合规的钢丝：在美国各州消费者隐私法中平衡统一性与精准性

一、引言

本文旨在概述美国各州当前的消费者隐私法规现状，分析各州法律之间的主要差异，探讨切实可行的合规方法，并为企业在监管环境分散的情况下落实隐私计划提供可操作的建议。

如今，在美国各地开展业务的公司正面临着全球最复杂的隐私监管环境之一。与欧盟通过《通用数据保护条例》（“GDPR”）确立单一、全面的框架不同，美国没有一部联邦层面的综合性消费者隐私法来规范个人信息的收集和使用。各州填补了这一空白，形成了一套快速扩张且往往相互矛盾的规则拼凑体系，这甚至对最完善的隐私管理计划都构成了挑战。 目前已有超过二十项全面的州级消费者隐私法颁布，且数量仍在增加。因此，了解各州的要求并选择正确的合规策略已不再是可有可无的选择。这是负责任的数据治理的基础；随着宽限期届满以及监管机构加强执法力度，容错空间正逐季缩小。

下文将追溯基于各州的隐私制度的兴起，探讨加利福尼亚州所发挥的举足轻重的作用，概述那些效仿弗吉尼亚州做法的“基准”州，指明这些法律之间的关键区别，探讨自动化决策条款的新兴作用，分析执法趋势，并提出两种相互竞争的合规模式，同时提供将它们整合为一个连贯体系的实用指南。

二、基于国家的隐私监管体系的兴起

2018年5月25日，《通用数据保护条例》（GDPR）正式生效，重新定义了全球对数据保护的期望，并赋予欧盟各地的个人一套关于其个人数据的强有力权利。同年，加利福尼亚州颁布了《加州消费者隐私法案》（“CCPA”），这是美国首部全面的消费者隐私法，并于2020年1月1日正式生效。 随后，《加州隐私权法案》（“CPRA”）对《加州消费者隐私法案》（“CCPA”）进行了修订并大幅扩展其适用范围。该法案于2020年11月经加州选民通过公投，并于2023年1月1日全面生效。¹

加利福尼亚州的法律奠定了基调。在随后的几年里，另有二十多个州颁布了各自的全面消费者隐私法规^。²这些法律均赋予消费者某种形式的核心权利，这些权利已成为现代隐私术语中的标准内容——包括访问权、删除权、更正权、数据可携权，以及拒绝参与某些数据处理活动的权利。然而，尽管这些法律在表面上存在相似之处，但在关键细节上却存在差异。 各州均制定了各自的定义、豁免条款、适用门槛、响应时限及义务。

这些差异绝非纸上谈兵。它们决定了某家企业是否必须遵守相关规定、合规要求在运营层面会带来多大负担、哪些类别的数据必须受到保护，以及企业应如何回应消费者权利请求。对于在多个州开展业务的组织而言——在电子商务时代，这几乎涵盖了所有具有一定规模的组织——这种差异将转化为切实的运营复杂性。

联邦隐私法的缺失是造成这种碎片化的主要原因。尽管国会对此持续关注，但围绕联邦法律是否应优先于州法律以及是否应纳入私人诉讼权的分歧，一再阻碍了立法进程。³在缺乏联邦立法的情况下，各州继续填补这一空白，这种拼凑式的局面仍在不断扩大。

三、加利福尼亚州：影响最大的州

加利福尼亚州仍是美国隐私法领域中影响力最大的单一司法管辖区。该州执行着全美最严格的要求之一，其法律包含多项其他州尚未效仿的特色条款。

• 独立的收入门槛。加利福尼亚州是唯一一个根据独立的年度总收入门槛来适用消费者隐私法的州。 根据《加州消费者隐私法》（CPRA），如果企业的年度总收入超过26,625,000美元，则须遵守该法律——这一数字是由加州隐私保护局（“CPPA”）根据通货膨胀调整后的，原门槛为2,500万美元。⁴关键在于，无论业务流程中涉及多少加州居民的个人信息，这一收入标准均适用。 其实际影响是，许多企业对企业（B2B）公司、专业服务机构及其他不直接面向消费者的组织，仅因其收入规模便被纳入适用范围，即使它们收集或处理的消费者数据量极少。
• 就业与企业间（B2B）数据的适用范围。大多数州的隐私法将其保护范围限定于“消费者”，该术语被狭义地定义为以个人或家庭身份行事的自然人——这意味着以商业或就业身份行事的个人通常不被纳入保护范围。因此，除非适用特定例外情况，企业间联系人、员工及求职者通常不属于这些法规的适用范围。 相反，加利福尼亚州采取了更广泛的立场，将其法律适用于从该州居民处收集或关于该州居民的个人信息，包括员工、求职者、独立承包商以及企业代表和联系人。⁵这极大地扩大了人力资源部门、招聘职能部门以及销售和业务开发团队的合规义务——特别是对于达到加利福尼亚州收入门槛的全国性公司而言。
• 敏感数据的悖论。《加州消费者隐私法案》（CPRA）中一项颇具反直觉的特征，在于其对敏感个人信息的处理方式。其他大多数州的消费者隐私法均要求企业在处理敏感数据（如生物识别标识符、精确地理位置、健康或医疗相关细节，以及有关种族或族裔来源的信息等）之前，必须获得“主动同意”。⁶相比之下，加州并不要求事先获得主动同意。 取而代之的是，CPRA 限制企业将“敏感个人信息”用于或披露给法规中未明确列举的目的之外，并赋予消费者限制此类使用的权利。⁷在这一特定方面，加利福尼亚州的规定出人意料地比大多数同类法规更为宽松。 然而，在几乎所有其他方面——执法机制、适用门槛、消费者权利的广度以及所涵盖数据的范围——加利福尼亚州仍然是隐私合规方面最复杂、操作要求最高的州。

对于任何正在评估或建立隐私计划的组织而言，全面了解加利福尼亚州的相关要求是至关重要的一步。

四、基准状态：弗吉尼亚模式及其变体

除加利福尼亚州外，许多州都以2023年1月1日生效的《弗吉尼亚州消费者数据保护法》（“VCDPA”）为蓝本，制定了各自的综合性隐私法。⁸这些“基准”州——包括印第安纳州、肯塔基州、田纳西州、得克萨斯州、内布拉斯加州和罗德岛州等——通常具有相似的法律框架。

基础版通常为消费者提供：

• 访问、删除、更正和转移其个人数据的权利；
• 有权选择退出：(i) 个人数据的出售；(ii) 为定向广告目的而进行的个人数据处理；以及 (iii) 在某些州，某些形式的用户画像；以及
• 要求数据控制者对高风险数据处理活动进行数据保护影响评估。

这种通用的架构看似统一。但在实践中，即便是这些表面上相似的法律，也存在差异，从而给合规工作带来了实际挑战。这些差异往往体现在细节之中——包括各州对关键术语的定义、适用门槛的设定、豁免条款的授予，以及执法机制的构建。下文将重点阐述其中影响最为深远的差异。

五、各州隐私法的主要区别

(a)“销售”的定义

“出售”的定义是各州隐私法规体系中影响最为深远的变量之一。 加州《消费者隐私权法案》（CPRA）将“出售”定义为为获取“有价值的对价”而披露个人信息，这一表述范围足够广泛，足以涵盖无需金钱交易的交换行为。⁹根据这一定义，第三方分析集成、定向Cookie、像素广告工具以及跨场景行为广告等活动均可能构成“出售”，从而触发具体的披露义务和退出权利。

然而，其他州——包括弗吉尼亚州和印第安纳州——对“出售”的定义更为狭窄，要求交易必须涉及金钱对价^。10这一定义上的细微差异，可能会极大地改变企业在Cookie、跟踪像素、分析工具和广告技术方面的合规策略。某项行为若根据加州法律构成“出售”（需提供醒目的退出机制），但在定义更为狭窄的州，该行为可能完全不属于其“出售”条款的适用范围。

(b)适用门槛

各州在隐私法适用的时间上存在显著差异：

• 加利福尼亚州根据26,625,000美元的独立年度总收入门槛适用其法律，无论消费者数据量大小如何。
• 得克萨斯州和内布拉斯加州未设定消费者数量门槛。如果某企业在该州开展业务，且不符合联邦相关定义中“小型企业”的标准，则该法律适用。¹¹
• 大多数其他州采用基于居民人数的门槛标准，但具体数值差异很大——从少则3.5万居民到多则17.5万居民不等。
• 康涅狄格州的情况尤为引人注目：自2026年7月1日起，该州修订后的门槛将降至足够低的水平，以至于许多目前不在适用范围内的公司将意外地符合条件。¹²

这些门槛差异意味着，企业不能仅进行一次适用性分析并将其普遍适用。必须按各州情况分别进行分析。

(c)豁免

在跨州隐私合规方面，豁免条款的差异是导致合规复杂性的最关键因素之一，也是最常被忽视的因素之一。对于金融服务公司、医疗保健机构和公用事业公司而言，这一点尤为明显。

主要豁免条款包括：

• 一些州对完全受《格雷姆-里奇-布利利法案》（“GLBA”）¹³约束的实体予以豁免；另一些州则仅对受GLBA约束的数据予以豁免，而该实体本身在涉及非GLBA涵盖的数据时仍处于监管范围内。
• 有些州对受监管的公用事业公司予以豁免，而有些州则不豁免。
• 有些州对非营利组织予以豁免，而另一些州则要求它们严格遵守法律。

结果是，一家在多个州开展相同业务的公司，可能完全受某一州法律的管辖，部分免于另一州的法律约束，而完全不受第三个州的法律约束。

(d)消费者权益及响应时限

尽管各州的核心消费者权益大体相似，但对消费者请求作出回应的时限却存在显著差异。 大多数州要求数据控制者在45天内回应消费者请求，但也有几个州规定了更短的30天期限。加利福尼亚州除实质性答复的截止期限外，还要求对所有请求在10个工作日内予以确认。¹⁴上诉时限——即消费者可对数据控制者拒绝其权利请求提出上诉的期限——各州之间也存在差异。

对于收到大量消费者权益请求的企业而言，这些时间表的差异确实给运营带来了复杂性，并增加了无意中违反规定的风险。

(e)数据权利的差异性

即使是出现在大多数州法律中的核心隐私权，也并非真正具有普世性。例如：

• 爱荷华州不赋予消费者更正不准确个人数据的权利。
• 犹他州并不要求数据控制者就用户画像提供退出权。
• 俄勒冈州和明尼苏达州要求数据控制者披露其共享消费者数据的具体第三方——而非仅仅披露第三方类别。¹⁵

这些差异单独来看或许微不足道，但综合起来，它们对面向消费者的沟通方式、隐私声明以及客户接洽流程的设计产生了实质性影响。

六、自动化决策与用户画像

一个日益重要的领域——且与人工智能和机器学习技术的兴起直接相关——是各州消费者隐私法中关于自动化决策（“ADM”）和用户画像的规定。正如本专题讨论会的学习目标所强调的，对于任何部署会影响消费者的算法工具的组织而言，理解这些规定至关重要。

目前，一些州的隐私法已赋予消费者拒绝参与产生法律效力或具有同等重要影响的个人画像分析的权利。¹⁶不过，具体规定因州而异。有些州对“个人画像分析”的定义较为宽泛，将其涵盖范围扩展至任何用于评估、分析或预测个人行为、偏好或特征的自动化处理。而另一些州则将拒绝权限定于那些会导致产生具体法律、财务或同等重要后果的个人画像分析。

科罗拉多州的法规是该领域中最详尽的法规之一，针对在涉及产生法律效力或具有同等重要影响的决策中使用用户画像的情况，制定了关于数据保护评估和消费者通知的具体要求。¹⁷康涅狄格州也加强了其自动决策（ADM）的相关规定。随着各州不断完善其监管框架，部署人工智能驱动工具的企业——包括自动化承保、内容个性化、定向广告算法和欺诈检测模型——应预见到，这些工具如何与消费者权益相互作用将面临日益严格的审查。

实际的启示是，企业在评估其人工智能和机器学习部署时，不能脱离隐私合规义务来考虑。同一款能够提升运营效率的算法工具，根据所在州的不同，可能会触发用户拒绝接受用户画像的义务，要求进行数据保护影响评估，或需要加强向消费者披露信息。

七、执法机制与趋势

要理解各州的隐私法律，还必须了解这些法律的执行情况，而在这方面，情况也远非千篇一律。

• 执法机构。大多数州的综合性隐私法将执法权授予州总检察长。加利福尼亚州是一个显著的例外：《加州隐私权法案》（CPRA）设立了加州隐私保护局（CPPA），这是一个拥有独立规则制定和执法权的专门监管机构——这是美国首个此类机构。¹⁸加州隐私保护局一直积极履职，颁布法规、举行公开听证会并启动执法行动。 在未设立专门机构的州，总检察长办公室既担任监管者又承担执法者角色，其用于隐私领域执法的资源配置和执行力度因州而异。
• 补救期。许多早期颁布的州隐私法都规定了强制性补救期——通常为30天——在此期间，企业在面临执法行动之前可以纠正涉嫌的违规行为。然而，一些州已允许其补救期失效，或干脆将其废除。¹⁹科罗拉多州、康涅狄格州和弗吉尼亚州最初虽设有补救期，但这些规定现已失效或转为由执法机构酌情决定。当前的趋势是采取更严格的执法措施，不再保证企业有补救的机会。
• 私人诉讼权。绝大多数州的消费者隐私法并未赋予消费者私人诉讼权；执法权限仅限于总检察长或相关监管机构。 加利福尼亚州是主要的例外，该州针对因企业未实施合理安全措施而导致的数据泄露事件，赋予了有限的私人诉讼权。²⁰华盛顿州的《我的健康，我的数据法》也针对涉及消费者健康数据的违规行为赋予了私人诉讼权。²¹私人执法权的存废（或缺失）会显著影响诉讼风险，因此应纳入企业的风险评估考量。
• 迄今为止的执法行动。各州监管机构已开始行使执法权。加州隐私保护局（CPPA）和加州总检察长已针对多家企业采取行动，指控其涉嫌未履行退出请求、未提供充分的隐私声明，以及未遵守数据最小化要求。其他各州的总检察长也同样表明，他们越来越愿意展开调查并采取行动。企业应将当前的执法环境视为监管活动的起点，而非终点。

八、合规策略：“向顶端冲刺”与“因地制宜”

目前，全美已有二十项州级消费者隐私法生效，企业面临一个根本性的战略问题：如何构建一套合规体系，以应对多项相互重叠但又不尽相同的法律要求。目前已形成两种相互竞争的模式。

(a)方法一：“向顶峰冲刺”（一刀切）

根据这种做法，企业会从所有适用的州级消费者隐私法律中确定最严格的要求——无论是涉及消费者权利、响应时限、敏感数据处理还是退出义务——并将该要求普遍适用于所有消费者，无论其居住地在哪个州。

(b)方法二：“按州设计”（按管辖区域划分）

采用这种方法，企业会构建针对各州的特定工作流程——通常借助地理定位工具——以便将各州的具体法律要求应用于居住在该州的消费者。

(c)寻求折中方案

实际上，大多数公司会采用一种混合模式，兼顾两种模式的优势。一种常见的框架可能是在大多数州适用统一的消费者权利体系——无论管辖权如何，都尊重最广泛的访问权、删除权和退出权——同时仅在法律要求存在实质性差异时，才引入针对特定州的补充条款。 例如，一份包含各管辖区特定附录的统一隐私声明，既能确保一致性，又可避免因完全分散的计划而导致的混乱。这种混合模式使企业能够在要求较宽松的州减少过度合规，同时保持在全国范围内扩展隐私计划所需的运营简便性。

九、企业应掌握的实用要点

正如本专题讨论会的学习目标所强调的，理解法律仅仅是挑战的一部分。要在二十多个司法管辖区实施合规计划，需要切实可行的规划。以下要点旨在弥合法律分析与日常执行之间的差距。

1. 进行全面的适用性评估。切勿假设一次适用性分析就能涵盖所有州。由于各州的门槛值、豁免条款和定义各不相同，一家公司在某个州可能属于适用范围，而在另一个州则可能被豁免。鉴于各州会不断修订法律并调整门槛值，应至少每年重新进行一次此类评估。
2. 绘制数据流图。了解组织收集了哪些个人数据、从何处收集、数据流向何处以及与谁共享，是遵守任何州隐私法的先决条件。数据流图绘制还有助于开展数据保护评估，越来越多的州要求对高风险处理活动进行此类评估。
3. 审慎评估您的合规模式。无论企业选择“争先恐后”模式、针对特定司法管辖区的做法，还是混合模式，都应经过深思熟虑后做出决定，而非默认采用。合适的模式取决于企业的运营状况、系统架构、风险承受能力、所属行业、数据处理实践以及内部资源。
4. 请密切关注敏感数据。由于各州对“敏感数据”的定义不同，且规定的同意要求也各异——大多数州采用“主动同意”模式，而加利福尼亚州则采用“使用限制”模式——企业必须准确了解其处理的数据中哪些属于“敏感”类别，以及各相关州对此类数据的监管规定。
5. 将用户画像和自动化决策合规性纳入人工智能治理体系。部署人工智能和机器学习工具的企业，应根据各相关州的用户画像和自动化决策规定对这些工具进行评估。随着监管机构日益关注算法问责制，隐私法与人工智能治理的交汇点将变得愈发重要。
6. 关注执法动向。执法环境正在迅速变化。企业应密切关注监管指引、执法行动及诉讼进展，将其视为监管预期的先行指标。及早投入资源进行监测，将有助于降低执法风险，从而带来回报。
7. 投资于培训。鉴于跨州隐私合规的复杂性，员工培训至关重要。无论企业采用统一的合规模式还是针对特定司法管辖区的合规模式，一线人员——从客服代表到营销团队再到人力资源专业人员——都需要了解自身的义务以及如何正确履行这些义务。
8. 重新审视与更新。隐私合规并非一次性项目。随着新法规的生效、现有法规的修订、整改期限的届满以及执法力度的加强，企业应将隐私合规计划视为需要持续关注的动态框架。

X. 结论

美国各州的消费者隐私法规体系已变得极为复杂，这要求每一家收集个人信息的组织都必须持续、审慎地予以关注。了解各州独特的合规门槛、定义、豁免条款、消费者权益及执法机制是基础。但选择正确的合规策略——并将其有效落实——同样至关重要。

无论企业倾向于采用“一刀切”策略、针对特定司法管辖区的方案，还是混合模式，周密的规划和一贯的执行都至关重要。上文概述的实用建议旨在帮助本次专题讨论会的与会者将法律环境转化为具体的合规行动。随着各州持续立法、监管机构持续执法，那些致力于理解并落实这些框架的企业，将最能有效管理风险，并与所服务的消费者建立信任。

如需进一步参考，从业者可查阅Foley & Lardner LLP发布的《美国各州消费者数据隐私法综合对比表》，该文件可于以下链接获取：https://www.foley.com/insights/publications/2026/01/us-state-consumer-data-privacy-laws/。

[1] 《加州民法典》第1798.100条及以下条款。为便于阅读，CCPA和CPRA统称为CPRA。

[2] 截至本文发布之日，加利福尼亚州、弗吉尼亚州、科罗拉多州、康涅狄格州、犹他州、爱荷华州、印第安纳州、田纳西州、得克萨斯州、蒙大拿州、俄勒冈州、特拉华州、新罕布什尔州、新泽西州、内布拉斯加州、肯塔基州、马里兰州、明尼苏达州和罗德岛州等州已颁布了全面的州级消费者隐私法。

[3]参见，例如，《美国数据隐私与保护法》（H.R. 8152，第117届国会，2022年）（该法案已通过委员会审议，但未获得全体会议表决）。

[4] 《加州民法典》第1798.140(d)(1)(A)条；《加州法规汇编》第11卷第7001(d)条（经通货膨胀调整后的门槛值）。

[5] 《加州民法典》第1798.140(c)(1)至(2)款。

[6]参见，例如：《弗吉尼亚州法典》第59.1-578(A)(5)条；《科罗拉多州修订法规》第6-1-1308(7)条；《康涅狄格州总法规》第42-520(a)(5)条。

[7] 《加州民法典》第1798.121(a)条。

[8] 《弗吉尼亚州法典》第59.1-575至59.1-585条。其他基准州包括但不限于印第安纳州（《印第安纳州法典》第24-15-1-1至24-15-14-1条）、肯塔基州（《肯塔基州修订法典》第367.400–367.499）、田纳西州（田纳西州法典第47-18-3301至47-18-3313条）、得克萨斯州（得克萨斯州商业 & Com. Code §§ 541.001–541.205）、内布拉斯加州（Neb. Rev. Stat. §§ 87-1101 至 87-1116）以及罗德岛州（R.I. Gen. Laws §§ 6-48.1-1 至 6-48.1-16）。

[9] 《加州民法典》第1798.140(ad)(1)条。

[10]参见《弗吉尼亚州法典》第59.1-575条（将“个人数据销售”定义为数据控制者“为获取金钱报酬”而向第三方转让个人数据的行为）；《印第安纳州法典》第24-15-2-17条（同上）。

[11] 《德克萨斯州商业与贸易法典》第541.002(a)条；《内布拉斯加州修订法规》第87-1103条

[12] 《康涅狄格州总法规》第42-516(a)条（经修订，自2026年7月1日起生效）。

[13] 《美国法典》第15编第6801–6809条

[14] 《加州民法典》第1798.130(a)(1)条。

[15]参见《爱荷华州法典》第715D章（未规定更正权）； 《犹他州法典汇编》第13-61-101至13-61-404条（未规定拒绝参与用户画像的权利）；《俄勒冈州修订法规》第646A.578(1)(d)条（要求披露具体第三方）；《明尼苏达州法规》第325O.07条第1款（类似规定）。

[16]参见，例如：《科罗拉多州修订法规》第6-1-1306(1)(a)(IV)条；《康涅狄格州一般法规》第42-520(a)(6)条；《弗吉尼亚州法典汇编》第59.1-577(A)(5)条。

[17] 《科罗拉多州法规汇编》第4卷第904-3节，第7-8条。

[18] 《加州民法典》第1798.199.10条。

[19]参见，例如，《弗吉尼亚州法典》第59.1-584(B)条（30天补救期）；《科罗拉多州修订法规》第6-1-1311条（补救期将于2025年1月1日失效）。

[20] 《加州民法典》第1798.150(a)(1)条。

[21] 《华盛顿州修订法典》第19.373.005–19.373.900条。