随着2018年加州消费者隐私法案(CCPA)的通过,加州隐私法的面貌发生了巨大变化。作为美国第一部全面的数据隐私法,CCPA标志着美国隐私法新时代的到来,并导致其他州引入了类似的消费者隐私法。CCPA的引入意味着企业必须在如何处理、出售和共享加州居民的个人信息方面遵守严格的义务,这些居民被赋予了一些与他们的数据处理有关的消费者隐私权。
2020年,加州隐私权法案(CPRA)获得通过,为出售或共享个人信息的企业增加了更多义务,并为消费者增加了额外权利。CPRA已于2023年1月1日生效,并增加了CCPA规定的已有要求。
除了CCPA和CPRA之外,加利福尼亚州还有许多部门法涉及保护个人信息和加利福尼亚州居民的隐私,包括Shine the Light法和加利福尼亚州侵犯隐私法。
在本指南中,我们的目标是全面了解加利福尼亚州的隐私法、CPRA赋予消费者的新权利,以及对其他关键术语的解释。
2018年6月28日州长杰里·布朗将CCPA签署为法律。
2019年12月17日:加州总检察长(AG)发布了CPRA的标题和摘要,并开放供加州居民签名,以获得2020年11月的投票资格。
2020年1月1日:CCPA生效
2020年7月1日:开始实施CCPA,法规中删除了“不要出售我的信息”,将术语“未成年人”更改为“消费者”。规定提交选择退出请求应易于消费者执行,并需要最少的步骤来允许选择退出
2020年11月4日:CPRA以56%的选票通过
2020年12月10日:AG发布CCPA法规修改建议,拟议引入选择退出按钮的图像及其使用的几项规定
2021年3月15日:AG宣布批准CCPA的附加法规,要求禁止延迟或模糊选择退出个人信息销售过程的“黑暗模式”,并禁止用令人困惑的语言或不必要的步骤给消费者造成负担,例如强迫他们点击多个屏幕,或提出他们不应该选择退出的理由。
2021年3月17日:加州总检察长宣布成立加州隐私保护局(CPPA)
2023年1月1日CPRA生效。CPRA适用于2022年1月1日之后收集的个人信息。
CCPA保护加州消费者,并要求企业履行有关个人信息处理的某些义务。企业被定义为一个营利性实体,它决定了处理消费者个人信息的目的和方式,在加州开展业务。根据CCPA,企业还必须满足以下门槛之一:
年总收入超过25,00万美元;
每年出于商业目的单独或累计购买、接收、出售或共享50,000及以上消费者、家庭或设备的个人信息;
其年收入的50%及以上来自出售消费者的个人信息。
CCPA的地域范围适用于“在加利福尼亚开展业务”的公司。
如果企业在消费者不在加州时收集了该信息,则该商业行为完全发生在加州以外,消费者个人信息的销售没有任何部分发生在加州,消费者在加州时收集的个人信息没有被出售,则该商业行为被称为完全发生在加州以外。
CCPA通常涵盖消费者个人信息的处理,这些信息被定义为对个人数据执行的任何操作,无论是否通过自动化方式。
根据CCPA的规定,收集是指“以任何方式购买、出租、收集、获取、接收或访问与消费者有关的任何个人信息”。
出售包括“出租、披露、发布、传播、提供、转让或以其他方式交流个人信息以换取金钱或其他有价值的报酬”。
值得注意的是,企业使用或与服务提供商共享消费者个人信息时,只要满足以下条件,就不属于出售个人信息:
企业已在其条款和条件中提供了该信息被使用或共享的通知;
服务提供商不会进一步收集、出售或使用消费者的个人信息,除非为执行业务目的所必需。
CCPA的范围有许多豁免,包括:
非营利组织和公共部门组织
CCPA义务不适用于“汇总消费者信息”,该信息被定义为与消费者群体或类别相关的信息,其中个人消费者身份已被删除,与任何消费者或家庭没有联系或无法合理联系。
“去识别化(Deidentified)”信息也不在CCPA的范围之内。这是无法合理识别、关联、描述、能够直接或间接关联或链接到个人消费者的信息。使用去识别化信息的企业应确保采取技术和组织措施来防止重新识别。
CCPA的范围明确排除了某些类别个人信息的收集和共享,包括:
员工数据,包括在作为员工或求职者的过程中从个人那里收集的信息;
《医疗信息保密法》和《健康保险流通与责任法案》(HIPAA)涵盖的医疗信息和受保护的健康信息;
作为临床试验的一部分收集的信息;
向消费者报告机构出售信息或从消费者报告机构出售信息;
Gramm-Leach-Bliley法案(GLBA)下的个人信息;
驾驶员隐私保护法规定的个人信息;
公开可用的个人信息,定义为从联邦、州或地方政府记录中合法提供的信息。
CCPA还从“销售”的定义中排除了一些特定的处理活动,包括:
消费者使用或指示企业通过互动有意向第三方披露个人信息。“悬停、静音、暂停或关闭给定内容并不构成消费者与第三方互动的意图”;
分享一个标识符,表明消费者选择退出向第三方出售数据;
企业与服务提供商共享CCPA定义的“商业目的”所必需的个人信息;
企业将个人信息作为合并、收购、破产或其他类似交易的一部分的资产转让给第三方。但是,如果第三方以与收集时作出的承诺不一致的方式改变其使用个人信息的方式,选择退出的权利仍然适用。
CCPA将个人信息广泛定义为任何“识别、关联、描述、合理地能够与特定消费者或家庭直接或间接关联的信息”。
CCPA提供了可被视为特定类别的个人信息,包括但不限于:
标识符,例如真实姓名、别名、邮政地址、IP地址、电子邮件地址、社会安全号码、驾照号码、护照号码或其他类似标识符;
商业信息,例如,购买、获得或考虑的个人财产、产品或服务的记录,或其他购买或消费历史;
生物识别信息,例如DNA、指纹和虹膜扫描;
互联网信息,例如浏览历史、搜索历史以及有关消费者与网站互动的信息;
地理位置数据;
音频、电子、视觉、体温(thermal)或类似信息;
专业或就业相关信息;
教育信息,前提是它不是公开的;
从上述任何信息中得出的推论,以创建反映消费者偏好、特征、心理趋势、倾向、行为、态度、智力、能力和倾向的消费者概况。
CCPA下的涵盖企业是在加利福尼亚开展业务的营利性实体,它决定了处理消费者个人信息的目的和方式,并且与GDPR对控制者的定义有相似之处。
服务提供商是代表CCPA涵盖的企业处理信息的营利性实体。如果服务提供商违反CCPA使用从企业收到的个人信息,则服务提供商将承担民事处罚。
CCPA规定,16至13岁的未成年人必须同意企业出售其个人信息。此外,父母或监护人必须明确授权出售13岁以下未成年人的个人信息。
CCPA概述了消费者的几项权利,这些权利有助于提高意识并更好地控制企业处理、共享或销售其数据。CCPA为加利福尼亚州居民提供以下消费者权利;
知情权/访问权
删除权
选择退出出售其个人信息的权利
不受歧视的权利
企业应密切关注这些权利以及实现这些权利的具体要求。例如,企业应在其网页上向消费者提供“请勿出售我的个人信息”链接。
被发现不符合CCPA的企业将受到罚款。从每次无意违规2500美元到每次故意违规7500美元不等,法律没有规定最高处罚。对违反CCPA的处罚将通过加州总检察长提起并在法庭上发布的民事诉讼进行评估和追回。
还向个人提供了针对违反CCPA的行为寻求损害赔偿的诉讼权利,但仅限于违反安全措施或数据泄露的行为。每个消费者每次事件或实际损害赔偿金为100美元至750美元,以较高者为准。要注意,只有在未加密或未编辑的个人信息因企业违反安全义务而受到未经授权的访问和泄露、盗窃或披露的情况下,才允许采取民事补救措施。
2021年3月17日,加州隐私保护局(CPPA)宣布成立五人委员会。该委员会将监督、实施和执行CCPA和CPRA,该职责以前由加州总检察长担任。
CPRA于2020年11月3日通过,并将于2023年1月1日生效。其中许多规定将适用于从2022年1月1日起收集的个人信息。CCPA和CPRA的规定之间存在几个关键差异,CPRA还重新定义了同意:
(1) 自由提供,(2) 具体,(3) 并明确地表明了消费者的意愿,例如通过声明 或明确的肯定行动。
下表并排突出显示了其中一些关键差异。
CCPA | CPRA |
---|---|
从加利福尼亚州居民那里收集个人信息、确定在加利福尼亚州的目的并满足以下任何条件的营利性企业: • 年总收入超过2500万美元; • 购买、接收或出售50,000名或更多加州居民、家庭或设备的个人信息;要么 • 从出售加州居民的个人信息中获得50%或更多的年收入。 | 从加利福尼亚州居民那里收集个人信息、确定在加利福尼亚州的目的并满足以下任何条件的营利性企业: • 年总收入超过2500万美元; • 购买、出售或共享100,000名或更多加州居民或家庭的个人信息;要么 • 从出售或分享加州居民的个人信息中获得50%或更多的年收入。 |
CCPA | CPRA |
---|---|
CCPA赋予消费者以下权利; • 知情权/访问权 • 删除权 • 选择退出销售的权利 • 不受歧视的权利 | CCPA下的所有权利,加上: • 更正权 • 限制使用和披露敏感个人信息的权利 |
CCPA | CPRA |
---|---|
“个人信息”是指识别、涉及、描述、合理地能够与特定消费者或家庭直接或间接关联或可以合理地关联的信息。 | 个人信息,以及“敏感个人信息”,包括SSN、驾照号码、生物识别信息、精确地理位置以及种族和民族血统等信息。 |
CCPA | CPRA |
---|---|
“服务提供商”——根据书面合同代表企业处理个人信息的实体。 | 还包括“承包商”——企业根据与企业签订的书面合同,出于商业目的向其提供消费者个人信息的实体。 |
CCPA | CPRA |
---|---|
• 总检察长可以追究违规行为 • 消费者对违反某些信息有私人诉讼权 • 在被AG罚款之前,企业有30天的补救期 | • 成立加州隐私保护机构以进行执法和指导 • 消费者对违反某些信息有私人诉讼权 • 在被CPPA罚款之前,企业不再有30天的补救期 |
CCPA | CPRA |
---|---|
“出售”——为了金钱或其他有价值的考虑 | “出售”——为了金钱或其他有价值的考虑 “共享”——由企业共享给第三方进行精准广告,以获得没有资金交换的利益 |
CCPA | CPRA |
---|---|
当消费者的未编辑或未加密的个人信息因缺乏或维护合理的安全措施而遭到破坏时可用。 | 除了未编辑和未加密的个人信息外,如果访问帐户的电子邮件地址和密码或安全问题和答案遭到破坏,则可以使用私人诉讼权。 |
CCPA | CPRA |
---|---|
不适用 | 收集、保留和使用应仅限于提供商品或服务所必需的范围。 |
CCPA | CPRA |
---|---|
不适用 | 涉及未成年人个人信息的违规行为自动被罚款7,500美元 |
CCPA | CPRA |
---|---|
不适用 | 其处理对消费者隐私或安全构成重大风险的企业需要进行年度网络安全审计 |
CCPA | CPRA |
---|---|
不适用 | 其处理对消费者隐私或安全构成重大风险的企业必须定期向CPPA提交风险评估 |
CCPA | CPRA |
---|---|
不适用 | • “用户画像(Profiling)”——任何形式的个人信息自动处理,以评估与自然人相关的某些个人方面,例如工作绩效、健康状况、可靠性等。 • 预计法规将提供有关使用自动决策的访问和选择退出权利的更多信息 |
在加州,通过了数据泄露通知法规,要求组织通知受影响的个人,任何未经授权获取包含加利福尼亚居民个人信息的未加密数据。
议会法案1130(“AB1130”)于2019年9月6日获得通过,扩大了加州数据泄露通知法规对个人信息的定义,如从人体特征测量或技术分析中生成的独特生物识别数据,例如指纹、视网膜或虹膜图像,并用于验证个人身份。
AB1130还鼓励遇到生物特征数据泄露的组织向受影响的个人提供说明,说明如何通知其他使用相同生物特征数据作为身份验证者的实体不再依赖它进行身份验证。
CalOPPA为居住在加州的消费者提供一些保护,以保护在线收集的有关他们的个人数据。CalOPPA要求收集加州居民个人身份信息的商业网站和在线服务运营商以显眼的方式在其网站上发布其隐私政策。在线服务的运营商可以采用任何其他合理可访问的方式为在线服务的消费者提供隐私政策。
虽然CalOPPA不禁止在线跟踪,但它包含针对“禁止跟踪”机制和跨第三方网站的在线行为跟踪的披露要求。CalOPPA还适用于对在线服务的广义解释,其中包括移动应用程序,加州总检察长表示,该术语“涵盖互联网上可用的或连接到互联网的任何服务,包括支持互联网的游戏平台、网络语音服务、云服务和移动应用程序。”
根据CalOPPA,个人身份信息包括运营商从个人收集并以可访问的形式维护的有关个人消费者的信息,包括以下任何一项:
姓名;
家庭地址或其他实际地址,包括街道名称和城市或城镇名称;
电子邮件地址;
电话号码;
社会安全号码;
允许与特定个人进行物理或在线联系的任何其他标识符;
网站或在线服务从用户在线收集并以个人身份形式与任何标识符结合维护的有关用户的任何信息
Shine the Light法涉及企业将个人信息用于直接营销目的与第三方共享个人信息的做法。适用范围广泛到足以包括美国其他州和其他国家/地区的业务。某些公司不受《照亮法律》的约束,例如雇员少于20人的企业和受《加州金融信息隐私法》(CFIPA)约束的金融机构。
ShinetheLight法将“个人信息”广泛定义为识别、描述或能够与个人相关联的任何信息,包括但不限于姓名和地址、电子邮件地址、和出生日期。
ShinetheLight法律规定,如果加州居民要求企业必须告知他们:
披露的个人信息类别;
在上一个日历年中,企业出于直接营销目的向其披露该客户个人信息的所有第三方的名称和地址。如果无法根据第三方名称合理确定第三方业务的性质,则该企业必须提供营销的产品或服务,以合理表明第三方业务的性质
请求必须在30天内得到回复,但企业在每个日历年内无需满足来自客户的多次请求。
或者,企业可以通过采用“不出于直接营销目的”向第三方披露个人信息的策略来遵守《照亮法律》:(i)除非客户首先明确同意该披露;(ii)如果客户已行使选择权以防止将信息披露给第三方。
根据《照亮法律》,企业还必须至少执行以下一项操作:
通知所有指定联系人的员工,,客户可以通过该联系人提交请求;要么
在隐私政策或网站链接的单独页面中添加对客户权利的描述和行使这些权利的指定联系信息;要么
在加州与客户定期联系的每个营业地点向客户提供指定的联系信息
加州侵犯隐私法(CIPA)授予加州个人一定的电话通信保护,包括固定电话和移动电话,禁止公司、个人和政府机构的以下行为:
窃听
未经各方同意窃听和记录机密通信
未经各方同意记录手机通讯
未经有线和卫星电视运营商书面同意,监控或记录订户住宅内的谈话,或共享有关订户观看习惯的个人身份信息或其他个人信息
使用电子跟踪设备
企业和个人向加州居民拨打或由加利福尼亚居民拨打的电话,无论呼叫者是否位于加利福尼亚,均受CIPA约束。
CIPA的执行是通过刑事处罚来实现的,无论是轻罪还是重罪,具体取决于先前犯罪的数量(如果有)。对于初犯者,罚款为2,500美元,但对于屡犯者,最高罚款为10,000美元。任何违法者,无论是初犯还是屡犯,都可能面临监禁。CIPA还规定了民事诉讼中的私人诉讼权,每次违规赔偿5,000美元或实际损害赔偿的三倍,以较高者为准。