随着2018年加州消费者隐私法案(CCPA)的通过,加州隐私法的面貌发生了巨大变化。作为美国第一部全面的数据隐私法,CCPA标志着美国隐私法新时代的到来,并导致其他州引入了类似的消费者隐私法。CCPA的引入意味着企业必须在如何处理、出售和共享加州居民的个人信息方面遵守严格的义务,这些居民被赋予了一些与他们的数据处理有关的消费者隐私权。
2020年,加州隐私权法案(CPRA)获得通过,为出售或共享个人信息的企业增加了更多义务,并为消费者增加了额外权利。CPRA已于2023年1月1日生效,并增加了CCPA规定的已有要求。
除了CCPA和CPRA之外,加利福尼亚州还有许多部门法涉及保护个人信息和加利福尼亚州居民的隐私,包括Shine the Light法和加利福尼亚州侵犯隐私法。 在本指南中,我们的目标是全面了解加利福尼亚州的隐私法、CPRA赋予消费者的新权利,以及对其他关键术语的解释。
CCPA保护加州消费者,并要求企业履行有关个人信息处理的某些义务。企业被定义为一个营利性实体,它决定了处理消费者个人信息的目的和方式,在加州开展业务。根据CCPA,企业还必须满足以下门槛之一:
CCPA的地域范围适用于“在加利福尼亚开展业务”的公司。 如果企业在消费者不在加州时收集了该信息,则该商业行为完全发生在加州以外,消费者个人信息的销售没有任何部分发生在加州,消费者在加州时收集的个人信息没有被出售,则该商业行为被称为完全发生在加州以外。
CCPA通常涵盖消费者个人信息的处理,这些信息被定义为对个人数据执行的任何操作,无论是否通过自动化方式。
值得注意的是,企业使用或与服务提供商共享消费者个人信息时,只要满足以下条件,就不属于出售个人信息:
CCPA的范围有许多豁免,包括:
CCPA将个人信息广泛定义为任何“识别、关联、描述、合理地能够与特定消费者或家庭直接或间接关联的信息”。
CCPA提供了可被视为特定类别的个人信息,包括但不限于:
CCPA下的涵盖企业是在加利福尼亚开展业务的营利性实体,它决定了处理消费者个人信息的目的和方式,并且与GDPR对控制者的定义有相似之处。 服务提供商是代表CCPA涵盖的企业处理信息的营利性实体。如果服务提供商违反CCPA使用从企业收到的个人信息,则服务提供商将承担民事处罚。
CCPA规定,16至13岁的未成年人必须同意企业出售其个人信息。此外,父母或监护人必须明确授权出售13岁以下未成年人的个人信息。
CCPA概述了消费者的几项权利,这些权利有助于提高意识并更好地控制企业处理、共享或销售其数据。CCPA为加利福尼亚州居民提供以下消费者权利;
企业应密切关注这些权利以及实现这些权利的具体要求。例如,企业应在其网页上向消费者提供“请勿出售我的个人信息”链接。
被发现不符合CCPA的企业将受到罚款。从每次无意违规2500美元到每次故意违规7500美元不等,法律没有规定最高处罚。对违反CCPA的处罚将通过加州总检察长提起并在法庭上发布的民事诉讼进行评估和追回。
还向个人提供了针对违反CCPA的行为寻求损害赔偿的诉讼权利,但仅限于违反安全措施或数据泄露的行为。每个消费者每次事件或实际损害赔偿金为100美元至750美元,以较高者为准。要注意,只有在未加密或未编辑的个人信息因企业违反安全义务而受到未经授权的访问和泄露、盗窃或披露的情况下,才允许采取民事补救措施。
2021年3月17日,加州隐私保护局(CPPA)宣布成立五人委员会。该委员会将监督、实施和执行CCPA和CPRA,该职责以前由加州总检察长担任。
CPRA于2020年11月3日通过,并将于2023年1月1日生效。其中许多规定将适用于从2022年1月1日起收集的个人信息。CCPA和CPRA的规定之间存在几个关键差异,CPRA还重新定义了同意: (1) 自由提供,(2) 具体,(3) 并明确地表明了消费者的意愿,例如通过声明 或明确的肯定行动。
下表并排突出显示了其中一些关键差异。
在加州,通过了数据泄露通知法规,要求组织通知受影响的个人,任何未经授权获取包含加利福尼亚居民个人信息的未加密数据。
议会法案1130(“AB1130”)于2019年9月6日获得通过,扩大了加州数据泄露通知法规对个人信息的定义,如从人体特征测量或技术分析中生成的独特生物识别数据,例如指纹、视网膜或虹膜图像,并用于验证个人身份。
AB1130还鼓励遇到生物特征数据泄露的组织向受影响的个人提供说明,说明如何通知其他使用相同生物特征数据作为身份验证者的实体不再依赖它进行身份验证。
CalOPPA为居住在加州的消费者提供一些保护,以保护在线收集的有关他们的个人数据。CalOPPA要求收集加州居民个人身份信息的商业网站和在线服务运营商以显眼的方式在其网站上发布其隐私政策。在线服务的运营商可以采用任何其他合理可访问的方式为在线服务的消费者提供隐私政策。
虽然CalOPPA不禁止在线跟踪,但它包含针对“禁止跟踪”机制和跨第三方网站的在线行为跟踪的披露要求。CalOPPA还适用于对在线服务的广义解释,其中包括移动应用程序,加州总检察长表示,该术语“涵盖互联网上可用的或连接到互联网的任何服务,包括支持互联网的游戏平台、网络语音服务、云服务和移动应用程序。”
根据CalOPPA,个人身份信息包括运营商从个人收集并以可访问的形式维护的有关个人消费者的信息,包括以下任何一项:
Shine the Light法涉及企业将个人信息用于直接营销目的与第三方共享个人信息的做法。适用范围广泛到足以包括美国其他州和其他国家/地区的业务。某些公司不受《照亮法律》的约束,例如雇员少于20人的企业和受《加州金融信息隐私法》(CFIPA)约束的金融机构。
ShinetheLight法将“个人信息”广泛定义为识别、描述或能够与个人相关联的任何信息,包括但不限于姓名和地址、电子邮件地址、和出生日期。
ShinetheLight法律规定,如果加州居民要求企业必须告知他们:
请求必须在30天内得到回复,但企业在每个日历年内无需满足来自客户的多次请求。
或者,企业可以通过采用“不出于直接营销目的”向第三方披露个人信息的策略来遵守《照亮法律》:(i)除非客户首先明确同意该披露;(ii)如果客户已行使选择权以防止将信息披露给第三方。
根据《照亮法律》,企业还必须至少执行以下一项操作:
加州侵犯隐私法(CIPA)授予加州个人一定的电话通信保护,包括固定电话和移动电话,禁止公司、个人和政府机构的以下行为:
企业和个人向加州居民拨打或由加利福尼亚居民拨打的电话,无论呼叫者是否位于加利福尼亚,均受CIPA约束。
CIPA的执行是通过刑事处罚来实现的,无论是轻罪还是重罪,具体取决于先前犯罪的数量(如果有)。对于初犯者,罚款为2,500美元,但对于屡犯者,最高罚款为10,000美元。任何违法者,无论是初犯还是屡犯,都可能面临监禁。CIPA还规定了民事诉讼中的私人诉讼权,每次违规赔偿5,000美元或实际损害赔偿的三倍,以较高者为准。