内华达州通过了2019年10月生效的退出法 -三个月在CCPA之前

在加利福尼亚州的脚步之后,内华达州通过了一项新的隐私法,为消费者提供退出销售个人信息的权利。参议院账单220(SB-220)于2019年5月29日由州长Steve Sisolak签署法律,修改了内华达现有的在线隐私法规,NRS 603A.340,包括在线运营商向消费者提供选择退出网站或在线服务收集的特定个人信息的手段。该法案于2019年10月1日生效 - 2019年1月1日提前三个月,2020年1月1日起,加州消费者隐私法案(CCPA)起生效日期 - 这可能迫使公司快速履行实施要求的实施努力。

法定覆盖和关键定义

虽然在CCPA退出的概念中,但内华达州法律的范围和覆盖率远远窄于加州法律,并且不提供任何其他消费者访问或删除个人信息。与CCPA对在线和离线业务的覆盖范围相比,内华达法律仅适用于在线“运营商“谁拥有或经营网站或在线服务以进行商业目的,谁收集和维护有关使用或访问在线服务的内华达消费者的有关的信息。该法规不包括在受GLBA的覆盖金融机构,受到HIPAA的实体(偏离CCPA,只会豁免在这些规约下的个人信息,而不是实体本身),以及某些机动车制造商或维修服务。

内华达州法律也定义了“消费者“比CCPA更狭窄。在内华达州法律下,“消费者”被定义为寻求收购任何好的,服务,金钱或信贷的人个人,家庭或家庭用途来自运营商。因此,SB-220可能不适用于运营商的员工,也不适用于与运营商聘用的商业客户,作为业务(B2B)关系的一部分。

最后,内华达法规适用于“涵盖的信息“这被定义为有关操作员通过网站或在线服务收集的消费者的个人身份信息列表,并以可访问的形式维护,包括:

  • 名字和姓氏;
  • 家庭或其他物理地址;
  • 电子邮件地址;
  • 电话号码;
  • 社会安全号码;
  • 标识符允许与特定人员联系(物理或在线);或者
  • 关于一个人的其他信息,它与以符号的形式结合收集和维护,该标识符使得该信息个人识别。

SB-220的退出右

SB-220需要运营商建立“指定请求地址” - 通过电子邮件,免费电话号码或网站 - 消费者可以提交“经过验证的请求”,以选择运营商任何涵盖信息的“销售”收集或将来会收集消费者。通过这种方式,SB-220比CCPA缺乏,这需要涵盖的企业提供链接 - 标题请勿在商业网站和移动应用程序上以及隐私政策中销售我的个人信息。

运营商必须验证请求的真实性并使用“商业合理的方式”来识别消费者。SB-220不提供关于如何执行此类验证的指导。

一旦消费者提交了可验证请求,运营商有60天的回应,尽管如果操作员确定合理必要并向消费者提供通知,但该时间表可能会延长多达30天。

履行消费者退出请求的义务似乎无限期地申请。Unlike the CCPA, which specifies that a business must honor the consumer’s opt-out request for at least 12 months before requesting the consumer reauthorize the sale of personal information, the Nevada statute is silent on the possibility of requesting the reauthorization of data sales in the future.

SB-220的“销售”定义

SB-220的“销售”定义比CCPA的范围更窄。根据SB-220,“销售”仅限于“销售”由运营商向将以“向额外人员授权或销售所涵盖的信息的货币考虑涵盖的货币审议信息”。销售定义也有广泛的排除,包括披露:

  • 对代表运营商处理有关资料的人(类似于CCPA中的服务提供商排除,但没有承包要求);
  • 为了支付操作员控制的,由另一家公司控制或受到共同控制的;
  • 出于提供消费者请求的产品或服务的目的,消费者与公开数据的实体有直接关系;
  • 出于与消费者的合理期望一致的目的,基于消费者提供信息的背景;和
  • 与合并,收购,破产或其他交易有关。

这种定义与CCPA下的“销售”定义呈现出与“销售”的定义,其中包括“销售,租赁,释放,披露,传播,制定,转移或以其他方式沟通。。。消费者的个人信息由业务到另一个商业或第三方的货币或其他有价值的考虑,“这可能包括一些不分享共同品牌的业务关联公司的转移。

通知要求

SB-220没有引入在内华达州法律下已经需要的义务,除了提供指定的选择退出请求地址。内华达州现有的在线隐私法规要求网站和在线服务的运营商在其网站上就其隐私实践提供通知。这些通知必须披露收集的个人身份信息类别,可以共享信息的第三方类别,消费者可能用于审查和请求改变此类信息的流程,以及是否有任何第三方是否会随着时间的推移收集信息不同的网站或在线服务。

律师一般执法

原于原稿,SB-220载有私人行动权。但是,修订了该法案,为内华达州司法部长的办事处唯一负责执行通知和退出要求,并指出没有私人行动权。司法部长有能力对违反规约的违规行为施加民事处罚,高达每次违规5,000美元。

外带

内华达州的一个人之一考虑消费者隐私立法的十个国家今年 - 这种立法仍在等待中马萨诸塞州纽约罗德岛。内华达州的退出要求将在仅仅四个月内生效(CCPA之外的三个月)突出了创建隐私和数据安全合规计划的必要性,以便适应快速发展状态法定要求。

你准备好了CCPA吗?采取orrick的CCPA准备评估。

  • 评估贵公司的CCPA规定。
  • 收到一份汇总可能的关键影响的互补报告。
  • 使用该报告开发CCPA项目计划。