关键词:消费者权利,敏感数据,选择退出权
2025年11月25日,印第安纳州总检察长发布了《印第安纳州消费者数据保护法》权利法案(下称“权利法案”),该法案强调了印第安纳州居民根据《印第安纳州消费者数据保护法》 (Indiana Consumer Data Protection Act, CDPA)享有的权利以及企业应当承担的义务。
印第安纳州已于2023年通过了CDPA,该法将于2026年1月1日正式生效。
本文结合该权利法案以及CDPA原文,对比GDPR,梳理出以下要点:
一、适用范围
地域与主体:CDPA适用于在印第安纳州开展业务或针对印第安纳州居民提供产品或服务的实体。受保护的消费者仅指在个人、家庭或家户背景下行事的印第安纳州居民,不包括雇员。
企业需满足以下任一条件才受该法管辖:
1. 控制或处理至少100,000名印第安纳州居民的个人数据;
2. 控制或处理至少25,000名印第安纳州居民的数据,且其总收入的50%以上来自出售个人数据。
豁免实体:印第安纳州CDPA豁免了许多特定实体,包括:国家机构、金融机构、受HIPAA监管的实体(医疗)、非营利组织、高等教育机构和公用事业机构。
二、主要条款内容(对比GDPR)
1. 儿童的定义与保护
印第安纳州CDPA:将儿童定义为13岁以下的人。处理已知儿童的数据必须获得父母或监护人的同意,且所有儿童数据均被视为敏感数据。
GDPR:默认的数字同意年龄门槛为16岁,成员国可下调至不低于13岁。GDPR虽然给予儿童特定保护,但并未直接将所有儿童数据归类为第9条下的特殊类别数据,而是在第8条中单独规定有关处理儿童的个人数据的条件。
2. 数据处理的合法性基础
印第安纳州CDPA:CDPA没有列出合法性基础清单,只要控制者提供了隐私通知并将收集限制在充分、相关且合理必要的范围内,通常默认允许处理非敏感数据,只有处理敏感数据和将数据用于与最初披露目的既不合理必要也不兼容的次要目的是才需要消费者明确同意。
GDPR:第6条规定,任何个人数据的处理都必须基于合法性基础之一(如同意、履行合同、法律义务、切身利益、公共任务、合法利益)。如果无法律依据,处理即为非法。
3. 敏感数据的处理规则
印第安纳州CDPA:敏感数据包括种族、宗教信仰、健康诊断、性取向、公民身份、移民身份、基因/生物识别数据、精确定位数据以及儿童数据。处理规则采用Opt-in机制。控制者必须在处理敏感数据前获得消费者的明确同意。
GDPR:GDPR第9条列出的特殊类别数据范围与CDPA类似,但CDPA特别加入了“公民身份”和“移民身份”。原则上GDPR禁止处理特殊类别数据,除非满足特定例外(如明确同意、切身利益、公共健康等)。
4. 消费者的控制权与“选择退出”
印第安纳州CDPA:CDPA赋予消费者特定的选择退出权(Opt-out Right),即消费者有权拒绝控制者出于以下目的处理其数据:
定向广告;
个人数据的出售;
用户画像(Profiling)。
GDPR:CDPA的架构更倾向于“默认允许处理,除非消费者选择退出(敏感数据除外)”,而GDPR在实践中,很多营销和追踪场景下要求“先获得同意”。
5. 更正权的范围限制
印第安纳州CDPA:消费者有权更正其个人数据中的不准确之处,但该权利仅限于消费者直接提供给控制者的个人数据。这意味着对于企业通过第三方获取的数据,消费者可能无法行使同等程度的更正权。
GDPR:数据主体有权要求更正关于其的不准确个人数据,并未明确限制为数据主体直接提供的数据。
6. 出售数据的定义
印第安纳州CDPA:出售被严格定义为控制者与第三方之间以金钱为代价交换个人数据。这比美国其他一些州(如加州)的定义要窄,后者通常包括“其他有价值的对价”(CCPA 1798.140 (ad)(1))。
GDPR:GDPR没有专门定义数据的出售。
7. 申诉与上诉机制
印第安纳州CDPA:建立了两级申诉机制。如果控制者拒绝了消费者的权利请求(如删除或更正),消费者有权向控制者提出上诉。控制者必须在60天内对上诉做出决定;如果上诉被驳回,消费者可以向印第安纳州总检察长办公室投诉。
GDPR:数据主体有权直接向监管机构投诉,并拥有获得有效司法救济的权利。
8. 数据跨境与地理限制
印第安纳州CDPA:CDPA没有限制将数据传输到印第安纳州或美国境外的条款。CDPA关注数据是否被出售给第三方(无论该第三方位于何处),而不是数据存储的地理位置。
GDPR:将个人数据传输到欧盟/欧洲经济区以外的国家需按照GDPR规定的传输机制进行数据跨境活动(如传输至白名单国家,SCCs等)。
9. DPIA
印第安纳州CDPA:要求对特定高风险活动进行强制性的数据保护影响评估(即DPIA,DPIA要求仅适用于2026年1月1日之后产生的处理活动)。触发DPIA的场景包括:
用于定向广告的数据处理;
数据的出售;
涉及可预见风险(如不公平对待、侵犯隐私等)的画像;
敏感数据的处理;
其他具有高度危害风险的活动。
GDPR:第35条要求在处理可能对自然人权利和自由产生高风险时进行DPIA,特别是使用新技术时。
印第安纳州CDPA:无DPO的相关条款。
GDPR:第37条规定,公共机构、或核心活动涉及大规模监控或大规模处理特殊类别数据的企业,必须任命DPO。
11. 有关匿名化数据
印第安纳州CDPA:如果企业持有的是匿名化数据,且能够证明身份识别信息被单独保存并受到技术控制,则有关消费者的部分权利(如访问权、删除权、更正权、数据可携带权)不适用于这部分企业,但是这些企业必须公开承诺不尝试重新识别数据,并通过合同约束接收方也不得重新识别。
GDPR:处理假名化数据(对应CDPA的匿名化数据)仍需遵守GDPR的大部分规定,除非控制者证明其无法识别数据主体。(第11条)
除以上内容外,权利法案还通过分步教学章节,用通俗的方式为消费者指明了具体的行权与投诉路径,并通过Q&A的方式指导用户认识自己的数据权利。
三、生效时间
《印第安纳州消费者数据保护法》将于2026年1月1日起生效。企业需在此日期前建立合规机制,包括更新隐私通知和响应消费者请求的流程。
*本文作者:黄竞一
*向下滑动以查看更多*
魏冬冬
汇业律师事务所 合伙人
weidongdong@huiyelaw.com
业务领域:个人数据保护合规,人工智能合规,国际国内网络数据领域争议解决,国际数据隐私认证咨询,主要聚焦于中国企业出海全球的数据隐私合规。
深度研究:
北美:
欧洲:
东亚:
中东:
东南亚:
南亚:
南美:
非洲:
澳洲:
特别声明
本文仅代表作者本人观点,不代表汇业律师事务所任何律师所出具的法律意见或是对法律的解读。
如需转载,请联系我们获取授权。