在尘埃甚至在许多加利福尼亚州消费者隐私法案(CCPA)合规项目上,加利福尼亚州选民因绝大陆批准而欢迎隐私的未来 命题24:加州隐私权法(CPRA)。 CPRA建设CCPA框架,扩大了加州消费者的权利,为业务和服务提供商增加了新的职责,并创建了一个新的州机构,加州隐私保护局(原子能机构),以接管国家的执法律师将军。以下是显着的更改:

首先,每个企业都很乐意知道B2B和员工信息日落已延长至2023年1月1日(在立法机构延长到2022年后)。

接下来,CPRA为加州消费者建立新的权利:

  • 消费者可能要求企业正确不准确的个人信息
  • 消费者可以选择退出共享(不仅仅是销售): 除了选择退出销售其个人信息的权利,这导致了关于第三方饼干是否构成销售的大量混淆,CPRA专门提供了选择退出信息的权利跨背景行为广告。
  • 消费者将有一个扩大的访问权:开始于2023年1月1日开始,企业需要提供超过12个月的个人信息“除非这样证明是不可能的,或者会涉及不成比例的努力。”
  • 消费者有权要求该业务最大限度地减少其使用敏感数据,其中包括:
    • SSN,驾驶执照,国家身份证或护照
    • 帐户登录或财务帐户信息与安全代码或密码组合
    • 精确地理位置(半径为1,850英尺)
    • 种族或族裔血统,宗教或哲学信仰,或联盟会员资格
    • 消费者邮件,电子邮件或短信的内容,除非业务是沟通的预期收件人
    • 遗传数据
    • 生物识别数据处理以识别消费者
    • 收集和分析的个人信息有关消费者的健康,性生活或性取向

类似于HIPAA的最低规则和GDPR的数据最小化原则,CPRA编纂数据最小化原则:个人信息的收集,使用,保留和分享必须“合理必要和比例以实现个人信息或收集个人信息的目的处理。”新法律还要求保留期限通知,每次披露目的都必须“不再是合理必要的。

CPRA对企业销售,共享或披露数据的新义务,需要适用的协议包括规定:

  • 指定销售或共享个人信息的有限和指定目的。
  • 要求收件人遵守CCPA / CPRA。
  • 授予业务采取合理步骤以确保收件人适当使用个人信息的权利。
  • 如果确定它决定无法符合其CCPA / CPRA义务,则要求收件人通知业务。
  • 授予业务的权利,通知,采取措施停止和修复未经授权使用个人信息。
  • 当与承包商或服务提供商共享信息时,还禁止收件人将从业务收到的个人信息与其他来源收到的其他个人信息相结合。

服务提供商将在新法律下具有直接责任,其中许多业务已经通过其现有的隐私条款征收与第三方的协议。虽然服务提供商不需要响应消费者请求(如果他们只能因其作为服务提供商而获得数据),但法律规定他们必须与业务合作,以应对消费者请求,包括删除和服务提供商或数据收件人删除任何个人信息。他们还有义务通知业务对分包商的使用,并将其分包商进入书面合同,将其绑定到服务提供商绑定的类似条款。

还有一些其他显着的变化:

  • 公司的定义已被提缩,加倍购买,销售或共享(不刚收到)从50,000到100,000购买的加州消费者的数量,并澄清计算2500万美元的阈值(前一年的总收入)。
  • 企业现在可以提供忠诚度计划,如果商品或服务的不同价格,速度,水平或质量合理 - CCPA的“直接”的变更 - 重新计算到业务提供的价值。
  • CPRA在与执法部门合作的例外情况下扩大,并维护受执法查询的个人信息。
  • 它阐明了违约后实施合理的安全措施并未“治愈”违规行为。

加利福尼亚州加利福尼亚州的加利福尼亚隐私保护局的创建是第一批将隐私职责从州司法部长转移到国家级别的典型监管机构。新机构拥有重大的权力,包括创造未来法规的责任,为消费者个人信息的处理为消费者的隐私或安全提供重大风险,“要求这些企业持续一年一次网络安全审计和(b)提交隐私风险评估,解决了他们对敏感信息的处理,并将业务,消费者,公共和其他利益攸关方的利益衡量有关消费者权利的风险。对联邦一级发生的独立隐私机构的创建类似讨论;这种权力司也可能是其他州的隐私法的监管结构的预兆。

CPRA于1923年1月1日生效 - 略远超过两年。更多将来自原子能机构,特别是随着五名成员董事会的席位填补,可能会提供与瑞典相关的更多的解释和指导。尽管如此,由于与GDPR和CCPA讨厌的公司知道,数据治理和安全合规计划需要业务各个方面的时间,关注和努力。现在是开始 - 或开始修改的时间 - 您的数据治理项目并建立具有曲折的系统。