美国各州在线隐私的最佳与最差状况(2024年更新)
发布于2023年7月10日,由撰写。
在美国,并没有全面的在线隐私法,每个州都有自己的规定。一些州拥有全面的保护措施,而另一部分则允许网站收集、分享你的数据并追踪你的在线行为。
本文将探讨目前哪些州的隐私保护最佳和最差,美国在联邦和州层级为保护在线隐私所做的努力,以及如何在缺乏网络安全立法的州保护自己的隐私。
我们的排名标准
我们的研究团队检查了各种标准,以确定目前哪些州的消费者保护措施最好,以及哪些州在改善消费者隐私方面取得了最佳进展。
为了创建我们的排名,我们提出了以下问题,并对每个州的结果进行统计:
隐私法律的一般强度
- 消费者是否有权访问、删除或修改个人数据?
- 消费者是否可以选择是否参与数据的收集和使用?
- 公司是否需要披露数据的收集来源及使用信息?
- 根据现行法律,互联网服务提供商是否需要保护在线隐私?
数据安全法律的一般强度
- 使用了哪些方法来创建和执行隐私政策?
- 各州的公司如何保护消费者数据?
数据经纪人法律的存在
- 是否有法律禁止销售某些形式的信息?
- 是否有法律监督/规范收集的信息类型?
- 消费者在与数据经纪人相关方面拥有哪些权利?
儿童隐私保护的法律
- 是否有法律保护0-9岁的儿童在互联网上使用时的隐私?
- 家长/未成年人是否可以要求删除数据?
公司的数据收集政策强度
- 员工是否有权要求删除个人数据?
- 员工是否可以选择退出第三方共享?
- 公司是否需要披露其收集/存储的员工数据?
妨碍数字隐私的法律
- 该州是否制定了妨碍数字隐私的法律?
- 州立法者是否对进一步损害公民在线隐私权的立法表示支持?
PIA的数字隐私最佳与最差州排名
具有显著数字隐私改善的美国州
美国的在线隐私法律
保护 | 适用于 | 采纳于
访问、删除或更改企业已收集的个人数据| 消费者| UT, CA, VA, NV
选择退出个人数据的收集/使用| 消费者| CO, UT, VA, CA
要求企业披露收集的个人信息、来源及用途| 消费者| CA, UT, NV
拒绝将个人数据出售给第三方| 消费者| CO, NV, UT, VA
要求互联网服务提供商保护某些用户信息的私密性,除非用户另有要求| 消费者| NV, MN
要求互联网服务提供商在披露用户的上网习惯或访问的网站之前先获得用户的同意| 消费者| NV, MN
禁止互联网服务提供商使用、披露、出售或允许访问用户个人信息,除非根据用户的要求| 消费者| ME
禁止网站/在线服务运营商根据特定于未成年人的信息向未成年人广告某些产品,或明知地使用、披露或编制未成年人的信息或允许第三方这样做| 儿童| DE, CA
允许未成年人删除或要求删除网站、服务和移动应用上的个人内容或信息| 儿童| CA
要求隐私政策在网站上公开显著显示| 消费者| CO, CA, CT, UT, VA
要求运营商披露第三方是否可能在其网站/服务上进行追踪| 消费者| DE, CA
要求运营商披露其网站/服务对“请勿追踪”信号的回应| 消费者| CA
禁止在隐私政策中故意作出虚假或误导的声明| 消费者| NE, PA
要求政府网站和州门户网站建立隐私政策或程序,或纳入机器可读的隐私政策| 消费者| AZ, AR, CA, CO, DE, IA, IL, ME, MD,
MN, MT, NY, SC, TX, UT, VA
要求雇主在监视电子通信或上网访问之前通知员工| 员工| CT, DE, NY
要求州和公共实体针对监视公务员电子邮件采纳政策| 员工| CO, TN
(A) 禁止雇主要求员工下载一个可以跟踪他们的位置或透露个人信息的移动应用到其个人设备。 (B) 禁止因拒绝或反对(A)中所述的任何做法而实施报复。|
员工| HI
要求私营部门雇主在雇用任何员工时立即提供书面通知,使其意识到自己是否受到电子、互联网或电话监视| 员工| NY
要求州及其下属机构在运行或维护电子邮件通讯系统时,采纳监视的书面政策以及何时/为何进行监视| 员工| CO, TN
要求雇主提供声明,指出所有电子邮件可能根据公共记录法被公开,并可供公众查阅| 员工| CO, TN
保护K-12学生的个人信息| 儿童| NJ
迫切需要改善隐私法的州
其他著名的在线隐私法律
总结 | 采纳于
拥有生物识别数据保护法| NY, IL, CA, TX, WA
将数据处理法律适用于政府和商业实体| AL, AK, HI, IL, MA, AZ, AR, KS, MD, MA, MI, NJ, OR, SC, WA
将数据处理法律仅适用于政府实体| VA, MN, TX
将数据处理法律仅适用于商业实体| CA, CO, CT, DE, FL, GA, IN, KY, LA, MT, NE, TN, VT, NV, NM,
NY, NC, RI, UT, WI
要求录音的双方在任何录音类型上取得同意| CA, CT, FL, IL, MD, MA, MT, NH, PA, WA
拥有关于人工智慧(AI)使用的法律| AL, CO, IL, MS, NYC
具有网络安全专责小组的州
为应对网络犯罪的增加,一些州已开发特殊小组来应对网络威胁。目前,有30个州设立了专责小组或类似的执法机构。只有8个州主动创立立法并发展自己的专责小组;其余为行政命令发布的。
拥有专门网络犯罪专责小组的美国州
★ 亚利桑那州
★ 阿肯色州
★ 加利福尼亚州
★ 科罗拉多州
★ 康涅狄格州
★ 德拉瓦州
★ 佛罗里达州
★ 乔治亚州
★ 爱达荷州
★ 伊利诺伊州
| ★ 印第安纳州
★ 爱荷华州
★ 堪萨斯州
★ 路易斯安那州
★ 缅因州
★ 马里兰州
★ 明尼苏达州
★ 密西西比州
★ 密苏里州
★ 蒙大拿州
| ★ 新罕布什尔州
★ 纽约州
★ 北卡罗来纳州
★ 北达科他州
★ 俄勒冈州
★ 罗德岛州
★ 德克萨斯州
★ 犹他州
★ 佛蒙特州
★ 维吉尼亚州
联邦数字隐私和安全法
目前,联邦(全国性)在数字隐私和安全方面的法律虽有美好意图却模糊不清。每部法律往往针对某一特定领域、问题、年龄组或行业,而无法为所有消费者和企业提供稳定的解决方案。我来给你举几个联邦在线隐私法律的例子。
HIPAA的安全规则
《医疗保险流通与责任法案》(HIPAA)创建了电子受保健康信息(e-PHI)的安全性国家标准,电子交换和电子PHI的隐私。
它适用于任何与交易相关的电子方式发送健康信息的护理提供者。最终,HIPAA是隐私规则的一个分支,涵盖了与患者相关的所有个人识别健康信息(PHI)。
缺点: HIPAA仅针对e-PHI。
联邦贸易委员会(FTC)公平信息实践
FTC已制定多项公平信息实践以保护您的在线隐私。大多数与网站透明地告知其要求的信息、如何使用这些信息以及为何需要该信息有关。网站运营商必须提供其隐私实践的通知,包括是否:
- 消费者可以访问、修正和删除个人信息
- 消费者对网站如何使用其收集的信息有决定权
- 父母对从儿童收集和使用的情报有控制权
- 网站如何保护所收集的信息
网站还必须有执法机制以证明它们遵循公平信息实践。
缺点:
虽然网站必须告诉您,如果您对他们如何使用收集的信息有话语权,但FTC的做法并不禁止网站向第三方分享或出售您的数据。网站只需要告诉您是否这样做,以及如果您是否对此有控制权,以及其是否有对收集的信息的安全保护。
电子通信保护法(ECPA)
EA 于1986年通过,最初是保护电话通信的。修订后的ECPA现在保护电子通信的创建、传输和存储。它将电子通信定义为电子邮件、电话通话和电子存储数据。
ECPA还包含一项修订,称为存储通信法(SCA),该法保护服务提供商保存的所有订阅者纪录,包括姓名、计费信息/纪录和IP地址。
缺点: 虽然ECPA涵盖了电子邮件和电子存储的数据,但不明确VoIP通信是否受到保护。
美国数据隐私与保护法(ADPPA)
一部名为《美国数据隐私与保护法》(ADPPA)的联邦法案正在国会进行审议。提议的ADPPA及其立法路径是美国国会在通过全面联邦隐私立法方面的最近进展。
该法案确立了公司(包括非营利组织和普通运输商)处理个人数据的要求,其中包括与身份相关或可合理链接到个体的信息。这一两党、两院的法案是美国消费者隐私法案中首次通过委员会标记的法案,几乎获得一致通过。
缺点: 该法律目前仅对新个人数据的使用进行严格要求,对于预先存在的数据则提供了最低的限制。
FD&C法案第524B条
FD&C法案于2023年修订以包含第524B条,确保设备的网络安全性。开发医疗设备的制造商(赞助商)必须提交计划,针对潜在的网络安全威胁进行识别和监控。
在联邦政府对海量个人识别信息(PII)和电子保护健康信息(ePHI)的传输中,经常出现担忧,这项法律要求制造商提供更新和补丁,使网络设备以及所有相关软件和连接系统可用,以更好地防止网络攻击。
这包括及时处理(a)不可接受的漏洞或相当的例行程序,以及(b)对于造成不必要风险的关键漏洞,尽快处理。
缺点: 对于旧版CMD的处理不如对新技术的要求严格。
儿童在线隐私保护法(COPPA)
根据COPPA,网站如意图收集或使用未成年人的个人信息,必须验证父母或法定监护人的同意。COPPA中的其他值得注意的在线隐私保护措施包括:
- 确定何时及如何从父母/法定监护人处获取可验证的同意的信息
- 网站运营商对于儿童的在线安全和隐私有何项责任(如有)
- 限制对13岁以下儿童收集数据的数量
- 要求网站运营商在任何收集数据的页面上张贴隐私政策
缺点: COPPA并未提供可验证的父母/法定监护人同意的具体规则,虽然FTC提供一些指导和建议。
联邦与州法律
一般而言,在美国,联邦法律优先于州法律。根据最高法条款,当法律冲突时,联邦法律将取代州法律。不幸的是,这并不是一条绝对规则,因此存在漏洞。
各州有权驳回任何能证明违反美国宪法的联邦法律。这一先例并不适用于州认为违反其宪法的联邦法律。各州也有权增加或修改要求。
另一方面,联邦政府可以代表国家起诉各州。一个例子是加州为维护其互联网消费者保护法和网络中立法而进行的斗争。
2018年9月,司法部对加州提起诉讼,试图阻止其新的网络中立法案,尽管该法案已获加州州长杰瑞·布朗签署时。当时的司法部长杰夫·塞申斯强烈认为各州无权规范州际商务,而这应该由联邦政府来负责。
这位法务部长认为该立法是违法的,因为FCC在全国范围内废除了网络中立保护。最终,一个下级法院裁定加州可以保留其网络中立法律,联邦上诉法院在2022年1月维持了这一裁定。
《美国数据隐私与保护法》的出现
2022年6月3日,众议院和参议院发布《美国数据隐私与保护法》(ADPPA),这可能取代加州的法律,根据数据、隐私和网络安全的律师和讲者OmerTene的说法。
最近最大的发展是众议院提出的三方联邦隐私法案。如果通过,这将是比GDPR和CCPA更具意义的事件。该法案引入了算法影响评估、暗模式和高级职员责任等新概念。这将大大加强对美国数据经纪人和广告技术公司的监管。它将消除加州、维吉尼亚和科罗拉多等地的隐私法律,并为个体提供强有力的私人诉讼权。
尽管在线隐私法案尚未通过,但它将限制数据的收集、处理和传输,仅限于提供和维护消费者所要求的服务所绝对必要的范围。
ADPPA还将禁止包括收集、处理和传输社会安全号、生物识别信息、基因信息和非自愿性性图像等行为。还将限制从智能手机和可穿戴设备传输地理位置和密码、浏览历史以及物理活动的信息。
不过,ADPPA在有关数据收集、处理和传输的政策和程序方面还存在一些模糊之处。它要求公司_考虑_减少对未成年人的隐私风险,并根据公司的规模、处理的数据量和其他标准给予豁免。不幸的是,“合理的”、“必要的”和“考虑”等字眼经常出现,为解释留下了余地。对于某些人来说,什么是_合理的_可能对其他人来说却是过度的,“考虑”并不意味著遵从,而“必要”则是在数据经纪人的眼中。虽然这可能是不完美的立法,但它将提供比过去在联邦层面更为充分的保护。
使用PIA保护您在美国的数字隐私
美国的在线隐私法律正在不断演变,但速度远不足以紧跟日益增长的网络犯罪威胁。作为公民,我们需要保持警惕,并采取措施保护我们的在线隐私,直至法律跟上时代。
像****
私人网络接入这样的服务是一种极佳的数据保护方式。我们提供军事级安全加密和严格的安全协议,以保障您的数据在设备与我们的伺服器之间传输时的安全。此外,您还将获得MACE,这是一个整合的广告、恶意软件和跟踪器屏蔽工具,能在到达您的设备之前就阻止DNS级别的威胁。
查看我们最新的,了解如何在美国的任何地方获得安全IP地址。您可以使用这些伺服器连接到一个没有年龄验证法律或其他侵入性法律的地点,这样您在美国的数字隐私就可以得到充分保护,直到州和联邦层级有更好的网络安全政策出台。
常见问题
数据隐私是什么?
数据隐私是指您对个人信息的收集、存储、共享及使用的控制权。虽然美国许多州已有法律保护人们的在线隐私,但却没有国家级的标准。
数据隐私重要吗?
当然。想象一下,如果人们被允许无所不在地跟踪您的日常活动,而您却无法做任何事情。没有人会在现实生活中容忍这种事,那么在虚拟世界中为什么要接受呢?
不幸的是,对于在线跟踪器、恶意软件或可疑的数据经纪人并不存在禁制令,因此捍卫您在线隐私和安全的权利变得尤为重要。PIA提供了您需要的强大安全性,以保护您的在线活动和数据隐私。
数据隐私与安全有何不同?
数据安全专注于您的数据在传输中的保护,并确保只有授权方可以访问。数据隐私则关注如何负责任地收集、存储和使用您的信息,如您删除或修改所收集数据的权利。
基本上,数据安全旨在保护您的数据不受外部威胁的影响,而数据隐私则专注于保护您的身份。
是否有数据隐私法?
在美国,联邦和州层级都有数据隐私法,但各州法律差异很大。没有联邦或州法律提供统一的数据隐私法规。
2022年6月提出了一部新联邦法案ADPPA,该法案提供了更强的联邦隐私保护。在此之前,且即使在此之后,您的最佳选择是使用VPN来保护您的个人信息。这样,无论您在哪个州,都能重新掌控您的个人信息。
评论已关闭。
2条评论
谢谢您整理这些内容。这真是一个很棒的总结。我将通过我的领英分享这篇文章,并将其添加到我的书签中以便未来查看。我想知道您是否打算持续更新?
2年前
- PIA 团队
嗨,Denise!我很高兴您喜欢这篇文章,我们确实计划在新信息可用时更新内容。感谢您抽出时间评论,并成为PIA团队的一员。
2年前
