什么是CPRA?
《加州隐私权法》(CPRA)是加州的一项法律,旨在保护居民的隐私权。它对早期的《加州消费者隐私法》(CCPA)进行了修订。它于2023年1月1日生效,并由加州隐私保护局执行,旨在保护消费者在明显侵犯其隐私的公共丑闻后免受数据滥用。CPRA旨在对企业施加更严格的要求,以保护个人信息,及时报表数据泄露,并确保合规。
CPRA法规的目的和范围
CPRA的主要目标包括:
- 保护消费者隐私:CPRA旨在通过制定关于如何处理个人数据的明确规则来保护个人隐私权。
- 规范商业惯例:它对企业实施指导方针,以确保道德数据管理和遵守隐私法。
- 提高透明度:CPRA要求公司在数据收集、使用和共享实践方面更加透明。
- 解决个人信息的销售问题:法律赋予消费者对其个人信息的更大控制权,特别是将其出售给第三方。
CPRA与CCPA
虽然CCPA在加利福尼亚州建立了全面的数据隐私制度(赋予加州居民控制企业收集的个人数据的立法),但CPRA在此基础上建立,赋予他们对自己数据的更多权利和控制权。CPRA不是作为一项单独的法律,而是对现有CCPA的增强。
CPRA通过引入额外的法规和实施新的保障措施来加强CCPA。它扩大了消费者权利,包括更正不准确的个人信息和限制使用敏感个人信息的权利。有趣的是,CPRA的灵感来自《通用数据保护条例》(GDPR)中关于隐私的严格条款。
标题:CPRA以欧盟(EU)的GDPR为蓝本,该GDPR对数据隐私提出了严格的要求。
现在让我们对CPRA进行精细分解,以确切地了解它如何改变、扩展和更新CCPA建立的数据隐私制度。
1.扩大个人身份信息的范围
CPRA完善了个人身份信息(PII)的定义,确保更广泛的数据受到保护。“个人信息”是指可以识别或与个人或家庭相关的数据。
A.CPRA扩大了个人信息的一般定义,以涵盖更广泛的数据类型,包括互联网活动信息、地理位置数据以及专业或就业相关信息。
B.CPRA还引入了一个名为敏感个人信息(SPI)的新类别,其中包括社会保障号码、地理位置和种族或民族血统等数据。SPI是PII的子集,揭示了有关个人属性的更具体细节,如果暴露,通常会导致重大伤害。
根据CPRA,PII包括:
- 标识符:在CCPA和CPRA的背景下,标识符是可用于直接或间接识别特定个人的信息片段。示例:真实姓名、地址、社会保障号码或电子邮件地址
- 受保护的功能特性:受加州或联邦法律保护的功能特性。示例:种族、宗教、肤色、国籍、性别、性取向、残疾或遗传信息
- 商业数据:关于购买和消费习惯的信息。示例:购买历史记录、产品偏好或浏览历史记录
- 生物识别数据:关于独特生物功能特性的信息。示例:面部识别、指纹或虹膜扫描
- 互联网活动:消费者在线活动信息。
示例:浏览历史记录或与网站的互动 - 地理位置数据:消费者的位置跟踪信息。示例:蜂窝塔三角测量、IP地址或GPS坐标
- 多媒体信息:通过音频、视频或类似格式传输的任何信息。示例:音频、视频或摄影材料
- 就业信息:收集或生成的有关消费者就业状况的任何信息。示例:职称、工资或纪律记录
- 教育信息:任何非公开的教育记录。
示例:学术成绩单或学生贷款信息 - 推论:根据上述数据创建的配置文件,反映个人功能特性和行为。示例:定制产品推荐、消费者购买预测或有针对性的消费者兴趣注:提供的示例不是详尽无遗的列表。
新类别SPI是PII的子集,由于其敏感性,需要额外的保护。消费者有权限制其SPI的使用和披露。
以下是根据CPRA被视为SPI的内容。
- 驾照号码
- 社会保障号码
- 护照号码
- 信用卡和借记卡号码
- 金融账户的登录信息
- 关于消费者宗教、民族或种族的数据
- 地理位置数据
- 生物识别和遗传数据
- 关于消费者性取向或健康的数据
- 消费者的邮件、电子邮件或短信
与消费者的其他PII相比,CPRA对SPI实施了更严格的规定。
- 披露:企业应就消费者如何使用SPI提供更详细的披露。
- 消费者权利:消费者对SPI拥有额外的权利,例如限制其使用。
- 安全措施:SPI必须采取更强有力的安全措施。
- 数据最小化:对SPI的收集、使用和保留有更严格的限制。
SPI的敏感性及其更大保护的任务意味着,SPI违规的处罚和法律影响远比PII的处罚和法律影响严重。
2.改变CCPA的范围
CPRA通过调整企业遵守所需的最低门槛来修改CCPA的范围。这包括对数据处理阈值的更改。另一方面,收入门槛保持不变。
数据处理阈值
CCPA:企业被要求每年处理至少50,000名加州居民的个人信息。
CPRA:这个门槛已经翻了一番,达到100,000名消费者。这意味着将有更少的企业属于CPRA的管辖范围。
虽然提高的门槛似乎与改善加州数据隐私的目标背道而驰,但做出这一更改可能有两个原因。
- 减轻小型企业的合规负担:通过提高门槛,受CPRA严格数据隐私法规约束的企业将减少。这旨在减轻小企业的合规负担,这些企业可能缺乏实施综合数据隐私计划的资源。
- 专注于大型数据处理器:提高的门槛允许监管机构将精力集中在处理大量个人信息的大型企业上。这可以更有效地监督和执行数据隐私法。
收入门槛:
- US$CCPA:年总收入超过2500万的企业受法律约束。
- CPRA:这个收入门槛保持不变。
3.更改加州居民的CCPA权利并增加新权利
CPRA加强了现有的消费者权利,并引入了新的权利,例如更正不准确的个人信息的权利和限制使用SPI的权利。
增强现有权利
- 知情权:CPRA加强了消费者了解企业收集、使用、共享和出售的个人信息的权利。根据CCPA,企业必须披露收集的个人信息类别、信息来源和收集目的。根据CPRA,企业必须提供有关他们收集的特定类别个人信息的更详细信息。企业必须披露他们收集个人信息的来源。企业必须解释他们收集个人信息的具体目的。例如,想象一下,您是在线零售商的客户。根据CCPA,零售商可能已经告诉您,它收集有关您的“个人信息”。然而,根据CPRA,零售商需要更加具体。它可能会说:
收集的个人信息:姓名、地址、电子邮件地址、电话号码、信用卡号码、购买历史记录、浏览历史记录。信息来源:您直接提供的信息、通过网站cookie收集的信息以及来自第三方营销合作伙伴的信息。收集目的:处理订单、个性化营销和改善客户体验。 - 删除权:消费者现在不仅可以要求从企业中删除其个人信息,还可以从与企业共享信息的第三方中删除其个人信息。例如,使用在线健身应用程序的消费者决定他们不再希望他们的数据在企业服务器上,并希望确保他们的个人信息被完全删除。他们进入应用程序的隐私设置或联系客户支持,请求删除他们的帐户和所有相关数据。健身应用程序必须遵守他们的要求,并从其数据库中删除他们的个人信息。该应用程序还必须通知任何可以访问数据的第三方服务提供商或承包商将其从其记录中删除。
新权利
- 更正权:消费者有权要求企业更正不准确的个人信息。这是一项未明确包含在CCPA中的新权利。如果消费者发现他们的个人信息不准确或不完整,他们可以向企业提交更正信息的请求。CCPA也没有提供关于企业应该如何处理更正请求的详细指南。CPRA规定,企业在处理请求之前需要验证消费者的身份。根据CPRA,更正权适用于广泛的个人信息,包括姓名、地址、电子邮件地址和财务信息。
- 限制SPI使用的权利:CPRA赋予消费者限制使用SPI的新权利。消费者可以选择不出售或分享他们的SPI。消费者可以要求企业限制其SPI用于收集目的以外的目的。他们还有权限制与第三方共享他们的SPI。这意味着消费者可以选择不将其个人信息出售给第三方以获取利润。这项权利没有明确包含在CCPA中,但通过CCPA关于出售个人信息的规定暗示了这项权利。CCPA允许消费者向企业提交“不要出售我的个人信息”请求,这有效地限制了其数据的销售。然而,CPRA编纂了这项权利,并使其更加明确。
4.将监管重点领域转向行为域
CPRA更加强调监管行为域,要求企业在销售或共享个人信息时为消费者提供明确的退出选项。跨语境行为域涉及根据从不同业务、网站、应用程序或服务中收集的个人信息向消费者投放域。随着CPRA的执行:
- 服务提供商不能在不违反CPRA的情况下参与跨语境行为域。例如:一个流行的食谱网站收集有关其用户食谱搜索和成分偏好的数据。该网站与域网络共享此数据。该网络使用此信息在用户访问的其他各种网站上显示烹饪小工具和餐包的定向域,如新闻或社交媒体平台。这种做法被称为跨语境行为域,根据CPRA,除非食谱网站和域网络有明确授权并相应地通知用户,否则可能违反了CPRA。
- 自2022年1月1日以来一直参与跨语境行为域的域技术公司,如果被发现违反CPRA,将面临罚款的风险。
公司如何避免与跨语境行为域相关的处罚?
审查和更新合同:确保与企业的合同明确说明出售或共享个人信息的目的,并确保服务提供商符合CPRA要求。合同还应包括在未经授权使用的情况下进行补救的规定。
- 实施数据最小化:仅收集和处理指定业务目的所需的数据。避免不必要的数据收集和保留。
- 获得明确同意:在参与跨语境行为域时,获得消费者的明确同意。告知他们将如何使用他们的数据,并为他们提供选择退出的选项。
5.建立一个新的政府执法机构
CPRA成立了加州隐私保护局(CPPA),这是一个专门负责执行和实施CPRA的机构。该机构有权处以罚款并确保合规。
CPPA的职责:
- 执法:CPPA有权调查投诉、进行审计,并对违反CPRA的企业采取法律行动。
- 规则制定:该机构可以发布法规来澄清和解释CPRA,为企业和消费者提供指导。
- 公共教育:CPPA负责教育公众了解他们的隐私权和CPRA的要求。
- 罚款:CPPA有权对不遵守法律的企业处以重大罚款。这些罚款可能很大,可以威慑不合规。
通过拥有一个专注于执行CPRA的专门机构,加利福尼亚州旨在确保企业对其数据行为负责,并确保消费者的权利得到保护。
6.向CCPA添加类似GDPR的功能
CPRA通过引入更严格的同意要求、数据最小化原则和加强消费者权利,与欧盟的GDPR更加一致。
- 明确同意:CPRA和GDPR都要求个人在收集和处理个人数据之前明确知情同意。这意味着企业必须获得明确、肯定的同意,他们不能依赖预先勾选的框或默示的同意。
- 目的限制:两项法规都强调,数据只能用于特定、合法目的的收集和处理,未经额外同意,不得用于其他目的。
数据最小化原则
- 必要性:CPRA和GDPR都要求企业只收集所述目的所需的个人数据,并避免收集过多的数据。
- 保留限制:这两项法规都对企业保留个人数据的时间施加了限制。当不再需要数据时,应删除或匿名化。
增强消费者权利
- 访问和更正的权利:CPRA和GDPR都授予个人访问其个人数据并请求更正或更新的权利。
- 删除权:在某些情况下,个人有权要求删除其个人数据,例如当数据不再需要用于原始目的时。
CPRA适用于谁?
CPRA适用于符合特定标准的企业。
- 数据收集:收集至少10万加州居民的私人信息(从50,000人更新,不包括小企业)。
- US$收入:全球年收入超过2500万(收入可以来自任何来源,而不仅仅是加州居民)。
- 数据销售:全球年总收入的一半以上来自销售消费者个人数据(收入可以来自任何来源)。
US$企业只需满足其中一个标准,即可接受CPRA。因此,如果一家企业达到这些阈值中的任何一个——无论是从10万加州居民那里收集个人信息,年收入超过2500万,还是从出售个人数据中获得超过50%的收入——它都必须遵守CPRA法规。
CPRA对企业、服务提供商和第三方施加了重大义务,它还引入了CCPA中没有的新类别——承包商。这三类的义务如下:
企业必须通知消费者权利,尊重这些权利,履行披露和保留义务,促进消费者请求,并实施安全保障措施。CPRA扩大了企业的定义,以包括满足特定收入或数据量阈值的实体。
服务提供商是代表企业处理个人信息的实体。他们必须仅按照合同中的规定使用个人信息,遵守该合同,实施安全保障措施,并避免将来自不同业务的个人信息合并在一起。CPRA要求服务提供商通知企业他们使用分包商,分包商必须在合同上受相同条款的约束。
第三方是从企业接收个人信息但不符合服务提供商或承包商资格的实体。他们必须与收到时做出的承诺一致地使用个人信息,提供新做法或改变的做法的通知,并为消费者提供选择退出额外销售个人信息的机会。
承包商是CPRA引入的新类别,类似于服务提供商,但受书面合同的约束,其中包括对合同条款的理解和遵守的证明。他们有与服务提供商相同的义务,包括仅使用合同中规定的个人信息,遵守合同,实施安全保障措施,并避免合并来自不同企业的个人信息。
消费者有什么权利?
以下是该法案保护的关键消费者权利的细目:
- 透明度和意识:消费者有权知道谁在收集他们的个人信息,如何使用这些信息,以及与谁共享这些信息。这些知识使他们能够对数据做出明智的决定。
- 控制和选择:消费者可以限制其个人信息的使用方式,特别是可能构成更高风险的敏感数据。他们还可以选择如何收集、使用和披露他们的数据。
- 访问和更正:消费者可以访问他们的个人信息,更正任何不准确之处,并删除它。他们还可以将数据从一个企业传输到另一个企业。想象一下,消费者一直在使用健身应用程序来跟踪他们的锻炼和营养。他们决定切换到一个新的健身应用程序,它提供了更好的功能。根据CPRA,消费者可以从原始应用程序中请求他们的个人数据,包括锻炼日志和饮食信息。原始应用程序必须以结构化的、常用的格式提供这些数据,使他们能够轻松将其导入新应用程序,而无需从头开始。
- 易于访问:消费者可以通过用户友好的自助服务工具行使权利。
- 无处罚:消费者不会因行使权利而面临任何负面后果。
- 数据安全:企业必须采取合理措施来保护消费者的SPI免受网络攻击者和安全漏洞的侵害。
- 数据使用的好处:消费者应该从企业使用其个人信息中受益。
- 员工隐私:CPRA还保护员工和独立承包商的隐私,同时承认他们与企业关系与消费者-企业关系之间的差异。该法律不干涉组织和集体谈判等劳动权利。