BR 隐私和安全下载:2025 年 7 月
快速阅读: 据《国家法律评论》最新报道,佛蒙特州通过《儿童法案》,强化未成年人隐私保护,2027年生效。新泽西拟推数据隐私法规,德克萨斯州立法限制AI,康涅狄格州修订数据法,加利福尼亚州限制CIPA诉讼,犹他州通过三项AI法案,科罗拉多州加强儿童数据保护,德克萨斯州修改电话营销法,联邦参议院移除AI暂停提案,特朗普撤销前政府AI命令,内布拉斯加与Healthline和Temu达成和解,北卡罗来纳州调查PowerSchool数据泄露,澳大利亚实施隐私侵权诉讼及勒索软件披露规定,日本通过AI促进法,美国推出国际隐私认证。
佛蒙特州州长签署《佛蒙特儿童法案》:佛蒙特州州长菲利普·斯科特签署了参议院议案69号(SB 69),即《佛蒙特儿童法案》,使其成为法律。该法案对面向可能被18岁以下未成年人访问的在线服务的企业施加了隐私和安全要求。受监管的企业必须使用年龄确认方法来核实用户年龄,并将未成年人的默认隐私设置设为最高级别。该法律禁止在未经明确同意的情况下向成年人展示未成年人的账户或内容,限制成年人在社交媒体上与未成年人互动,并禁止向未成年人发送推送通知,特别是夜间。它还限制对未成年人个人数据的收集、使用和保留,仅限于严格必要的范围,要求明确的隐私披露,并要求提供快速删除账户的机制。《佛蒙特儿童法案》将于2027年1月1日生效。由于马里兰州和加利福尼亚州通过的类似法律已成功以第一修正案为由受到挑战,因此《佛蒙特儿童法案》很可能面临法律挑战。
新泽西州总检察长发布新泽西州数据隐私法案的法规:新泽西州总检察长发布了拟议的规则,以实施新泽西州数据隐私法案(“NJDPA”)。拟议的规则,除其他事项外,规定了隐私通知的内容要求以及获得和记录同意的要求,包括处理敏感数据和13至17岁儿童的个人数据用于出售数据、定向广告和/或为了产生法律或类似重要影响的决策而进行的分析。拟议的规则还要求控制者提供易于使用的机制以行使数据权利,并禁止使用暗模式。此外,拟议的规则包括数据安全、数据最小原则和记录保存要求,并明确规定高风险处理活动的数据保护评估应包含哪些内容。拟议的规则进一步提供了通用退订机制的框架,并针对忠诚计划和用户画像制定了特殊规则。拟议规则的公众意见期将于2025年8月1日结束。
德克萨斯州通过人工智能法案:德克萨斯州州长格雷格·阿博特签署了众议院议案149号(HB 149),即《德克萨斯负责任人工智能治理法案》(“TRAIGA”或“该法案”),该法案于2026年1月1日生效,对人工智能系统的发展和部署施加了某些限制。TRAIGA明确禁止旨在行为操控、非法歧视、侵犯宪法权利以及制作或分发儿童色情或非法深度伪造内容的人工智能系统。德克萨斯州总检察长负责执行TRAIGA,并可对违规行为处以高额罚款,每次违规罚款金额从10,000美元到200,000美元不等,持续违规每天最高罚款40,000美元。该法案为违规者提供60天的补救期,并为自认并已纠正的违规行为提供积极抗辩权,尤其是如果符合美国国家标准与技术研究院(NIST)人工智能风险管理框架。TRAIGA还建立了人工智能创新的监管沙盒(一种允许企业在受控环境中测试创新产品或服务的机制)和一个指导州人工智能政策的咨询委员会,尽管该委员会不能发布具有约束力的法规。
康涅狄格州通过《康涅狄格州数据隐私法案》修正案:康涅狄格州议会已通过《康涅狄格州数据隐私法案》(“CTDPA”)的修正案。修正案降低了适用门槛,使CTDPA适用于控制或处理至少35,000名康涅狄格州消费者的个人数据的实体,或向CTDPA出售个人数据的实体,或控制或处理敏感数据的实体(除非仅为支付交易)。敏感数据的定义现在包括残疾、非二元或跨性别身份、神经数据以及某些财务和政府身份证号码。修正案还取消了GLBA监管实体的实体级豁免,取而代之的是针对金融机构和保险机构的具体豁免,并新增了政治活动豁免。消费者权利扩大,包括明确访问推断和用户画像信息的权利,以及获取数据被出售给的第三方列表的权利。关于数据最小原则、隐私通知、处理未成年人个人数据和二次处理的要求得到了加强,用户画像退出权也得到了扩展。
加利福尼亚州参议院通过《加利福尼亚州隐私入侵法案》(“CIPA”)修正案:加利福尼亚州参议院已通过参议院议案690号(SB 690),该法案将修订《加利福尼亚州隐私入侵法案》(“CIPA”),大幅限制因使用标准在线技术而针对企业的CIPA诉讼。在过去几年中,CIPA最初是为了应对窃听和偷听而制定的,但已被原告律师重新利用,以针对企业使用跟踪技术(如cookies、像素、聊天机器人和会话回放工具)的行为。SB 690提议通过为“商业目的”进行的活动引入豁免,解决这一问题。最显著的是,SB 690将禁止因商业目的处理个人信息而提起私人诉讼,从而有效地消除了与在线业务活动相关的大量CIPA索赔的私人诉权。有关SB 690的更多信息,请参阅Blank Rome的客户警报。
犹他州通过三项人工智能法案:犹他州州长斯宾塞·J·考克斯签署了三项人工智能法案。其中,SB 226修订了犹他州的人工智能披露法,该法要求企业告知用户他们正在与人工智能互动。虽然该法律以前适用于在犹他州开展业务的所有实体,但SB 226修订了该法律,使其仅适用于用户进行“高风险人工智能交互”的情况,这涉及收集敏感个人数据或提供用户可能依赖于重大决策的建议或意见。HB 452要求与SB 226中规定的披露相似,但适用于使用生成式AI的心理健康聊天机器人的提供商。HB 452还设定了数据保护要求和广告限制。SB 271修订了犹他州的《个人身份滥用法》,该法禁止未经同意使用个人身份暗示广告的批准或认可,适用于通过生成式AI和其他技术手段模仿个人身份的情况。
科罗拉多州总检察长宣布针对儿童数据的科罗拉多隐私法案规则制定:科罗拉多州总检察长已宣布启动规则制定,以实施《科罗拉多隐私法案》(“CPA”)针对18岁以下未成年人的个人数据。CPA通过S.B. 24-041进行了修订,增加了处理未成年人个人数据时的增强保护措施,包括要求同意:(1) 为定向广告、销售或用户画像的目的处理未成年人的个人数据;(2) 使用任何功能显著增加、维持或延长未成年人使用受控方在线服务的使用时间;或(3) 收集未成年人的精确地理位置,除非在某些情况下。科罗拉多州总检察长正在考虑对CPA实施规则进行修订,以澄清和实施这些修订。作为该过程的一部分,科罗拉多州总检察长正在就针对性的规则制定前咨询问题征求公众意见。
德克萨斯州通过电话营销法的修改:德克萨斯州州长格雷格·阿博特签署了SB 140号法案,该法案将大幅扩大该州的电话营销法规。SB 140扩大了“电话呼叫”和“电话推销”的定义,包括短信、图像消息、几乎任何旨在销售商品或服务的传输以及传统的语音通话。SB 140将短消息服务(“SMS”)、多媒体消息服务(“MMS”)或类似的营销活动纳入与语音通话相同的严格标准。SB 140还根据《德克萨斯州欺骗性贸易实践和消费者保护法》引入了私人诉权。法定赔偿金每次违规从500美元到5,000美元不等。新的电话营销要求和扩大的执法条款将于2025年9月1日生效。有关SB 140的更多信息,请参阅Blank Rome的客户警报。
联邦法律与法规:参议院移除人工智能法律暂停提案:参议院以99比1投票,从联邦预算法案中移除了拟议的州和地方政府人工智能立法暂停。最初提出的暂停是全面禁止人工智能立法的10年禁令,后来缩减为五年,例外情况包括儿童在线安全。该提案还将遵守禁令与获得联邦宽带资金的能力挂钩。该暂停提案遭到了两党州监管机构和立法者的日益反对,40位州总检察长在5月写信反对该提案,260位州议员在6月呼吁国会放弃人工智能预emption提案。
特朗普发布网络安全行政命令,撤销拜登和奥巴马时期的行政命令:特朗普政府发布了一项行政命令(Executive Order),废除了奥巴马和拜登政府时期行政命令中的“存在问题的条款”,包括拜登政府一项旨在促进联邦数字身份计划的行政命令中的一部分内容,该行政命令鼓励使用数字身份证件。特朗普行政命令还废除了软件供应商必须确认其符合国家标准与技术研究院制定的安全开发指南的要求。特朗普行政命令强调合作,指示NIST与软件行业合作,制定针对安全软件开发的实用指南,并更新相关框架内容。此外,特朗普行政命令还指示各部门和机构层面采取针对后量子密码学的行动,以确保防范可能被用于下一代计算架构的威胁。
内布拉斯加总检察长与Healthline Media达成和解协议,以解决Healthline涉嫌违反《加州消费者隐私法案》(“CCPA”)的指控。作为和解协议的一部分,Healthline将支付155万美元的民事罚款。总检察长指控Healthline未能提供让消费者退出针对广告的个人信息共享选项,违反了CCPA的目的限制原则,即与消费者分享健康网站上可能表明消费者已被诊断出某种医疗状况的文章标题以进行广告投放,并且未能与广告合作伙伴签订包含CCPA规定的隐私保护条款的合同。此次执法行动是首次针对CCPA目的限制原则的案件,向公司发出了明确信号,即他们应仔细审查数据收集和使用的商业目的,以确保这些目的已适当披露并符合消费者的合理期望。公司还应关注总检察长对第三方广告合作伙伴的监管重点。CCPA是唯一一项对与所有第三方签订的合同中的合同条款有具体要求的州级全面隐私法律,包括那些代表披露个人信息的公司处理个人数据的第三方。
内布拉斯加总检察长起诉中国电子商务公司Temu,指控其存在非法数据行为及其他消费者保护违规行为。内布拉斯加总检察长表示,Temu非法收集数据,包括儿童的数据;使用多种欺骗性手段鼓励购买;允许侵权和假冒商品泛滥;并进行欺骗性营销以美化其形象。在公告中提到的涉嫌非法数据行为的例子包括使用绕过设备安全的恶意软件,赋予应用对用户手机上所有内容的无限制访问权限,使Temu能够秘密收集用户数据,并将内布拉斯加州的数据与中华人民共和国共产党分享。
北卡罗来纳州总检察长向教育技术提供商PowerSchool发出民事调查令(“CID”),涉及该公司2024年发生的数据泄露事件。该数据泄露影响了全国超过6200万人。总检察长在其公告中表示,尽管PowerSchool向黑客支付赎金以删除被盗信息,但北卡罗来纳州的学区在支付后仍被黑客联系,试图勒索更多资金。CID要求提供受2024年数据泄露事件影响的北卡罗来纳州居民的确切人数、泄露时实施的网络安全措施详情、可能导致泄露的安全漏洞以及PowerSchool对泄露的回应信息。
国际法规:澳大利亚现已可就隐私侵害提起法定侵权诉讼:对澳大利亚隐私法的修改自2025年6月10日起生效,为严重侵犯隐私的行为提供了侵权诉讼的权利。根据澳大利亚信息专员办公室发布的公告,根据澳大利亚隐私法第2章提供的新法定侵权诉讼,个人可以对侵犯其隐私的他人或组织提起诉讼,例如侵入个人的私密空间——例如,物理性地进入其私人领域,或者滥用与原告相关的信息,且原告本应有合理的隐私预期。
澳大利亚强制性勒索软件付款披露规定现已生效:自2025年5月30日起,根据2024年《澳大利亚网络安全法》第3部分定义的报告企业实体,必须报告勒索软件和网络勒索付款。报告企业实体是指过去财政年度内年收入达到300万澳元(约合195.7万美元)或以上的组织。报告企业必须在72小时内报告付款。需要报告的信息包括与付款相关的网络安全事件详情、该事件对报告企业的影响、所要求和支付的勒索金额,以及与威胁者的沟通性质及时间等其他信息。
日本通过人工智能法律以促进研究与发展:日本国会通过了一项旨在促进人工智能创新的法案,同时要求遵守现有法律以防止与人工智能使用相关的潜在危害。新立法为政府支持人工智能开发和研究建立了框架。它还规定人工智能运营商必须遵守现行法律和法规,以减轻与人工智能技术相关的风险。这是日本平衡技术进步与安全和伦理考虑的更广泛战略的一部分。该法案还表明将进一步制定指导方针和详细法规以支持法律的实施。
美国国际贸易管理局推出了两项国际隐私认证:美国国际贸易管理局(“ITA”)宣布推出了两项国际隐私认证:全球跨境隐私规则(“CBPR”)和全球数据处理商隐私认可(“PRP”)系统。CBPR认证适用于处理跨境个人数据的组织,旨在确保这些组织遵循保护跨境传输中个人数据的一套隐私原则。PRP认证面向数据处理商,即代表其他组织处理个人数据的实体。该PRP认证旨在确保数据处理商遵守严格的隐私标准和实践,向其客户提供数据得到安全和负责任处理的保证。组织在完成指定问责代理进行的评估后可以获得这些认证。
Daniel R. Saeedi、Rachel L. Schaller、Gabrielle N. Ganze、Ana Tagvoryan、P. Gavin Eastgate、Timothy W. Dickens、Jason C. Hirsch、Adam J. Landy、Amanda M. Noonan 和 Karen H. Shin 也为此篇文章做出了贡献。
(以上内容均由Ai生成)
