可能是忙于一个月的州隐私法律更新和修正案。此外 德州对其违反通知法的修正,俄勒冈州和内华达州都在本月扩大了与隐私权相关的法律,而伊利诺伊州类似CCPA的法律在有关法律是否允许私人诉诸行动权的各种修正案之后未能通过。

在俄勒冈州,立法机关扩大了其数据泄露通知法规(ORS§§646A.600及其后)。 俄勒冈州最新的数据泄露法律该协议由州长Kate Brown于2019年5月24日签署,并于2020年1月1日生效。该协议将违规通知要求扩大到涵盖“供应商”,该供应商定义为“与受保实体签订合同以维护,存储的人,管理,处理或以其他方式访问个人信息,目的是与涵盖实体或代表涵盖实体提供服务。根据新法律,如果安全漏洞影响到超过250个俄勒冈州消费者的个人信息,或者无法确定数量,则卖方必须通知俄勒冈州总检察长。如果所涉实体已经发出通知,则卖方无需通知总检察长。供应商还必须在10天之内将其违规行为通知其业务客户-与“以前的语言要求通知”“尽快”有所不同。该法律还将俄勒冈州的个人信息定义扩展到包括用户名,但仅限于结合身份验证因素使用。

2019年5月29日,内华达州州长史蒂夫·西索拉克(Steve Sisolak)签约 参议院第220号法案(SB-220),类似于加州消费者隐私法(CCPA)的法律,于2019年10月1日生效。该法律修订了内华达州以前涉及消费者隐私披露的法律,要求运营商允许消费者通过指定的请求地址提交经过验证的请求指示运营商不要出售运营商已经收集或将要收集的关于某人的任何承保信息。由于SB-220在CCPA于2020年1月1日生效之前的2019年生效,因此内华达州将成为第一个向消费者提供退出其个人信息的权利的州。但是,内华达州的法律比CCPA的法律要狭窄得多:

  • “出售”的定义是“为了获得金钱上的考虑而交换给他人的许可信息,以便该人向他人许可或出售所涵盖的信息”,其定义比“出于金钱或其他有价值的对价”的定义要窄。
  • 出售还不包括出于与消费者的合理期望相一致的目的,向数据处理器,向消费者提供消费者要求的服务的运营商,向关联公司以及作为资产转让的一部分的披露。
  • 与CCPA一样,SB-220专门排除了受Gramm-Leach-Bliley法案和Health Insurance Portability and Accountability法案约束的实体。 SB-220还排除了收集与汽车技术或服务有关的信息的汽车制造商和维修商。

SB-220授权内华达州总检察长对每次违法行为提出最高5,000美元的禁令或民事罚款。

尽管今年还没有颁布许多其他拟议的法律,但是数据泄露和数据隐私法律仍然是许多州立法机构的优先事项。在没有综合性联邦数据隐私或违反法律的情况下,各州将继续颁布各种法律来管理这些问题。公司应该意识到这些法律在不断变化,因此至关重要的是要及时了解这些变化,以确保遵守各州法律。由于这些法律最终将由州总检察长执行,因此公司还应考虑采用有效的总检察长外展策略,将其作为更广泛的政府关系解决方案的一部分。