家標準,並適用於進行某些電子交易的健康計劃、醫療保健提供者和醫療保健票據交換所。

根據 HIPAA,相關實體必須實施保護措施以保護 PHI 的機密性、完整性和可用性。 這些保護措施包括行政、物理和技術措施,以確保 PHI 的隱私和安全。

HIPAA 還賦予個人某些關於他們的 PHI 的權利,包括訪問他們的 PHI 的權利、要求更正他們的 PHI 的權利,以及在他們認為他們的隱私權受到侵犯時提出投訴的權利。

企業反應如何?

總體而言,企業對日益增長的隱私法規浪潮反應積極。 知道這種趨勢不會消失,許多公司正在調整他們的服務以將隱私納入他們的商業模式。 我們已經看到Apple 的郵件隱私保護更新,Google 正在重新發明它跟踪 GA4(Google Analytics 的最新版本)中的用戶參與度的方式

然而,對於沒有資源跟踪和跟上隱私法規要求的中小型企業來說,這可能是一個令人困惑的時期。 當跨多個技術平台收集和處理數據時尤其如此。 對於這些企業來說,通過與可以幫助他們保持合規性的專家交談來保護客戶的隱私和組織的未來是有意義的。

了解更多

要詳細了解 emfluence 的營銷專家如何幫助您的企業遵守當前和即將出台的隱私法規,請立即通過[email protected]聯繫我們。