在许多加州消费者隐私法案(CCPA)合规项目尚未尘埃落定之前,加州选民通过压倒性的批准来欢迎隐私的未来 提案24:《加利福尼亚隐私权法》(CPRA)。在CCPA框架的基础上,CPRA扩大了加利福尼亚州消费者的权利,为商业和服务提供商增加了新的责任,并创建了一个新的州机构,即加利福尼亚隐私保护局(该机构),以接管该州的执法工作。总检察长。以下是值得注意的更改:

首先,每个企业都会很高兴知道B2B和员工信息的有效期已延长到2023年1月1日(在立法机关将有效期再延长一年到2022年之后)。

接下来,CPRA为加利福尼亚的消费者确立了新的权利:

  • 消费者可能会要求商家纠正不正确的个人信息
  • 消费者可以选择不共享(不仅仅是销售): 除了拒绝出售其个人信息的权利(这导致在第三方Cookie是否构成销售方面引起大量混乱)之外,CPRA还特别提供了选择拒绝共享信息的权利。跨上下文行为广告。
  • 消费者将拥有扩大的使用权:从2023年1月1日开始,企业必须提供对超过12个月的个人信息的访问权限,“除非这样做被证明是不可能的,否则将耗费大量精力。”
  • 消费者有权要求企业最大程度地减少对敏感数据的使用,其中包括:
    • SSN,驾照,州身份证或护照
    • 帐户登录或财务帐户信息以及安全代码或密码
    • 精确的地理位置(半径1,850英尺)
    • 种族或民族血统,宗教或哲学信仰或工会会员资格
    • 消费者的邮件,电子邮件或短信的内容,除非企业是通信的预期收件人
    • 遗传数据
    • 处理生物识别数据以识别消费者
    • 收集并分析有关消费者健康,性生活或性取向的个人信息

类似于HIPAA的最低必要规则和GDPR的数据最小化原则,CPRA编写了数据最小化原则:个人信息的收集,使用,保留和共享必须“合理地必要且成比例地达到收集或使用个人信息的目的。处理。”新法律还要求通知保留期,并且对于每个公开的目的,这些保留期必须“不超过合理必要的时间”。

CPRA对销售,共享或披露数据的企业负有新的义务,要求适用的协议包括以下规定:

  • 指定出售或共享个人信息的有限目的。
  • 要求接收者遵守CCPA / CPRA。
  • 授予企业采取合理步骤以确保收件人正确使用个人信息的权利。
  • 要求收件人确定其无法履行CCPA / CPRA义务时通知企业。
  • 授予企业通知的权利,以采取措施制止和纠正未经授权使用个人信息的行为。
  • 与承包商或服务提供商共享信息时,还禁止收件人将从企业收到的个人信息与从其他来源收到的其他个人信息合并。

根据新法律,服务提供商将负有直接责任,其中许多企业已经通过与第三方达成的协议通过其现有的隐私条款强加了责任。尽管服务提供商不需要响应消费者请求(如果由于他们作为服务提供商的角色而只能访问数据),法律规定他们必须与企业合作以响应消费者请求,包括删除和提供其服务提供者或数据接收者删除任何个人信息。他们还有义务就分包商的使用情况通知企业,并要求分包商签订书面合同,将其约束到服务提供商必须遵守的类似条款。

还有一些其他值得注意的变化:

  • 业务的定义已进行了改进,以使购买,出售或共享(不仅仅收到)个人信息的加利福尼亚消费者数量从50,000增加到100,000,并将澄清计算2500万美元门槛的时间(上一年的总收入) )。
  • 如果商品或服务的价格,费率,水平或质量不同(与CCPA的“直接”有所不同)与提供给企业的价值有关,则企业现在可以提供会员计划。
  • CPRA扩大了与执法部门合作和维护个人信息的例外情况,这些例外情况需要进行执法部门调查。
  • 它阐明了在违规之后实施合理的安全措施不会“治愈”违规。

随着加利福尼亚州隐私保护局的成立,加利福尼亚州是第一个将隐私权责任从该州总检察长转移的州,该州总检察长是该州一般性侵犯隐私行为的典型监管者。新机构具有强大的权力,包括负责制定未来法规和权利的企业,“其处理消费者的个人信息会对消费者的隐私或安全构成重大风险”,要求这些企业同时(a)网络安全审核和(b)提交隐私风险评估,以解决他们对敏感信息的处理问题,并权衡企业,消费者,公众和其他利益相关者的利益与相关消费者权利的风险。关于建立独立隐私权机构的类似讨论也在联邦一级进行;这种权力分工也可能预示着其他州的隐私法的监管结构。

CPRA将于2023年1月1日生效,距离生效还有两年多的时间。原子能机构将获得更多的利益,特别是当五人委员会的席位被填补时,可能会提供更多与法规有关的解释和指导。但是,正如那些致力于GDPR和CCPA的公司所知道的那样,数据治理和安全合规性计划需要企业各个方面的时间,精力和精力。现在是开始或开始修订数据治理项目并建立着眼于CPRA的系统的时候了。