7月8日,美国科罗拉多州州长签署颁布了《科罗拉多州隐私法案》,使科罗拉多州成为继加利福尼亚州和弗吉尼亚州之后第三个颁布全面隐私立法的美国州,法案将于2023年7月1日生效。

《科罗拉多州隐私法案》的内容要点包括:

一是适用范围,法案设置了适用“门槛”,适用于每年收集和存储超过100,000名消费者数据或从超过25,000名消费者数据中赚取收入的企业,不适用于受《格拉姆-里奇-布莱利法案》(Gram- Leach-Bliley Act,GLBA法案)监管的部分金融机构及高等学校。

二是消费者权利,明确了消费者享有访问权、纠正权、删除权、数据可携带权、选择退出权和申诉权等权利。

三是数据处理者的义务,主要包括透明性义务、目的告知义务、数据最小化义务、避免数据二次使用义务、数据防护义务、避免非法歧视义务、敏感数据处理义务、数据保护评估义务、数据处理合同约束等。

四是法案执行,规定由州总检察长和22名州检察官进行执法,虽然没有明确具体罚则,但违反《消费者权益保护法》的行为受该法案管辖,由此可以判定,针对违法企业单次罚款最高可达20,000美元。

(新闻来源:

https://iapp.org/news/a/colorado-privacy-act-becomes-law/)