特拉華州資料隱私法簡介
Posted: Tue Mar 18, 2025 9:26 am
特拉華州的法案是眾議院第154號法案,於2023年通過的美國第八部州級資料隱私法,也是迄今為止美國通過的第十二部綜合隱私法。佛羅裡達州的數字權利法案範圍比較狹窄,而且並不總是包括在內。內華達州的《從消費者互聯網收集的資訊隱私法案》(NPICICA)及其修正案 SB-260 的範圍也受到限制,原始法案於 2018 年通過。
美國沒有聯邦資料隱私法,但截至 2023 年 7 月 10 日,它與歐盟簽署了新的《歐盟-美國資料隱私框架充分性協議》。自 2020 年之前的隱私權盾被廢除以來,歐盟和美國一直沒有達成這樣的協議。
特拉華州隱私法規於 2023 年 9 月 11 日由州長約翰·卡尼簽署成為法律,並於 2025 年 1 月 1 日生效,與愛荷華州《消費者資料保護法案》(ICDPA)同日生效。它還規定額外一年的時間來讓組 廣告庫 織開始認可普遍的退出機制。特拉華州司法部 (DOJ) 計劃不遲於 2024 年 7 月 1 日啟動一段外展期,以告知企業其在 DPDPA 下的義務以及消費者其在 DPDPA 下的權利。
特拉華州的隱私權法是較為消費者友善的州級資料隱私法之一,儘管不如加州的《消費者隱私法案》(CCPA)和《加州隱私權法案》(CPRA)那麼嚴格。它也適用於各種規模的更廣泛的公司,並且不像佛羅裡達州的法律那樣專門針對大型企業,也不像德克薩斯州的數據隱私和安全法案(TDPSA)那樣排除小型企業。
什麼是特拉華州資料隱私法案?
特拉華州的資料隱私法保護該州一百萬居民的隱私和個人資料權利,即以個人或家庭為背景的人們,而不是以任何就業身分行事的人。該法律還規定了在該州開展業務和/或向特拉華州居民提供商品和服務的公司的資料隱私責任。
隱私權聲明要求
資料控制者在法律上的定義為“單獨或與他人共同決定處理個人資料的目的和方法的人”,必須向消費者提供“易於理解、清晰且有意義”的隱私聲明。該通知必須描述該組織的資料處理操作,並包括:
收集和處理的個人資料類別
流程的目的
與第三方共享的個人資料類別
個人資料接收者的類別
消費者如何行使其資料隱私權,包括選擇退出
消費者如何對控制者的決定提出上訴(例如拒絕資料主體存取請求)
控制者的有效電子郵件地址或其他「安全可靠」的數位聯絡方式
「如果控制者出售個人資料或將其用於特定目的,則應明確且顯著地揭露
選擇退出同意模型
與所有其他美國資料隱私法一樣,DPDPA 採用選擇退出模式,因此在許多情況下控制者無需資料主體的同意即可收集個人資料。消費者確實有權選擇退出資料收集和使用,包括銷售、定向廣告或“為了進一步做出對消費者產生法律或類似重大影響的自動化決策而進行的分析”,並且必須向消費者提供有關資訊和機制。
法律指出,控制者必須「在其互聯網網站上提供清晰且顯眼的互聯網網頁鏈接,使消費者或消費者的代理人可以選擇不接收定向廣告或不出售消費者的個人資料」。
此外,“不遲於[本法生效後一年],允許消費者透過平台、技術或機制在徵得消費者同意的情況下向控制者發送退出偏好信號,選擇不參與為定向廣告目的而進行的任何消費者個人數據處理或任何此類個人數據的銷售,該信號表明該消費者有意退出任何此類處理或銷售。”
特拉華州個人資料隱私法中的定義
DPDPA 下的個人數據
指「任何與已識別或可識別個人有關聯或合理可關聯的信息,不包括去識別化資料或公開可用的信息」。
需要注意的是,個人資料(也稱為個人資訊)和個人識別資料並不總是同一件事,資料隱私法通常會做出區分。
DPDPA 下的敏感數據
敏感資料是一種包括個人資料的類別,一旦遭到非法存取或濫用,可能會令人尷尬或造成傷害,因此需要特殊處理,並且根據 DPDPA,未經用戶事先同意不得收集或使用。特拉華州的隱私法具體提到了可能洩露以下任何資訊的個人資料:
種族或民族血統
宗教信仰
精神或身體健康狀況或診斷(包括懷孕)
性生活或性傾向,包括跨性別者或非二元性別者的身份
國籍
公民身份或移民身份
遺傳或生物特徵數據
已知兒童的個人數據
精確的地理位置資料(精度和準確度在 1,750 英尺半徑範圍內)
特拉華州的法律是繼俄勒岡州之後美國第二部將跨性別或非二元性別表達列為敏感資料的隱私法。
根據 DPDPA 同意
與許多其他資料隱私法一樣,特拉華州資料隱私法在有效同意的定義方面遵循歐盟的《一般資料保護規範》(GDPR) :“明確的肯定行為,表明消費者自願、具體、知情且明確地同意處理與消費者有關的個人資料。”
為了進一步明確,“同意”可能包括書面聲明,包括透過電子方式,或任何其他明確的肯定行動。根據 DPDPA,同意不包括:
接受一般或廣泛的使用條款或類似文件,其中包含個人資料處理描述以及其他不相關資訊
將滑鼠懸停在特定內容上、將其靜音、暫停或關閉
透過使用暗模式獲得的協議
DPDPA 下的消費者
指「居住在德拉瓦州的個人」。
該定義不包括“在商業或就業背景下行事的個人,或作為公司、合夥企業、獨資企業、非營利組織或政府機構的僱員、所有者、董事、官員或承包商的個人,其與控制者的溝通或交易完全發生在該個人在公司、合夥企業、獨資企業、非營利組織或政府機構的角色範圍內。”
美國沒有聯邦資料隱私法,但截至 2023 年 7 月 10 日,它與歐盟簽署了新的《歐盟-美國資料隱私框架充分性協議》。自 2020 年之前的隱私權盾被廢除以來,歐盟和美國一直沒有達成這樣的協議。
特拉華州隱私法規於 2023 年 9 月 11 日由州長約翰·卡尼簽署成為法律,並於 2025 年 1 月 1 日生效,與愛荷華州《消費者資料保護法案》(ICDPA)同日生效。它還規定額外一年的時間來讓組 廣告庫 織開始認可普遍的退出機制。特拉華州司法部 (DOJ) 計劃不遲於 2024 年 7 月 1 日啟動一段外展期,以告知企業其在 DPDPA 下的義務以及消費者其在 DPDPA 下的權利。
特拉華州的隱私權法是較為消費者友善的州級資料隱私法之一,儘管不如加州的《消費者隱私法案》(CCPA)和《加州隱私權法案》(CPRA)那麼嚴格。它也適用於各種規模的更廣泛的公司,並且不像佛羅裡達州的法律那樣專門針對大型企業,也不像德克薩斯州的數據隱私和安全法案(TDPSA)那樣排除小型企業。
什麼是特拉華州資料隱私法案?
特拉華州的資料隱私法保護該州一百萬居民的隱私和個人資料權利,即以個人或家庭為背景的人們,而不是以任何就業身分行事的人。該法律還規定了在該州開展業務和/或向特拉華州居民提供商品和服務的公司的資料隱私責任。
隱私權聲明要求
資料控制者在法律上的定義為“單獨或與他人共同決定處理個人資料的目的和方法的人”,必須向消費者提供“易於理解、清晰且有意義”的隱私聲明。該通知必須描述該組織的資料處理操作,並包括:
收集和處理的個人資料類別
流程的目的
與第三方共享的個人資料類別
個人資料接收者的類別
消費者如何行使其資料隱私權,包括選擇退出
消費者如何對控制者的決定提出上訴(例如拒絕資料主體存取請求)
控制者的有效電子郵件地址或其他「安全可靠」的數位聯絡方式
「如果控制者出售個人資料或將其用於特定目的,則應明確且顯著地揭露
選擇退出同意模型
與所有其他美國資料隱私法一樣,DPDPA 採用選擇退出模式,因此在許多情況下控制者無需資料主體的同意即可收集個人資料。消費者確實有權選擇退出資料收集和使用,包括銷售、定向廣告或“為了進一步做出對消費者產生法律或類似重大影響的自動化決策而進行的分析”,並且必須向消費者提供有關資訊和機制。
法律指出,控制者必須「在其互聯網網站上提供清晰且顯眼的互聯網網頁鏈接,使消費者或消費者的代理人可以選擇不接收定向廣告或不出售消費者的個人資料」。
此外,“不遲於[本法生效後一年],允許消費者透過平台、技術或機制在徵得消費者同意的情況下向控制者發送退出偏好信號,選擇不參與為定向廣告目的而進行的任何消費者個人數據處理或任何此類個人數據的銷售,該信號表明該消費者有意退出任何此類處理或銷售。”
特拉華州個人資料隱私法中的定義
DPDPA 下的個人數據
指「任何與已識別或可識別個人有關聯或合理可關聯的信息,不包括去識別化資料或公開可用的信息」。
需要注意的是,個人資料(也稱為個人資訊)和個人識別資料並不總是同一件事,資料隱私法通常會做出區分。
DPDPA 下的敏感數據
敏感資料是一種包括個人資料的類別,一旦遭到非法存取或濫用,可能會令人尷尬或造成傷害,因此需要特殊處理,並且根據 DPDPA,未經用戶事先同意不得收集或使用。特拉華州的隱私法具體提到了可能洩露以下任何資訊的個人資料:
種族或民族血統
宗教信仰
精神或身體健康狀況或診斷(包括懷孕)
性生活或性傾向,包括跨性別者或非二元性別者的身份
國籍
公民身份或移民身份
遺傳或生物特徵數據
已知兒童的個人數據
精確的地理位置資料(精度和準確度在 1,750 英尺半徑範圍內)
特拉華州的法律是繼俄勒岡州之後美國第二部將跨性別或非二元性別表達列為敏感資料的隱私法。
根據 DPDPA 同意
與許多其他資料隱私法一樣,特拉華州資料隱私法在有效同意的定義方面遵循歐盟的《一般資料保護規範》(GDPR) :“明確的肯定行為,表明消費者自願、具體、知情且明確地同意處理與消費者有關的個人資料。”
為了進一步明確,“同意”可能包括書面聲明,包括透過電子方式,或任何其他明確的肯定行動。根據 DPDPA,同意不包括:
接受一般或廣泛的使用條款或類似文件,其中包含個人資料處理描述以及其他不相關資訊
將滑鼠懸停在特定內容上、將其靜音、暫停或關閉
透過使用暗模式獲得的協議
DPDPA 下的消費者
指「居住在德拉瓦州的個人」。
該定義不包括“在商業或就業背景下行事的個人,或作為公司、合夥企業、獨資企業、非營利組織或政府機構的僱員、所有者、董事、官員或承包商的個人,其與控制者的溝通或交易完全發生在該個人在公司、合夥企業、獨資企業、非營利組織或政府機構的角色範圍內。”