美國明尼蘇達州制定《明尼蘇達消費者個人資料保護法》（Minnesota Consumer Data Privacy Act, MNCDPA)，將於2025年7月31日生效

美國明尼蘇達州通過的《明尼蘇達消費者個人資料保護法》（Minnesota Consumer Data Privacy Act, MNCDPA)規範組織應如何合規蒐集、處理及利用個人資料。主要內容有：

一、適用對象：於明尼蘇達州內經營商業之營利組織（下簡稱企業或資料控制者），或生產製造商品、提供服務予該州居民之企業，且符合下列情形之一者：

1. 在前一年度控制或處理超過10萬筆消費者個人資料。

2. 控制或處理超過25,000筆消費者個人資料，且總營收超過百分之二十五係源自於銷售個人資料者。

3. 高等教育機構（postsecondary institutions）、非營利組織則自2029年7月31日起適用。

二、消費者權利：賦予明尼蘇達州居民對個人資料的基本權利，且強調消費者不應因行使權利而受歧視。分別為：

1. 近用權：請求瀏覽企業對其所蒐集個人資料，但如導致企業商業機密洩露之虞者除外。

2. 修正權：請求企業修正不正確或不完整的個人資料。

3. 刪除權：請求企業刪除其個人資料。

4. 請求製給複製本：採取可便利取用格式，或資料可攜(Data Portability) 之方式。

5. 選擇退出權（opt out）：就個資利用行為，消費者得行使退出權：

（1）為精準行銷之目的（Targeted Advertising）；

（2）銷售個人資料；

（3）為資料剖析之目的處理個人資料。

6. 取得企業揭露或提供個資利用之對象清單。

7. 消費者得向企業請求基於特定決策所作成剖析結果之原因，以及消費者未來得據以採取確保不同決策之作為。

三、企業主要責任與義務：

1. 企業應履行之義務除告知義務、透明度、資料最小化、安全維護措施外，尚須：

（1）依法回應當事人之請求：資料當事人向企業請求查詢、修改及刪除自己的資料，企業接到請求後，應於45天之期限內准駁其請求；必要時得於通知當事人合理事由後，展延一次。

（2）保存所有申訴與回覆之紀錄至少24個月；除此之外，企業須建立並採行合規政策，包括識別主要負責人，如：首席隱私長(Chief Privacy Officer)。

明尼蘇達州《明尼蘇達消費者資料隱私法》的通過顯示社會對於資料隱私保護方面的重視，除了加強對消費者個人資料的保護，也賦予消費者的權利，使消費者不再屬於被動方，而能夠主動捍衛自己的個人資料隱私。

相關連結

你可能會想參加

※ 美國明尼蘇達州制定《明尼蘇達消費者個人資料保護法》（Minnesota Consumer Data Privacy Act, MNCDPA)，將於2025年7月31日生效，資訊工業策進會科技法律研究所， https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=9278 （最後瀏覽日：2025/03/16）

引註此篇文章