2024年1月16日,新泽西州州长菲尔·墨菲签署参议院第332号法案(SB 332),确立了该州消费者数据隐私法——《新泽西州数据隐私法案》(NJDPA),该法案将于2025年1月15日生效。 该立法使新泽西州成为2024年首个实施全面隐私立法的州,加入了13个已颁布类似法律的州行列。鉴于联邦层面的立法在可预见的未来仍将停滞不前,NJDPA标志着全美正日益关注通过州级立法强化消费者个人数据保护。
尽管《新泽西州消费者数据保护法》(NJDPA)与其他综合性州隐私法律(如《加州隐私权法案》(CPRA)、《科罗拉多州隐私法案》(CPA)和《弗吉尼亚州消费者数据保护法》(CDPA))存在诸多相似之处,但二者之间也存在显著差异。因此,仅遵守现行消费者数据隐私法律可能不足以满足NJDPA的要求,企业必须确保其符合各州所采取的独特要求和方法。
适用性与豁免
适用性标准
《新泽西州数据保护法》适用于任何在"新泽西州开展业务或生产面向新泽西州居民的产品或服务"的企业(数据控制者),且在日历年内满足以下任一标准:
- 控制或处理新泽西州10万或以上消费者的个人数据(不包括仅为完成支付交易而控制或处理的数据), 或
- 控制或处理25,000名或以上新泽西州消费者的个人数据,并通过出售个人数据获得收入或享受任何商品或服务的折扣。
值得注意的是,与科罗拉多州的《消费者隐私法》类似,《新泽西州消费者隐私法》并未规定企业必须从数据销售中获得的收入占比门槛。 当前其他多数州隐私法通常仅适用于年收入中25%至50%来自个人数据销售的企业。此外,新泽西州隐私法案的适用性不涉及任何形式的收入门槛,这意味着即使收入较高,只要企业处理个人数据的程度较低,也可能不受该法律约束。
个人数据
《新泽西州数据保护法》适用于企业或"控制者"对"个人数据"的处理,该术语定义为"与已识别或可识别的个人相关联或可合理关联的信息"。个人数据明确排除去标识化数据及公开可获取数据。
消费者数据与商业数据
重要的是,新泽西州消费者隐私法案(NJDPA)明确区分了消费者数据与雇佣或商业数据。 该法案仅适用于"消费者"信息,其定义为仅以个人或家庭身份行事的新泽西州居民。因此,与除加州《消费者隐私权法案》(CPRA)外的多数州隐私法类似,新泽西州隐私法案不适用于商业或雇佣场景中的个人信息——包括求职者身份或作为雇佣场景中其他个体的受益人身份。
豁免
《新泽西州数据保护法》包含许多现行普遍适用的豁免条款,涵盖州政府机构及受《健康保险携带与责任法案》(HIPAA)、《格雷姆-里奇-比利雷法案》(GLBA)和《公平信用报告法案》(FCRA)监管的数据。 然而,该法案未对受HIPAA监管的实体设置豁免条款,亦未涵盖非营利组织或高等教育机构处理的豁免数据(或受《家庭教育权利与隐私法》约束的教育数据)。
此外,如前所述,《新泽西州隐私权法案》对个人数据的定义明确排除了去标识化和公开可获取的数据。该法案对去标识化数据的处理方式与《弗吉尼亚州消费者数据隐私权法案》类似,要求数据控制者"公开承诺"保持数据去标识化状态,并通过合同条款强制数据接收方遵守相同义务。 因此,受《新泽西州隐私法》约束的企业可能需要审查并修订涉及共享去标识化数据的合同。该法对"公开可获取信息"的定义也比《加州隐私权法案》等法律更为宽泛,不仅涵盖政府记录中依法公开的信息,还包括控制者有合理依据认为消费者已依法向公众公开的信息。
商业义务
《新泽西州数据保护法》对个人数据控制者规定了多项义务。这些义务旨在确保企业以负责任且透明的方式处理个人数据。
透明度
与其他消费者数据隐私法类似,数据控制者必须向消费者提供隐私声明,该声明应具备合理可获取性、清晰度和实质性。隐私声明必须包含以下信息:
– 处理的个人数据类别。
– 处理个人数据的目的。
– 数据披露的第三方类别。
– 消费者如何依法行使自身权利(详见下文消费者权利)。
– 向消费者通知隐私声明重大变更的方法。
– 一种用于咨询的电子联系方式。
若数据控制者向第三方出售个人数据,或为定向广告或用户画像目的处理个人数据,其隐私声明必须清晰醒目地披露此类销售或处理行为。声明还须说明消费者可通过何种方式选择退出此类销售或处理。数据控制者不得因消费者选择退出销售、定向广告或用户画像处理而对其实施歧视。
通用退出机制
自《新泽西州消费者隐私法》生效之日起六个月后,任何为定向广告、个人数据销售或用户画像目的处理个人数据的数据控制者,均须通过用户自主选择的通用退出机制,允许消费者选择退出此类数据处理活动。加利福尼亚州与科罗拉多州已批准使用通用隐私控制(GPC)浏览器信号实现此目的。
获取特定处理的同意
控制者在处理敏感数据前必须获得明确同意(通过主动选择加入)。此类数据包括: 揭示种族或族裔背景、宗教信仰、身心健康状况、治疗或诊断信息;性生活或性取向;公民身份或移民身份;跨性别或非二元性别身份;可能用于唯一识别个体的基因或生物特征数据;或精确地理位置数据。
数据控制者在处理以下个人数据前必须获得同意:(i) 13岁以下未成年人(且须遵循联邦《儿童在线隐私保护法》(COPPA)处理数据);(ii) 13至16岁未成年人——若处理目的涉及定向广告、消费者个人数据销售,或为制定涉及消费者法律效力或同等重要影响的决策而进行的画像分析。
数据保护评估
《新泽西州数据保护法案》(类似于《科罗拉多州数据保护法案》)禁止数据控制者在未事先进行并记录数据保护评估的情况下处理可能对消费者造成"高度危害风险"的数据。"高度危害风险"的定义为:
- 为建立用户画像或投放定向广告而处理个人数据
- 个人数据的“出售”
- 处理“敏感数据”
- 处理个人数据用于建立个人画像,若该画像存在可合理预见的风险:
- 对消费者采取不公平或欺骗性对待,或造成非法的不平等影响
- 对消费者的财务或身体伤害
- 对消费者独处或隐居状态、私人事务或关切的物理或其他形式的侵犯,若该侵犯行为会令合理人士感到冒犯。
- 对消费者造成的其他重大损害。
与加工商签订的合同
与其他消费者数据隐私法类似,数据控制者必须与数据处理者签订包含特定条款和条件的合同,以满足《新泽西州数据隐私法》规定的义务。
消费者权益
与其他消费者数据隐私法类似,《新泽西州消费者数据保护法》赋予消费者以下权利:确认企业是否正在处理其个人数据,访问个人数据,更正个人数据中的任何不准确之处,要求删除个人数据,以及每年两次以可移植格式获取个人数据。 消费者有权拒绝企业出于以下目的处理其个人数据:(a)定向广告;(b)个人数据销售;(c)为产生法律效力或类似重大影响的决策而进行的个人画像分析。
数据控制者须在收到消费者权利请求后45天内作出回应,特定情况下可额外延长45天。数据控制者还须免费回应并提供所请求的信息,每年最多一次;但若在12个月内收到多次请求,则可收取费用。
执行
《新泽西州消费者数据隐私法》不赋予消费者私人诉讼权。与其他许多州级消费者数据隐私法律类似,该法案将由新泽西州总检察长独家负责执行。法律生效后的前18个月内,数据控制者享有30天的整改期以纠正任何违规行为。若控制者未能在此期限内完成整改,总检察长可启动执法行动。
消费者事务部可颁布法规以实施《新泽西州消费者保护法》。
罚款
《新泽西州数据保护法》未规定任何法定罚款。然而,违反该法将构成违反《新泽西州消费者欺诈法》的行为,首次违规最高可处以10,000美元罚款,后续违规最高可处以20,000美元罚款。
对企业的影响
《新泽西州消费者数据保护法》是2024年预计加入日益扩大的行业特定及州特定隐私法律体系的首部法规。 因此,可能受新法规约束的组织必须采取主动措施确保合规进程。对于已遵守或正在努力符合现行消费者数据隐私法规(如加州《消费者隐私权法案》、科罗拉多州《消费者隐私法案》或弗吉尼亚州《消费者数据隐私法案》)的组织,其现有合规工作与新法规要求的政策流程将存在显著重叠。 然而,尚未受其他类似隐私法规约束的组织,可能需要投入大量资源才能确保合规。为此,企业应优先开展以下活动以确保合规,并减轻未来的合规负担:
- 开展数据映射工作,以了解组织处理和维护的数据类型、数据的使用目的,以及所有数据是否必要。
- 执行隐私影响评估。
- 启动与独立网络安全审计公司的合作,针对"危害风险加剧"的处理流程开展审计。
- 更新政策和程序,以符合《新泽西州数据保护法》的新要求和义务。
- 开始制定业务流程,以便消费者能够行使他们的新权利。
- 确保该组织拥有符合《新泽西州隐私保护法》要求的隐私声明,该声明应具备合理可访问性、清晰度及实质意义。
- 审查与第三方数据处理方的业务关系,以明确各方的角色及潜在要求。
如需了解《新泽西州数据隐私法》及其具体要求,或寻求合规协助,请联系本文作者或福里律师事务所网络安全与数据隐私业务领域的任何合伙人或高级顾问。
