康涅狄格州已大幅扩充并强化了其消费者隐私法。根据参议院第1295号法案(第25-113号公共法案),对《康涅狄格州数据隐私法》(CTDPA)的全面修订已于2026年7月1日生效,其中一项关键义务——新的“用户画像影响评估”——将于2026年8月1日生效。 此次修订扩大了适用对象范围,拓展了受法律保护的数据范围,并就用户画像、人工智能、未成年人数据以及隐私披露增加了新的义务。对于许多企业而言,关键要点很简单:即使您此前从未受该法律约束,现在也可能被纳入监管范围。
目前哪些人属于保障范围?
自2026年7月1日起,《康涅狄格州数据隐私保护法》(CTDPA)适用于在康涅狄格州开展业务,或向康涅狄格州居民提供产品或服务的任何实体,且该实体在上一日历年内符合以下任一条件:
- 控制或处理了至少35,000名消费者的个人数据(原为100,000名),但不包括仅为完成支付交易而处理的数据;
- 处理或管理了消费者的敏感数据,无论数据量大小;或
- 在贸易或商业活动中出售消费者的个人数据,无论数量多少。
此前关于“25%或以上的总收入来自个人数据销售”的门槛要求已被取消。由于第二和第三项触发条件均未设定数值门槛,因此任何处理敏感数据或出售个人数据的企业,即使规模非常小,现在也可能被纳入《康涅狄格州数据保护法》(CTDPA)的适用范围。
根据《CTDPA》,哪些信息属于“敏感数据”?
如果贵公司在过去一年中收集或处理了以下任何信息,无论涉及的康涅狄格州居民人数有多少,都将受到该法规的约束:
| – 揭示种族或族裔背景的数据 – 揭示宗教信仰的数据 – 揭示心理或身体健康状况、诊断结果、残疾或治疗情况的数据 – 揭示性生活、性取向或非二元性别/跨性别身份的数据 – 揭示公民身份或移民身份的数据 – 消费者健康数据 – 基因或生物识别数据,或由此衍生的信息 – 精确地理位置数据 | – 从已知或被故意忽视的儿童处收集的个人数据 – 涉及个人作为犯罪受害者身份的数据 – 神经数据 – 金融账户号码、登录凭证或信用卡/借记卡号码,这些信息若与任何必要的访问码或密码结合使用,即可访问金融账户 – 政府颁发的身份证号码(例如:社会安全号码、护照号码、州身份证或驾驶执照号码) |
什么算作“销售”?
“销售”这一触发条件比许多企业想象的要广泛。根据《加州数据隐私法案》(CTDPA),“销售”包括为获得有价值的对价(不仅限于金钱)而向第三方共享、转让或披露个人数据,因此许多日常做法都可能符合这一条件,包括:
- 部署来自广告网络的追踪Cookie,以便日后投放定向广告;
- 在结账页面中嵌入第三方跟踪像素,将唯一的设备 ID 和浏览历史传输给广告网络,以此换取针对特定受众的洞察和优化后的广告活动;
- 将客户数据发送给某家供应商,而该供应商的条款允许其利用您的数据来改进自身算法或训练其人工智能模型;以及
- 与合作伙伴品牌交换忠诚度数据或电子邮件营销名单以进行交叉推广,即使没有金钱往来(此外还有其他例子)。
发生了什么变化,以及为什么这很重要
以下是《CTDPA》最新修订案对受规管企业产生的主要运营影响。
更强大的用户画像和自动化决策规则
目前,选择退出权涵盖任何产生法律效力或具有同等重要影响的自动化决策(而不仅仅是那些未经人工干预作出的决策),并明确包括由第三方或服务提供商“代表”数据控制者作出的决策。在可行的情况下,消费者可以对结果提出质疑,获得关于决策形成过程的说明,查阅所使用的数据,并在与住房相关的场合下,更正不准确的数据并要求重新评估。
消费者权益的扩大
消费者获得了与受规管的用户画像决策相关的新权利,以及获取其个人数据被出售给的第三方名单的新权利。知情权和访问权现明确涵盖推断信息和用户画像信息。值得注意的是,数据控制者不得应请求提供某些高风险类别的数据(例如社会安全号码、某些财务数据和生物识别信息);只需确认是否持有该数据即可。
加强对18岁以下个人的保护
受保护的年龄范围从13-16岁扩大至13-17岁,且现行法规对针对该年龄段的定向广告以及向其出售个人数据实施全面禁止——无论是否征得同意,只要数据控制者实际知晓或故意忽视消费者年龄在13至17岁之间,即属违规。 数据控制者还被禁止使用会增加、维持或延长未成年人使用在线服务时间的設計功能,并且必须针对未成年人的数据进行更严格的影响评估。
更新的隐私声明要求
隐私声明现必须披露个人数据是否被用于训练大型语言模型(LLMs),并说明用户画像和定向广告的做法。隐私声明必须通过主页上醒目的、包含“隐私”一词的超链接进行访问,该链接需以数据控制者使用的每种语言提供,并确保残障人士能够访问。对数据处理实践的重大追溯性变更,必须予以通知,并提供撤回同意的机会。
更严格的数据最小化要求和新的影响评估
数据收集现在必须具有合理必要性,并与已披露的目的相称;此外,任何实质性的新二次用途均需获得新的同意。对消费者进行画像以作出具有法律意义决策的数据控制者,必须针对2026年8月1日及之后创建或生成的处理活动,进行专门的影响评估(该评估应与现有的数据保护评估分开进行)。
更新的审计长职责
处理敏感数据现在既需要“合理必要”的依据,也需要获得同意,同时反歧视义务也得到了强化,以防止非法的差别待遇。
最终结论
康涅狄格州已从主要影响大型企业的“门槛式”法律,转向了一个覆盖范围更广的监管框架,该框架可涵盖规模较小的组织——尤其是那些涉及敏感数据、依赖广告技术和定向广告、以可能被视为“出售”的方式共享数据,或提供未成年人使用的在线功能的企业。随着康涅狄格州总检察长设定的整改期已过且执法工作已全面展开,拖延的代价已然增加。与康涅狄格州存在任何关联的企业应考虑采取以下措施:
- 请重新评估您是否属于适用范围。鉴于修订后的《CTDPA》中关于敏感数据和销售触发条件的条款未设定数量门槛,在未得到明确确认之前,请假定您可能属于适用范围。
- 对数据进行梳理。盘点您收集的个人数据和敏感数据,了解这些数据的使用方式以及与哪些对象共享——包括通过跟踪像素和列表交换等方式。
- 更新隐私声明和同意流程。披露用户画像、定向广告以及为训练大型语言模型(LLMs)而对个人数据进行的任何使用情况,并确保相关声明醒目、多语言且易于获取。
- 审查用户画像和自动化决策。建立符合规定的流程,以响应退出请求,说明决策依据,并针对2026年8月1日及之后的活动完成新的影响评估。
- 加强对未成年人的保护。停止针对13至17岁人群的定向广告投放及向该群体销售个人数据,并移除旨在最大化用户参与度的设计功能。
如果您不确定修订后的《加利福尼亚州消费者隐私法案》(CTDPA)是否现已适用于您的业务——或者不确定如何弥补合规漏洞——我们的数据隐私与网络安全律师可协助您评估合规义务,并制定切实可行的解决方案。请联系我们的团队成员,开启对话。