上个月,在小杰拉尔德-布朗州长将《加州消费者权利法》签署成为法律两年多之后,加州总检察长办公室公布了《加州消费者权利法》的最终实施细则。
尽管最终法规为企业和隐私专业人士提供了亟需的指导和澄清,但任何人都不应错误地认为现在就可以高枕无忧了:加州选民将有机会在 2020 年 11 月 3 日投票通过《 2020 年加州隐私权法案》,推动 加州进入更具开创性的隐私领域。
加州有哪些新规定,下一步又将如何? 以下是 CCPA 最终法规的五大要点,以及对未来发展的简要展望。
1 - 现在我们可以确定:2500 万美元不一定要在加利福尼亚产生
两年来,从业者一直在争论,如果一家企业在加州开展业务,收集个人信息,决定如何处理这些信息,并且总收入超过 2500 万美元,但其中只有一小部分收入来自加州消费者(是的,我们在鸡尾酒会上超级有趣!),那么该企业是否受 CCPA 管辖。
OAG 已明确表示,CCPA不限于在加州产生的收入或来自加州居民的收入。
2 - 隐私政策必须包含对消费者权利的描述--即使是那些不适用的权利
在最终法规出台前的最后一轮评论中,一些评论者要求 OAG 澄清,如果企业持有的所有个人信 息都免于按要求删除,则不应要求企业告知消费者其有权删除信息。
同样,企业也要求 OAG 澄清,如果企业不出售个人信息,就不必在其隐私政策中解释选择退出的权利。OAG 说,不需要。CCPA 的隐私政策必须包括对消费者权利的说明,即使企业不必满足消费者的要求。
3 - 最终法规减轻了一些企业负担
从企业合规的角度来看,有一些好消息:
- 对于完全在网上经营并与收集信息的消费者有直接关系的企业,不再要求其向消费者提供免费电话号码,以便消费者提出知情、删除和退出的要求。这些企业只需提供一个电子邮件地址,供消费者提出了解和删除信息的申请。
- 企业 仍需在 10 天内确认收到消费者的请求,但可以以收到请求的相同方式确认请求。换句话说,企业可以将确认流程自动化,以便在收到消费者请求后立即发送确认函。
- 删除消费者信息的企业不再需要 告诉消费者他们的信息是如何被删除的。
- 在某些情况下,企业甚至无需根据知情要求搜索个人数据。增加本小节的目的是为了减轻企业的负担,如果企业保存的是非结构化或不可搜索的数据,这些信息仅用于法律或合规目的,企业不出售这些信息,也不将其用于任何商业目的,并且企业向消费者描述了可能包含个人信息的记录类别,由于符合这些条件,企业没有搜索这些记录。
4 - CCPA 最终法规最终确定了 "无障碍 "的定义
CCPA 法规的早期版本要求 CCPA 通知和隐私政策必须 "便于残障人士合理访问"。最终版本解释说,对于在线发布的通知和隐私政策,企业必须遵循公认的行业标准,如《网页内容可访问性指南》(WCAG)2.1 版。
5 - 服务提供商对个人信息的使用仅限于提供服务
尽管 CCPA 允许企业将个人信息转让给 "服务提供商",而这种转让不构成对个人数据的 "出售",但对于服务提供商在获得个人信息后可以做什么,CCPA 的规定却有些含糊不清。现在,最终法规明确禁止服务提供商保留、使用或披露在作为 "服务提供商 "过程中获得的个人信息,但根据书面合同提供服务所必需的信息和其他四种有限情况除外。
接下来呢,加利福尼亚?
2020 年 11 月 3 日,加州选民将有机会对《2020 年加州隐私权法案》进行投票,这是一部新的隐私法,与《加州隐私权法案》相似,但增加了一些内容(可将其视为 "加州隐私权法案 2.0")。其中,《加州隐私权法案》将设立一个新的监管实体("加州隐私保护机构"),预算为 1000 万美元,取代总检察长办公室,成为执行《加州隐私权法案》的监管机构。CPRA 还将赋予消费者更多权利,要求企业与所有披露个人信息的实体签订合同,并取消 CCPA 目前的 30 天 "补救 "期。
对于企业来说,C CPRA 也是一个好消息,它将把 CCPA 对员工和企业对企业的限制延长至 2023 年 1 月 1 日。目前的民意调查显示,C CPRA 在加州选民中的支持率高达 90%。(顺便提一下,雇员和企业对企业的豁免得到了广泛支持。2020 年 9 月 2 日,加州立法机构投票决定,即使 CPRA 未获得选民批准(AB 1281),也应将当前的雇员和 B2B 豁免延长至 2022 年 1 月 1 日。州长加文-纽森 (Gavin Newsom) 将在 2020 年 9 月 30 日之前签署 AB 1281,使其成为法律。
[bctt tweet="加州选民将有机会对《2020 年加州隐私权法案》进行投票,这是一部与《加州隐私权法案》类似的新隐私法,但增加了一些附加条款。]
