科罗拉多州儿童数据保护法案签署生效,企业合规挑战升级

来源:垦丁律师事务所

文章摘要
引言 鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向

引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01、背景
2024 年 5 月 31 日,科罗拉多州州长签署了关于儿童在线数据隐私保护的第24-041 号参议院法案,使其成为法律。
02、控制者和处理者的义务
该法案规定,提供任何在线服务、产品或功能的控制者应:
• 对于控制者实际知道或故意忽视一个消费者是未成年人,如果存在对未成年人造成高风险伤害的情况,则必须进行数据保护评估;以及
• 如果控制者知道某人是未成年人,或者故意忽略某人可能是未成年人,则控制者必须:
o 采取合理的谨慎措施,避免产品、服务或功能对未成年人造成高风险伤害;
o 对产品、服务或功能进行并审查数据保护评估;以及
o 在科罗拉多州总检察长 (AG) 提起的任何执法行动中,有一个可反驳的推定,即控制者已经采取合理的谨慎措施,避免在线服务、产品或功能对未成年人造成更大的高风险伤害。
该法案还规定,未经未成年人同意,或者对于 13 岁以下的未成年人,未经父母或法定监护人同意,控制者不得:
• 出售未成年人的个人数据或将未成年人的数据用于有针对性的广告;
• 出于收集数据所披露目的以外的任何目的,或出于披露目的所合理需要的目的处理数据;或
• 处理数据的时间超过提供产品、服务或功能所需的时间。
该法案还规定,对控制者或处理者施加的义务不适用于以下人员:
• 由第三方提供的、控制者有理由认为根据适用法律属于受保护言论的信息;
• 个人在家庭或个人活动中对个人数据的处理;
• 如果控制者收集信息以确定消费者年龄,则控制者或处理者在实施年龄验证、年龄限制系统(age-gating systems)或收集消费者年龄时,不承担错误估计年龄导致的责任;以及
• 控制者或处理者的任何义务都会对任何人受美国宪法保障的言论自由或新闻自由的权利产生负面影响。
03、生效日期
该法案将于 2025 年 10 月 1 日生效,除非按照法案规定提交修正案。
04、企业应该怎么做?
在过去的几年里,不同州已经通过了几项旨在解决儿童隐私和安全问题的法律,在 2024 年的州立法会议期间,弗吉尼亚州和科罗拉多州都修改了隐私法,为儿童数据增加了特定的在线隐私保护规定。
本次科罗拉多州州长签署的法案对CPA进行了修订,适用于任何控制消费者个人数据(控制者)并在科罗拉多州开展业务或向科罗拉多州居民提供产品或服务的实体,无论该活动产生的收入数量或金额如何,其要求适用于比 CPA 目前涵盖的更多的实体。我们理解这对于出海企业而言是一个明确的信号,表明美国各州在现有隐私框架的基础上加强对儿童在线数据的保护的趋势越来越强烈。此外,2024 年州立法会议期间针对规范青少年在线保护的另一个途径是新的适龄设计规范框架(“AADC 2.0”),今年在马里兰州和佛蒙特州获得通过。
出海美国的企业,尤其是面向儿童的产品或服务,需要注意重点出海的州是否有针对儿童的隐私保护规定,并有针对性的在出海前进行调研和整改,保证产品不触碰儿童保护规定的红线。

技术驱动法律,专业成就未来