美国科罗拉多州全面升级生物识别数据保护法案,数据控制者额外义务加重

来源:垦丁律师事务所

文章摘要
引言 鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向

引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01 背景
2024 年 5 月 28 日,众议院议长和科罗拉多州参议院议长签署了第24-1130 号众议院法案,该法案涉及保护个人生物识别数据隐私。随后,该法案于同日送交科罗拉多州州长签署。
02 法案范围
该法案将修订《科罗拉多州隐私法》(CPA),要求数据控制者采取书面政策来增加对生物识别数据的保护,以便:
确定生物识别信息的保存期限;
包括应对生物识别数据安全漏洞应急响应的协议;以及
包括要求永久销毁生物鉴别标识符的准则。
该法案还规定:
禁止数据控制者收集生物特征识别符,除非控制者满足某些披露和同意要求;
规定了收集和使用生物识别数据的数据控制者的某些禁止行为和要求;
要求数据控制者允许消费者访问和更新其生物识别特征;
限制雇主征得雇员同意收集生物特征识别符的情况下可以使用的合法理由;以及
授权总检察长 (AG) 颁布法案实施细则。
03 数据控制者的义务
该法案规定了数据控制者的额外义务,包括:
将收到核实请求后销毁生物识别数据的时间从原来的 30 天延长至45 天;
禁止数据控制者在未满足额外要求的情况下购买生物特征识别符;
禁止雇主收集雇员或未来雇员的生物特征识别符;以及
禁止数据控制者在数据主体拒绝同意的情况下拒绝提供商品或服务,除非收集生物特征识别标识符对于商品或服务所必需的。
04 企业应该怎么做?
该法案是今年科罗拉多州立法机构通过的第二项 CPA 修正案,与目前生效的类似生物识别法律相比,该法案所涵盖的数据范围要广泛得多,不仅规定了一系列类似于伊利诺伊州《生物识别信息隐私法》(BIPA)的传统合规义务,还规定了一系列额外的、独特的要求和限制,目前这些多层次的“混合义务”传统上仅限于更为广泛的消费者隐私法规,这将要求许多公司在使用生物识别数据时履行一系列详细的新义务,显着增加其法律风险和责任敞口。
相关企业必须认识到由于该法案的适用门槛较低,需要格外注意自身是否落入该法案以及相关规定的适用范围。而且,依据我们的观察,该法案可能会加快其他州通过混合立法对生物识别技术实施严格要求和限制的脚步,建议相关企业尽快进行差距分析和合规行动计划,以确保当前生物识别合规实践与相关法案要求之间的一致性水平。

技术驱动法律,专业成就未来