康涅狄格州《数据隐私法》CTDPA 重大修订7月1日生效:适用门槛降至3.5万、处理敏感数据即触发合规——中资企业美东数据合规新基线
2026年7月1日,康涅狄格州参议院第1295号法案(SB 1295,Public Act No. 25-113)对《康涅狄格州数据隐私法》(CTDPA)的绝大部分修订正式生效。此次修订大幅降低法律适用门槛——只要处理任何敏感数据或对外出售个人数据,无论数量多少即落入管辖;同时扩张“敏感数据”定义、收紧未成年人数据处理规则,并新增画像(profiling)影响评估义务。对于在美东地区开展电商、SaaS、智能硬件、广告投放业务的中资企业而言,这意味着一批原本“够不着”州隐私法门槛的中小企业,从本周起正式进入康州总检察长的执法射程。
监管背景:康州的“年度修法”习惯
康涅狄格州于2022年成为美国第五个通过全面消费者隐私法的州,CTDPA(Conn. Gen. Stat. § 42-515 et seq.)自2023年7月1日起施行。2023年该州即通过修正案增设未成年人与消费者健康数据的强化保护;康州总检察长(Attorney General)又分别于2024年和2025年发布CTDPA执法报告,明确建议立法机关收紧豁免条款、降低适用门槛。2025年6月,州长Ned Lamont签署SB 1295,将上述执法建议转化为成文法,绝大部分条款于2026年7月1日生效,其中新增的影响评估义务适用于2026年8月1日之后创建或产生的处理活动。
适用门槛:从“10万消费者”降到“零门槛”触发
修订前,CTDPA仅适用于处理至少10万名康州消费者个人数据的企业,或处理2.5万名消费者数据且个人数据出售收入占总收入25%以上的企业。修订后,以下三类情形任一即触发适用:(1)控制或处理至少3.5万名消费者的个人数据;(2)控制或处理消费者敏感数据(仅为完成支付交易而处理的除外)——不设任何数量门槛;(3)在商业活动中对外出售个人数据——同样不设数量门槛。鉴于CTDPA对“出售”的定义涵盖以金钱或“其他有价对价”交换个人数据,大量投放定向广告、与第三方共享数据的中小企业都可能被纳入。
与此同时,修订案将《金融服务现代化法》(GLBA)的实体级豁免改为数据级豁免:金融科技、支付、汽车金融等企业不再因“受GLBA监管”而整体豁免,只有GLBA所辖数据本身豁免,其余业务数据仍须遵守CTDPA。
敏感数据定义扩张与消费者权利升级
修订后的“敏感数据”新增:精神或身体健康的残障状况及治疗信息、非二元性别或跨性别身份、由基因或生物识别数据衍生的信息、神经数据(neural data)、金融信息(账号、登录凭证、卡号及可访问金融账户的密码)以及政府签发的身份证件号码。处理上述任何一类数据即触发全法适用,并须事先取得消费者同意;出售敏感数据还须另行取得单独同意。
消费者权利方面:访问权扩展至基于个人数据作出的推断(inferences)及画像决策信息;新增“第三方名单”权利——消费者有权获取其个人数据被出售给哪些第三方的清单;同时新增反向保护,企业在响应访问请求时不得直接披露社会安全号码、政府证件号、金融账号、生物识别数据等高风险字段。画像方面,选择退出权从“完全自动化决策”扩展至“任何自动化决策”,并仿照明尼苏达州新增质疑画像决策的权利。企业还须披露是否为训练大语言模型(LLM)而收集、使用或出售个人数据。
未成年人:定向广告与数据出售全面禁止
对18岁以下未成年人,修订案取消了原先“取得选择加入同意即可”的通道,改为绝对禁止将未成年人个人数据用于定向广告或出售,且处理未成年人数据仅限于提供服务所合理必要的范围;收集精确地理位置数据须为服务所“严格必要”,并在收集期间向未成年人持续发出信号提示。
执法机制
违反CTDPA构成《康涅狄格州不公平贸易行为法》(CUTPA)项下的不公平贸易行为,由州总检察长独家执法,消费者无私人诉权。原60天强制补救期已于2024年底落日,是否给予补救机会现由总检察长酌情决定。总检察长可要求企业提交与调查相关的数据保护评估及新设的影响评估文件——书面合规记录本身即是执法抓手。
对中资企业的合规启示
第一,重新核对适用范围:即便用户量远低于3.5万,只要产品收集健康、生物识别、精确定位、金融凭证等敏感数据,或通过SDK、广告归因等方式向第三方“出售”数据,即受CTDPA约束,应立即开展数据映射(data mapping)确认敏感数据流。
第二,更新隐私政策与同意流程:补充LLM训练数据披露;为敏感数据的处理与出售设置分离的同意开关;确保DSAR(消费者权利请求)流程能够输出推断数据和第三方出售名单,同时屏蔽高风险字段的直接披露。
第三,未成年人产品线单独评估:面向或可能吸引18岁以下用户的App、游戏、智能设备,须彻底关闭针对未成年人的定向广告与数据出售,并审查精确地理位置的收集是否“严格必要”。
第四,建立画像影响评估模板:凡利用自动化决策影响信贷、住房、保险、教育、就业机会的业务,应在2026年8月1日前搭建涵盖目的、输入输出数据类别、风险分析、透明度措施与部署后监控的影响评估文档体系。
第五,金融类企业重估GLBA豁免:跨境支付、消费金融类中资企业应逐项梳理哪些数据仍受GLBA数据级豁免覆盖,其余数据纳入州法合规范围。
趋势展望
康州此轮修法与马里兰、明尼苏达、科罗拉多等州的最新立法相互呼应,标志着美国州隐私法正从“门槛化适用”走向“行为化适用”——处理敏感数据、出售数据、画像决策等高风险行为本身即触发监管。在联邦统一立法悬而未决的背景下,各州总检察长的执法协作日趋紧密,中资企业不应再以单一州的用户数量判断合规义务,而应以数据类型和处理行为为轴心搭建全美合规基线。格知律师事务所将持续跟踪各州隐私立法与执法动态。
主要来源:康涅狄格州议会 Public Act No. 25-113(SB 1295)文本(cga.ct.gov);Future of Privacy Forum 分析(2025年6月30日);康州总检察长2024/2025年度CTDPA执法报告。