2018 年 6 月,加利福尼亚州取得了新的突破,成为全美第一个颁布全面数据隐私法的州。
新法名为 加州消费者隐私法该法赋予加州人控制其个人信息的重要新权利,并要求 CCPA 所涵盖的企业在如何收集、使用和共享信息方面保持透明。 该法于 2020 年 1 月 1 日生效,距离现在只有两个月的时间。
尽管加州消费者欢迎透明和可控的理念,但最初通过的 CCPA 对企业而言却非常臃肿。 该法 篇幅长达 1 万多字,起草时间不到一周,有些地方含糊不清,令人绝望。
它包含了不一致的地方和不存在的交叉引用部分。 至少可以说,CCPA 需要好好编辑和润色。 加州立法机构在今年早些时候对该法案进行了微小的修订,修正了其中的一些起草错误。
最近,加利福尼亚州司法部长办公室发布了 CCPA 的两项主要修正案和实施条例草案,为企业提供了一些好消息和指导。 在本篇文章中,我们将详细介绍这两项修正案,以及它们如何减轻--但不是消除--受 CCPA 影响的企业的合规负担。在接下来的文章中,我们将探讨 2019 年 10 月 10 日发布的 实施条例草案及其对企业的意义。
最近的两项 CCPA 修正案
2019 年 10 月 11 日,州长加文-纽森(Gavin Newsom )签署了两项修正案,在一年内 大幅缩小了 CCPA 的适用范围。 这些修正案经常被称为 "雇员豁免 "和 "企业对企业"(或 B2B)豁免,但 "豁免 "一词夸大了其效果。 相反,这些修正案在一年内限制了这些群体的某些 CCPA 权利(和商业义务)。自 2021 年 1 月 1 日起,这两个群体将享有 CCPA 的全部权利(除非在此之前再次修订 CCPA)。
> 某些雇员权利的一年有限例外
国会第 25 号法案对 CCPA 进行了修订,将企业收集的有关求职者、雇员、所有者、董事、高级职员和承包商的个人信息排除在 CCPA 的某些 权利之外,为期一年。 该修正案被纳入《民法典》第 1798.145(h)条。 修订后,求职者和雇员在 2021 年 1 月 1 日之前将无权 要求了解或要求删除雇主或前雇主收集的有关他们的信息。
但请不要误会,从 2020 年 1 月 1 日起--也就是从现在开始的两个月之后--求职者和员工将享有 CCPA 规定的 一些 权利 。首先,受 CCPA 管辖的企业有义务向求职者和员工发出 "收集信息时的通知",告知求职者和员工 (1) 企业收集的个人信息类别,以及 (2) 信息的使用目的。 收集时通知 "必须在 收集信息时或之前 送达求职者或雇员。
这意味着,如果受保企业接受在线求职申请或简历求职者,企业必须在求职者完成求职申请或上传简历时或之前,向求职者发出 "收集时通知"(通过弹出式窗口或链接)。 同样,在职员工也有权获得一份 "收集时通知",告知他们企业在他们工作期间收集的个人信息类别,以及使用目的。
从 2020 年 1 月起,求职者和员工根据 CCPA 享有的权利不仅限于在收集信息时获得通知的权利。 如果求职者和雇员未加密和未编辑的敏感个人信息(如社会保险号、驾照号、医疗信息或健康保险信息)因企业未履行实施和维护合理安全程序和措施的义务而遭到泄露,他们也有权起诉企业。 在发生此类数据泄露事件时,CCPA 允许消费者(包括求职者和雇员)就每起事件向每位消费者追偿实际损失或 100-750 美元的法定赔偿金,以金额较高者为准。这是一个改变游戏规则的举措,因为加利福尼亚州是全国唯一一个在发生数据泄露时规定法定损害赔偿的州。
> 企业对企业 "例外也是有限的,一年后失效
CCPA 第二项最值得注意的修正案是第 1335 号议会法案,该法案规定,企业在与代表其他组织行事的消费者沟通时收集的个人信息不包括在内,且沟通仅发生在商业交易的背景下。 换句话说,在商业背景下或在 B2B 渠道中被收集个人信息的个人,不享有 CCPA 赋予的在收集信息时获得通知的权利,或访问或删除其个人信息的权利。
该修正案被纳入《民法典》第 1798.145(n)(1)条中。 但是,与上文讨论的雇员数据的有限例外一样,如果认为在 B2B 环境中收集的个人信息完全 "豁免 "于 CCPA,那就大错特错了。 与求职者和雇员一样,在 B2B 环境中收集到敏感个人信息的人,如果由于企业未能实施和维护合理的安全程序和实践,导致其敏感信息以未加密或未编辑的形式被泄露,也有权提起诉讼,要求企业赔偿实际损失和法定损失。
与雇员修正案一样,将 B2B 收集的数据排除在知情权和删除权之外的规定将于 2021 年 1 月 1 日到期,这意味着在 B2B 环境中被收集个人信息的消费者将从该日起享有完整的CCPA 权利(除非法律再次修订)。
下一步:拟议条例
2019 年 10 月 10 日,加州总检察长办公室发布了拟议法规,就以下方面为企业提供具体指导:(1) 企业必须根据 CCPA 向消费者提供的通知;(2) 企业处理消费者根据 CCPA 提出的请求的做法;(3) 企业核实提出这些请求的消费者身份的做法;(4) 企业有关未成年人个人信息的做法,以及 (5) 企业提供经济奖励的做法。 该法规提案的公众评议期将于 2019 年 12 月 6 日结束。
我们将在接下来的博文中逐一讨论。
