科罗拉多隐私法

科罗拉多州隐私法案(CPA)全面的数据隐私吗框架该法案于2021年7月8日签署成为法律，并将于2023年7月1日生效。

这项立法旨在通过对收集或处理个人数据的公司施加一定责任来保护科罗拉多州居民的隐私。

随着最近各州通过自己的数据隐私框架的趋势，科罗拉多州现在加入了加利福尼亚州和弗吉尼亚州的行列，成为美国第三个颁布全面数据隐私法的州。

法律会有一个对消费者和某些企业产生重大影响在科罗拉多州，这意味着你需要一个可靠和积极的合规策略，以领先于潜在的责任。

废话不多说，让我们看看CPA需要什么，包括它的目的，它适用于谁，它要求什么，以及您的企业如何确保遵守CPA．

科罗拉多州隐私法案的目的是什么?

CPA最初是设计出来的以保护科罗拉多州居民的数字隐私让他们对个人数据的处理方式有更多的控制权。

为了做到这一点，法律要求企业作为数据的负责任的监护人，并采取一定的步骤来确保保护消费者的隐私。

《注册会计师条例》的出台，是由于公众对资料保安及数码私隐的意识不断提高，以及多项私隐条例如欧盟的《一般资料保护规例》(GDPR)、《加州消费者隐私法》(CCPA)、《加州隐私权法》(CPRA)及《弗吉尼亚消费者资料保护法》(CDPA）.

事实上，CPA的基本框架是在一个非常类似的这些法律，更重要的是CCPA, CPRA，和CDPA。然而，CPA在其条款中包含了一些值得注意的差异，但我们稍后再讨论。

作为一家在科罗拉多州经营的公司或针对其居民的公司，CPA提供了以下规则:

• 如何合法地收集或处理个人资料
• 如何提供帮助消费者行使隐私权
• 你必须做到的程度确保个人资料安全
• 的一般要求对于遵从性，包括数据保护评估、透明度、数据最小化等等

既然我们已经知道了CPA的创建原因和它的目标，让我们简单地看看法律赋予消费者的权利和自由。

科罗拉多州隐私法案下的消费者隐私权

与大多数现代隐私法一样，CPA为消费者提供了处理其个人数据的某些权利。简单地说，它们如下。

访问权

在CPA下，消费者有知情权如果您的业务收集或处理他们的个人数据。如果是，消费者也有有权访问他们的数据．

这里有一个例子Upwork的隐私政策:

选择退出的权利

消费者有有权选择不处理其个人数据为了以下目的:

• 的出售他们的个人资料
• 有针对性的广告,或
• 分析帮助做出对消费者产生法律或类似显著影响的决定

尽管CPA的退出权与其他法律没有明显的区别，但它方法选择退出是。

根据法例，商界必须执行“用户选择的通用退出机制这使得消费者可以通过点击一个按钮来行使他们的退出权。

通用退出机制尚未明确，但科罗拉多州总检察长预计将在2024年7月1日前提供技术标准。如有其他消息，我们会及时通知您。

正确的改正

根据CPA，消费者有权更正所收集的有关他们的资料中任何不准确或过时的细节。

这是如何Etsy在其隐私政策中提出了这一权利:

删除的权利

《注册会计师》赋予消费者权利，要求从您的记录中删除其个人资料。

例如，以下是如何做到的Gymshark在其隐私通知中提出此权利:

数据可携权

消费者亦有权获得一份可携带及易使用的格式的个人资料副本，以便不受阻碍地转移给第三者。

回应消费者的要求

最后，您必须开发机制及时回应消费者有关个人资料的要求．根据CPA，你的响应时间在收到请求后不应超过45天。

然而，在某些情况下(例如，当消费者的请求很复杂或数量很大时)，你可以将截止日期额外延长45天，但一定要这样做让消费者知道延期的原因．

科罗拉多州隐私法案的定义

在了解CPA的范围和要求之前，您需要了解法律如何定义某些术语。

消费者

消费者(就注册会计师而言)是指“仅以个人或家庭为单位的科罗拉多居民。＂

以商业或就业身份经营的人(例如，求职者)是不被认为是CPA下的消费者。

个人资料

《注册会计师》对个人资料的定义如下:

“与已识别或可识别的个人相连或合理相连的资料”

根据这个定义，个人数据可能包括但不限于以下内容:

• 的名字
• 电子邮件/物理地址
• IP地址
• 社会安全号码
• 身份证号码
• 信用卡信息
• 电话号码

然而,个人资料不包括：

• 去识别的数据(即所有个人识别信息已被删除的任何数据)，或
• 公开信息

敏感数据

根据CPA，敏感资料是指需要明确同意和处理的一类个人资料。其中包含的个人数据可能会透露以下信息:

• 种族或民族出身
• 宗教信仰
• 性取向
• 身体或精神健康状况
• 国籍
• 一个已知的孩子
• 基因或生物特征信息

处理

CPA将处理定义为:

个人数据的收集、使用、销售、存储、披露、分析、删除或修改，包括控制器指示处理器处理个人数据的动作。

实际上，任何对个人数据进行的操作都可以被标记为处理。

控制器

类似于GDPR的定义， CPA将控制者定义为符合以下条件的个人或实体确定处理个人资料的目的和方法．＂

在CPA下，控制者通常比处理者更负责。

处理器

另一方面，处理器是指一个个人或实体，“代表控制器处理个人数据．＂

处理器通常在控制器的指导和监督下运行。

科罗拉多州隐私法适用于谁?

全面和平协议适用于控制器在科罗拉多州境内经营或向当地居民出售商业产品或服务并且满足以下任何一个阈值：

• 控制或处理的个人资料超过10万消费者每年
• 从出售个人资料中获得收入或折扣，并控制或处理的个人资料超过25,000名消费者

较小的企业可能更容易遵守这些规定，因为这些规定几乎与CCPA和弗吉尼亚州的CDPA相同。

总而言之，即使你的公司位于犹他州，只要你为科罗拉多州居民提供产品或服务，并满足上述任一门槛，注册会计师会申请．

科罗拉多州隐私法不适用于谁

并非所有企业都需要遵守CPA。例如，没有达到每年处理数据的居民数量的企业就不在CPA的范围内。

以下组织也是免除不必遵守CPA:

• 航空公司
• 公用事业
• 受《健康保险携带和问责法》约束的组织(HIPAA）
• 受《儿童在线隐私保护法》(杯）
• 受《格雷姆-里奇-比利利法案》(GBLA)约束的金融机构
• 受家庭教育权利和隐私法(FERPA)约束的组织
• 受公平信用报告法(FCRA)约束的组织
• 科罗拉多州的政府机构
• 处理去识别个人资料的机构
• 为就业记录目的处理数据的组织
• 为科罗拉多州健康保险法处理数据的组织
• 高等教育机构
• 消费者报告机构

值得注意的是，与美国其他隐私法不同，CPA不豁免非营利组织．

科罗拉多州隐私法案的要求

让人想起GDPR的数据处理原则，CPA提供了一组在其范围内的组织必须遵守的义务。简单地说，它们如下。

责任的透明度

CPA要求你向消费者提供“合理易懂，清晰，有意义隐私通知(又名batway体育 ）.

此外，您的隐私政策必须是明显地显示并包含以下信息:

• 您收集或处理的个人资料的类别
• 您处理个人资料的理由
• 消费者如何行使其隐私权并就其要求提出上诉
• 共享的数据类别
• 与您共享数据的第三方(如果有的话)
• 明确和显著地披露个人数据的销售或处理，以及消费者如何选择退出销售或处理

目的规格的责任

根据《注册会计师条例》，你必须明确告知消费者你向他们收集的个人资料的种类和原因。

数据最小化的责任

CPA要求企业限制从消费者获得的数据量，并且只收集“充分的、相关的、合理必要的信息"只能用于预先设定的目的。

避免二次使用的义务

在数据最小化责任的基础上，CPA允许您处理消费者的数据，以达到不合理的必要目的或与预先确定的目的不兼容的目的只有在获得消费者明确的同意或批准后．

注意义务

CPA的另一个重要要求是采取合理措施，保护个人资料不受未经授权的查阅在使用或储存期间。

此外，所采取的措施必须适合于体积、范围和性质正在处理的数据以及业务的类型。

避免非法歧视的义务

CPA禁止您在处理个人数据时违反禁止非法歧视消费者的联邦或州法律。

有关敏感资料的责任

最后，CPA要求你这样做获得知情和明确的同意在处理消费者的敏感数据之前。

如果消费者是一个已知的儿童，您必须获得儿童父母或监护人的明确和知情的同意。

确保遵守科罗拉多州隐私法的最佳实践

为了遵守科罗拉多州隐私法案，请确保您遵守以下几点。

评估和更新您的隐私政策

如果你的业务属于注册会计师的范围，你需要修改您当前的数据实践并更新您的隐私政策确保完全遵守法律。

如前所述，您的隐私政策应(详细地)涵盖您的数据处理活动、消费者的隐私权以及消费者行使这些权利的过程。

进行资料保障评估

数据保护评估帮助组织评估他们如何使用、销售和处理个人数据，以及处理过程中涉及的风险。

作为一个企业主，注册会计师要求你这样做定期进行数据保护评估在实施可能对消费者造成较高伤害风险的加工活动之前。

此外，建议您在执行这些评估时记录它们。

实施一个通用的退出机制

注册会计师要求你这么做实现用户选择的通用退出机制允许消费者选择不出售他们的个人数据、定向广告和概要。

该退出机制必须在2024年7月1日前实施，并满足科罗拉多州总检察长提出的技术要求。

建立收集敏感资料的同意机制

与美国其他隐私法一样，CPA对敏感数据的保护力度更大，因此，它要求您这样做获得明确的同意在试图处理用户的敏感数据之前。

根据CPA，同意必须是自由的、具体的、知情的、明确的，并以明确的、肯定的行动为特征．

最好的方法是使用clickwrap方法确保消费者已经审查并同意您的数据策略和实践。

例如，以下是如何做到的贝宝在用户注册前获得用户的明确同意:

实施适当的保安措施

根据《注册会计师条例》，你必须采取合理的保安措施，防止个人资料落入不法分子之手。

为了保持顺从，你需要实施并不断修改网络安全保障措施以确保它们达到行业公认的标准。

这是如何Reddit在其隐私政策中列出此条款:

实施培训计划

最后，强烈建议你经常进行培训项目确保您的员工能够及时和一致地处理消费者的要求。

科罗拉多州隐私法的执行与处罚

的CPA并不规定私人诉讼权．与其他州法律不同，《CPA》由科罗拉多州总检察长执行和地方检察官．

在采取任何执法行动之前，司法部长或地区检察官必须签发一份违规的通知到控制器，然后控制器有60天纠正或"治愈“违反。

但是，60天的治愈期只在前18个月有效，2025年1月1日之后将不再存在。

违反CPA被认为是欺骗性的贸易惯例，但CPA的条文中并没有具体的罚款或处罚。

暂时，CPA处罚属于科罗拉多州消费者保护法的范围和范围每次罚款2000至20000美元．

同样值得注意的是，由于《消费者保护法》的监管，违反《CPA》的行为可能导致刑事指控。

科罗拉多州隐私法案vs加州消费者隐私法案(CCPA)

在许多方面，CPA与CCPA是相似的，但是它们的规定有不同之处，你应该知道。

让我们简单看看它们的一些关键的相似点和不同点。

相似之处

• 这两项法律都适用于以居民为目标并处理个人数据的企业超过10万消费者每年。
• 这两项法律都给消费者一定的隐私权．
• 这两个法律旨在保护个人资料并对敏感数据做额外的规定。
• 这两项法律都给企业45天内回复消费者的要求．
• 这两项法律都要求国家颁布违规的通知在采取执法行动前，纠正任何涉嫌违规行为。
• 这两个法律免除某些组织已经被其他联邦法律规定了。

差异

• 不像CCPA, CPA不规定私诉权吗只有科罗拉多州总检察长和地方检察官才能强制执行。
• 注册会计师的对涉嫌违规行为的治疗期为60天这是加州法律的两倍。
• 全面和平协议不包括收入阈值相比之下，CCPA的收入门槛为2,500万美元。
• 与加州的法律不同，CPA没有明确规定处罚违反了它的规定。
• CPA是强制性的"用户选择的通用退出机制的规定。

总结

公认的是，《全面CPA》的工作仍在进行中，随着时间的推移，可能会就其实际实施发布额外的指导意见。

尽管该法律要到2023年7月1日才生效，但现在是开始评估公司合规义务的好时机。

如果你的企业已经遵守了加州或弗吉尼亚州的隐私法，你可能不需要做太多的事情来被认为符合CPA。

关键的外卖可帮助您的企业遵守注册会计师准则的资料包括:

• 观察消费者的隐私权，并根据要求帮助用户行使
• 提供法律所要求的隐私政策，以简单明了的语言编写
• 透明明确在提供与消费者个人资料有关的资料时
• 获得在处理消费者的敏感数据之前，必须得到明确、肯定的同意
• 实现一个普遍的退出机制，当司法部长宣布时，它满足法律的技术要求
• 提供采取合理的保安措施，防止个人资料被非法查阅
• 执行处理个人资料前定期进行资料保护评估，并将结果存档
• 实现对员工进行培训，以确保对消费者的要求作出及时和一致的回应
• 保持更新，以确保完全遵守《注册会计师》的规定