俄勒岡州是美國第十二個通過全面資料隱私立法的州,該州通過了SB 619法案。州長蒂娜·科特克 (Tina Kotek) 於 2023 年 7 月 18 日簽署該法案成為法律,俄勒岡州消費者隱私法案 (OCPA) 於 2024 年 7 月 1 日對大多數組織生效。
在本文中,我們將研究《俄勒岡州消費者隱私法案》的要求、適用對像以及企業可以採取哪些措施來實現合規。
什麼是俄勒岡州消費者隱私法案 (OCPA)?
《俄勒岡州消費者隱私法案》保護超過 420 萬俄勒岡州居民的隱 加拿大數據 私和個人資料。該法律為在俄勒岡州開展業務的任何個人或實體或向其居民提供商品和服務並處理其個人資料的個人或實體制定了規則。受影響的居民根據法律被稱為“消費者”。
OCPA 保護俄勒岡州居民個人或家庭環境中的個人資料。它不包括在工作環境中收集的個人資料。這意味著,有關個人以專業角色而非消費者身分行事的資訊不受該法律的保護。
與美國其他州級資料隱私法一致,OCPA 要求企業告知居民他們的個人資料是如何收集和使用的。此通知(通常包含在網站的隱私權政策中)必須涵蓋以下關鍵細節:
收集哪些數據
數據的使用方式
數據是否共享以及與誰共享
消費者權利資訊
俄勒岡州隱私法採用選擇退出同意模式,這意味著在大多數情況下,組織可以在未經事先同意的情況下收集消費者的個人資料。然而,他們必須讓消費者有權選擇不出售自己的個人數據,也不將其用於定向廣告或分析。該法律還要求企業實施合理的安全措施來保護其處理的個人資料。
誰必須遵守俄勒岡州消費者隱私法案 (OCPA)?
與美國許多其他州級資料隱私法類似,OCPA 設定了門檻,以確定哪些組織必須遵守其要求。然而,與其他一些法律不同的是,它並沒有設定僅有收入的門檻。
為了符合 OCPA 的範圍,組織必須在一個日曆年內控製或處理以下個人資料:
10萬名消費者,不包括僅完成支付交易的消費者或
或者
如果組織 25% 或以上的年度總收入來自出售個人數據,則為 25,000 名消費者
OCPA 合規豁免
OCPA 與其他一些資料隱私法不同,因為它的許多豁免條款專注於正在處理的資料類型和正在進行的處理活動,而不僅僅是組織本身。
例如,OCPA 並沒有豁免《健康保險流通與責任法案》(HIPAA)規定的醫療保健實體,而是豁免了根據 HIPAA 處理的受保護健康資訊。這意味著受保護的健康資訊超出了 OCPA 的範圍,但醫療保健組織處理的其他數據仍然可能受到法律約束。可能免於遵守其他州級消費者隱私法的組織應諮詢合格的法律專業人士,以確定是否需要遵守 OCPA。
- Board index
- All times are UTC
- Delete cookies
- Contact us