佛蒙特州数据隐私与监控法案何时生效？

该法案于2026年6月16日签署成法，将于2028年1月1日生效。

是什么让这部佛蒙特州法律比其他州的隐私法更严格？

它要求处理敏感数据需获得主动同意（opt-in），赋予消费者提起诉讼的私人诉讼权，并限制未经明确同意的定向广告及行为画像。

该法案规定哪些数据类别需要获得主动同意？

精确地理位置、健康数据、财务数据以及未成年人数据，在处理前均需获得主动同意。

个体消费者能否就该法案的违规行为提起诉讼？

能，该法案包含私人诉讼权，赋予个体消费者就特定违规行为起诉的法律资格，而不是仅由州监管机构负责执法。

佛蒙特州数据隐私与监控法案：2028年意味着什么

佛蒙特州州长于2026年6月16日签署了S.71号法案，即《佛蒙特州数据隐私与在线监控法案》，使佛蒙特州成为全美在消费者数据保护方面最严格的州之一。该法案要到2028年1月1日才生效，但企业规范自身做法的倒计时已经开启。对消费者而言，佛蒙特州数据隐私法中的监控条款是美国各州迄今为止最具雄心的尝试之一，旨在遏制企业收集、使用和分享个人信息的行为。

佛蒙特州数据隐私与在线监控法案的具体要求

该法案的核心是赋予佛蒙特州居民对其个人数据切实的控制权。它要求企业在处理敏感信息类别（包括精确地理位置、健康数据、财务数据及未成年人数据）之前，必须获得用户的主动选择同意（opt-in consent）。这一主动同意标准明显比许多其他州法律中的选择退出（opt-out）框架更为严格。

企业还必须提供清晰、易于访问的隐私声明，对高风险处理活动开展数据保护评估，并响应消费者访问、更正、删除和转移其数据的请求。该法案针对特定违规行为设有私人诉讼权，这意味着个体消费者拥有法律资格提起诉讼，而不仅仅是依赖州监管机构。仅此一点就使佛蒙特州有别于大多数美国州隐私框架——在其他地方，执法权完全由各州总检察长掌握。

法案中“在线监控”部分尤为引人注目。它对将个人数据用于向消费者投放定向广告做出了具体限制，并限定了企业未经明确同意建立行为画像的方式。

谁受管辖，以及法案为何比预想覆盖更多企业

许多州隐私法设有收入或数据量门槛，让小公司得以免责。佛蒙特州的门槛相对较低。该法案适用于每年控制或处理25,000名及以上佛蒙特州消费者个人数据的企业，或者那些从出售个人数据中获得25%及以上毛收入、且至少处理12,500名消费者数据的企业。

佛蒙特州人口约65万。这意味着25,000名消费者的门槛仅占该州居民总数的约4%。即便在佛蒙特州的用户基础不大的全国性公司，也可能轻易跨过这条线。尤其是数据经纪人，根据该法案将承担更重的义务，包括对出售敏感数据的更严格限制，以及向州政府登记的要求。

法案名称中“在线监控”的表述已清晰表明其雄心。那些依赖无孔不入的追踪来构建消费者画像的平台和广告技术公司，完全在其管辖范围内。

佛蒙特州法案与美国其他州隐私立法的比较

佛蒙特州如今加入了约二十几个已出台全面消费者隐私立法的州的行列，但其法案处于更严格的一端。加州的《加州隐私权法》（CPRA）常被视为美国隐私法的黄金标准，但佛蒙特州对敏感数据处理的主动同意要求及其私人诉讼权，比加州现行规定走得更远。

得克萨斯州和佛罗里达州等州颁布的法律设有更宽泛的企业豁免条款，且无私人诉讼权，这使得执法在实践中几乎形同虚设。佛蒙特州的做法在精神上更接近欧洲数据保护原则，但并未直接照搬GDPR。低适用门槛、敏感数据默认需主动同意以及个人起诉权利三者结合，给企业带来了真切的问责压力。

与大多数州框架相比，该法案还对数据经纪人的活动划定了更紧密的圈子，这一点意义重大，因为商业监控经济的很大一部分是通过数据经纪人而非消费者直接互动的公司运行的。

即使你不住在佛蒙特州，这对你的数据权利意味着什么

州隐私法引发全国性政策转变的趋势早有明证。当企业更新其数据实践以遵守一项严格的州法时，它们往往会在更大范围内应用这些变更，而不是为不同州维护不同的系统。加州的隐私法就产生了这种效果，企业向全美用户而不仅是加州居民推出了新的同意流程和数据删除工具。

佛蒙特州的法案可能引发类似的动态，尤其是在数据经纪人领域。如果企业必须向佛蒙特州居民提供拒绝出售其数据的选项，许多企业会发现，从操作层面讲，将这一选项扩展至所有地方更为简便。对州外的消费者而言，这代表着他们获得了原本无法拥有的数据权利的实质性增益。

在更广阔的背景中，针对监控的专门条款也值得关注。在美国联邦层面，针对行为追踪和在线监控的立法正日益成为政策对话的一部分。佛蒙特州的做法或将为联邦立法者未来拟定提案提供参考。

当然，法律保护能做的有限。法律设定的是底线而非上限，且执法需要时间。将技术隐私工具与法律权利结合起来使用，能为消费者提供更全面的保护。例如，VPN能在网络层面限制第三方对你浏览活动的窥视，从而在数据存储和共享方面补充州法律赋予你的任何权利。

可操作的要点

如果你经营一家企业： 现在就开始审查你的数据清单。2028年1月或许看似遥远，但构建合规的同意流程、评估程序和数据主体请求处理渠道需要时间。
如果你是佛蒙特州居民： 从2028年1月1日起，你在该法案下的权利将可强制执行。请保留你提交的数据请求及所收到响应的记录。
如果你居住在佛蒙特州以外： 关注全国性公司如何应对该法案。为佛蒙特州用户推出的新的拒绝选项或同意工具，可能也会对你开放。
对所有人而言： 法律保护与技术隐私实践相结合效果最佳。了解州及联邦层面的监控立法动态，是明了你实际拥有哪些权利的第一步。

佛蒙特州的法案，是推动美国隐私标准向世界其他地区消费者早已期望的水平看齐这一持续进程中的一个重要标记。它能否在全国产生涟漪效应，将取决于其执法力度，以及企业是愿意构建真正合规的数据实践，还是仅仅应付了事。