马萨诸塞州参议员辛西娅·克里姆(Cynthia Creem)提出了一项消费者数据隐私法案, SD 341,如果他们的个人信息或生物特征数据收集或分发不当或任何其他可能违反新法律的行为,马萨诸塞州消费者将有权提起诉讼。根据SD 341,并且类似于伊利诺伊州的《生物识别信息隐私法》(BIPA),可能不需要消费者证明或遭受金钱或财产损失,才能就所谓的侵权行为寻求赔偿。任何违反拟议新法律的行为都可能成为采取有效私人行动的依据。

拟议中的法案是最新的信号,表明州立法机构将越来越积极地规范数据保护问题。加利福尼亚州的新加利福尼亚消费者隐私法案(CCPA)被认为是对隐私相关法规的扩展,超越了任何现有的联邦或州法律。尽管CCPA直到2020年1月才生效,但企业正忙于执行合规政策和程序,包括现在制定计划以确保他们能够充分,准确地回应消费者对他们可能在加利福尼亚拥有的个人信息的类型和性质的要求。居民。马萨诸塞州的法案似乎具有与CCPA相同的许多特征,但其私人诉权的规定将为原告的律师资格带来福音。就像伊利诺伊州的BIPA和《电话消费者保护法》(TCPA)一样,它们催生了数十起集体诉讼,SD 341也不需要提供实际损害证明。它指出:“违反本章实际上将对遭受违反的消费者构成伤害,并且消费者无需因违反而遭受金钱或财产损失,以便提起诉讼。违反了本章。”胜诉的原告可以收取“每次消费者事故”或实际损失中的$ 750,以较高者为准,还可以收取律师费。

SD 341除了建立对原告有利的私人诉权外,还将对所有收集马萨诸塞州消费者个人信息并达到两个与收入相关的门槛之一的企业施加新的合规义务。与CCPA一样,SD 341将授予马萨诸塞州消费者关于其个人数据的某些权利,包括:

  • 有权在“收集时或收集时”通知将收集和披露的个人信息以及收集或披露目的的权利;
  • 要求索取收集的个人信息的权利;和
  • 请求删除收集的个人信息的权利。

此外,消费者有权要求承保范围内的企业不向第三方披露其信息;换句话说,在有限的例外情况下,消费者将可以选择不将个人信息从企业转移给其他企业。不是服务提供商。所涵盖的企业还必须实施收集和响应消费者权利要求的机制,并被禁止拒绝商品或服务,收取不同的价格或费率或以其他方式歧视行使这些权利的消费者。

含义

如果制定了SD 341,则直到2023年1月,由马萨诸塞州司法部长制定相关规则后,该标准才会生效。该时间表将为企业提供创建和实施合规性战略的机会,并为可能随后发生的私人诉讼的爆发做好准备。无论马萨诸塞州是否采用SD 341,该法案都与各州采用广泛的普遍适用的数据保护制度的最新趋势相一致。在颁布普遍适用的联邦法律之前,可能会在这个方向上采取大量的州级行动。企业不应考虑对各州通过的每项新法律进行零星的回应,而应考虑开发涵盖当前以及未来可能的州,联邦甚至国际要求的强大的隐私程序,以限制成本并降低未来的风险。