威斯康星州议会加速推进《威斯康星州数据隐私法案》

2023年11月14日，威斯康星州议会通过了第466号议会法案，即《威斯康星州数据隐私法案》（WDPA）。该法案在三读表决中获得通过，随即被提交至威斯康星州参议院审议。若经参议院批准并由州长签署，WDPA将于2025年1月1日正式生效。 该法案内容与弗吉尼亚州、科罗拉多州及康涅狄格州等已生效的全面性州级消费者隐私法高度相似。

适用性

除下列例外情况外，《威斯康星州消费者保护法》适用于所有在威斯康星州开展业务或生产面向威斯康星州居民的产品或服务，且满足以下任一条件的人员：

• 在日历年内控制或处理至少100,000名威斯康星州居民（"消费者"）的个人数据；和/或
• 控制或处理至少25,000名消费者的个人数据，且年度总收入中超过50%来源于个人数据的销售。

根据《华盛顿州隐私保护法》（WDPA），这些人员被称为"控制者"。与除加利福尼亚州以外的其他州级综合消费者隐私法类似，WDPA未设定收入门槛。

关键豁免

《威斯康星州隐私法》设有广泛的实体和信息豁免条款。实体豁免范围包括州及地方机构、受《格雷姆-里奇-比利雷法案》（GLBA）约束的金融机构、受《健康保险流通与责任法案》（HIPAA）管辖的实体或业务合作伙伴、非营利组织以及高等教育机构。

威斯康星州隐私法（WDPA）还豁免了雇佣信息和企业间信息，这与加利福尼亚州不同。其他关键豁免包括公开信息、《公平信用报告法》、《驾驶员隐私保护法》、《家庭教育权利与隐私法》、《农业信贷法》以及《儿童在线隐私保护法》所管辖的信息。 威斯康星州隐私法还包含广泛的健康相关例外条款，包括受《健康保险流通与责任法案》（HIPAA）、《2021年治愈法案》或任何其他联邦及威斯康星州医疗信息管理法规保护的健康信息（PHI），以及与临床研究和试验相关的特定可识别患者信息等。

消费者权益

《威斯康星州数据保护法》将为威斯康星州居民提供以下与其个人数据相关的权利：

• 知情权/访问权。消费者有权确认数据控制者是否正在处理其个人数据，并有权访问该个人数据，除非该确认要求控制者披露商业秘密。
• 数据可携权。消费者有权以可携式且易于使用的格式获取其个人数据副本，以便在数据通过自动化方式处理时将其传输至第三方；但数据控制者无需披露商业秘密。
• 更正权。消费者有权要求更正不准确的个人数据。
• 删除权。消费者有权要求删除其个人数据。
• 退出权消费者有权选择退出以下个人信息的用途：
  • 为定向广告目的处理其个人数据。
  • 为获取金钱报酬而出售其个人数据。
  • 对消费者产生法律效力或具有同等重要影响的自动化决策。

监管机构将有45天时间回应消费者请求，在合理必要时可选择额外延长45天。

商业义务

《个人数据保护法》要求数据控制者在处理个人数据时须遵守以下义务：

• 处理敏感数据的同意。未经消费者同意，数据控制者不得处理其"敏感数据"。根据《温哥华数据保护法》，"敏感数据"包括揭示种族或族裔、宗教信仰、身心健康诊断、性取向、公民身份或移民身份的个人数据。 敏感数据还包括遗传或生物特征数据、已知年龄低于13周岁的儿童所收集的个人数据，以及半径1750英尺（约534米）范围内的精确地理位置数据。
• 数据处理协议。根据《威尔士数据保护法案》，数据控制者须与每家代表其处理个人数据的数据处理者签订数据处理协议（DPA）。该协议必须包含以下内容：数据处理的明确指示、处理的性质与目的、处理的数据类型、处理期限，以及协议中各方的权利与义务。
• 数据保护评估。数据控制者必须对以下处理活动进行数据保护评估并留存记录：为定向广告目的处理个人数据、出售个人数据，以及为建立用户画像而处理个人信息（当该画像行为对消费者存在可合理预见的危害风险时）。数据控制者还需权衡每项处理活动的益处与对消费者权利的潜在风险。
• 隐私声明。数据控制者必须提供合理可获取、清晰且具有实质意义的隐私声明，其中应包含以下内容：数据控制者处理的个人数据类别、处理个人数据的目的、消费者如何行使权利、消费者如何对数据控制者拒绝满足其权利请求的决定提出申诉、数据控制者与第三方共享的个人数据类别，以及数据控制者共享个人数据的第三方类别。 该隐私声明还须说明是否向第三方出售个人数据或是否为定向广告处理个人数据，并清晰醒目地披露此类处理行为及消费者行使退出处理权利的途径。最后，隐私声明必须提供一种或多种安全可靠的渠道，供消费者提交权利行使请求。
• 其他要求/禁令。数据控制者必须：(i) 将个人数据的收集范围限制在为实现已披露处理目的所必需、相关且合理的范围内；(ii) 建立、实施并维持合理的管理、技术和物理数据安全措施，以保护个人数据的机密性、完整性和可访问性。 数据控制者不得：(i) 未经消费者同意，将个人数据用于超出已披露处理目的合理必要范围的用途；或 (ii) 因消费者行使权利而拒绝提供商品或服务、收取不同价格或费率，或提供不同质量等级的商品。

执行

根据现行规定，《威斯康星州数据保护法》未赋予私人诉讼权，其执行将由威斯康星州总检察长负责。该法规定，数据控制者每次违规行为最高可处以7,500美元罚款，并需承担总检察长合理的追索费用。

对企业的影响

威斯康星州正与其他少数几个州共同寻求完善现有的州级消费者隐私法律体系。尽管《威斯康星州消费者隐私法案》（WDPA）与其他全面的州级消费者隐私法律高度相似，但这为在威斯康星州开展业务的组织提供了绝佳契机，可借此审查其数据计划以确保符合相关要求。 目前不受其他州消费者隐私法约束的企业，需确认自身业务是否达到威斯康星州隐私法案（WDPA）的适用门槛（按当前提案标准），若符合条件，则应确保在法案正式立法后能迅速落实相关要求。

如需了解有关遵守《西澳大利亚州隐私保护法》或其他消费者隐私法律的更多信息，请联系福里尔·拉德纳律师事务所网络安全与数据隐私团队的任何合伙人或高级顾问。

作者衷心感谢马凯特大学法学院学生、富乐律师事务所法律助理劳伦·休顿的贡献。