内华达州刚刚加入加利福尼亚,成为第二个从消费者的个人信息“销售”中为消费者制定退出权利的州。 参议院法案220该法案已于2019年5月29日签署成为打牌网,计划于2019年10月1日生效,比加州《消费者权益保护法》(CCPA)早三个月。选择退出权是内华达州的几项更改之一 现有的在线隐私法,这要求商业网站和其他在线服务的运营商发布隐私权政策。除了新的退出权外,修订后的打牌网还免除了某些金融机构,HIPAA涵盖的实体和机动车业务的要求。

虽然加利福尼亚州和内华达州都将向消费者提供阻止受保护的企业出售其个人信息的权利,但这两项打牌网之间存在关键差异。值得注意的是。两项打牌网所涵盖的企业都需要确保为满足CCPA退出要求而开发的任何程序也都符合内华达州规定,并在较早的截止日期之前准备就绪,或者必须及时制定内华达州特定流程。

根据内华达州打牌网,没有私人诉讼权,该打牌网考虑由总检察长执行,每次违法行为的民事罚款最高为5,000美元。

选择退出在线收集的个人信息的新(但狭窄)权利

内华达州打牌网要求网站和其他在线服务的运营商就其“发现的信息”的收集和使用做出某些披露。 “涵盖的信息”是指姓名,地址,电子邮件,电话号码,SSN,允许以物理方式或在线方式与某人联系的任何标识符,或“通过互联网网站或在线从该人那里收集到的与该人有关的任何其他信息”运营商的服务,并由运营商与标识符结合使用,以使信息可以个人识别的形式进行。”

修订后的打牌网生效后,消费者将能够指示运营商在某些情况下不出售其涵盖的信息。但是,这些情况相当狭窄,尤其是与CCPA的退出权相比。最值得注意的是,《内华达州法规》中“销售”的定义仅限于出于金钱考虑而交换所涵盖信息,以及仅限于将信息许可或转售给 另一个 人。这意味着,将信息出售给第三方的目的是出于该第三方自身的目的,而不是将其转售或许可的,在内华达州选择权之列将不包括对第三方的销售。这与CCPA形成鲜明对比,CCPA将其选择退出权扩展为以金钱或“其他有价值”对价交换,并且不受第三方接收者对信息的预期使用或披露的限制。

差异不止于此。内华达州的选择退出权适用于范围较狭窄的个人,并且所涵盖的个人信息子集比CCPA对应者小。具体而言,内华达州对“消费者”的定义明确排除了以商业身份行事的员工和其他个人,而 当前没有等效的CCPA定义。此外,内华达州打牌网规定的“已发现信息”仅限于在线收集的信息,而CCPA也适用于离线收集的个人信息。最后,虽然内华达州和加利福尼亚州的打牌网均免除了涉及服务提供商和某些公司收购的选择退出要求的披露,但内华达州打牌网还包括向关联公司披露的其他例外情况以及符合消费者合理期望的披露。

新过程,新歧义

内华达州打牌网于10月生效后,将要求网站和在线服务运营商制定适当的流程,以使消费者可以提交禁止出售的请求。尤其是,操作员将需要一个“指定的请求地址”,该地址被定义为电子邮件地址,在线表格或免费电话号码,以简化此类请求。但是,与CCPA不同的是,打牌网并未对实际“出售”涵盖信息的运营商与未“掩盖”信息的运营商进行区分,因此,似乎要求 所有 运营商即使不出售所涵盖的信息,也会有一个指定的请求地址。

CCPA要求涵盖的企业提供“不出售我的个人信息”链接。另一方面,修订后的内华达州打牌网不要求将消费者选择退出的权利告知消费者。

根据修订后的内华达州打牌网,运营商只需要响应“已验证”的请求,即那些可以使用商业上合理的手段确认个人身份和请求真实性的请求。但是,打牌网没有对这种验证的实际含义保持沉默。该打牌网规定运营商有60天的时间(可以延长30天)以响应退出请求。 CCPA目前未提供具体时间表。

打牌网要求的新豁免类别

内华达州打牌网豁免代表其所有者运营,托管或管理网站或在线服务或代表所有者处理信息的第三方。修订后的打牌网增加了三项豁免:(i)受《格拉姆-里奇-布莱利法案》约束的金融机构和金融机构的分支机构; (ii)HIPAA涵盖的实体; (iii)机动车辆的制造商或维修人员(针对与此类机动车辆有关的某些技术或服务而收集的涵盖信息)。