新加利福尼亚州隐私投票计划将扩大CCPA

在加利福尼亚州提出的一项名为“加利福尼亚隐私权法案”(California 隐私Rights Act)的提议投票倡议,如果放在2020年的投票中,可能会获得通过,这将澄清并扩大现有的《加利福尼亚消费者隐私法案》(California Consumer 隐私Act)。正如我们在本文中概述的那样,在州开展业务的公司应密切监视这些发展并为合规做准备。

一项名为“加利福尼亚隐私权法案”(CPRA)的加利福尼亚州投票倡议将阐明并扩大“加利福尼亚消费者隐私法案”(CCPA),为消费者授予重要的新权利,并对在该州开展业务的公司施加额外的责任风险。 消费品管理局是对《加利福尼亚隐私权和执行法》(CPREA)投票倡议的更新,该倡议是由加利福尼亚州消费者隐私保护委员会于2019年底提出的,该倡议还试图广泛修改和防止CCPA的更改会破坏其消费者保护。 。

由CCPA的建筑师提交的拟议投票倡议获得了900,000个签名,远远超过了2020年投票所需要的大约625,000个签名。据报道,早期民意测验显示出对该措施的大力支持,因此,假设签名获得批准并将CPRA放在选票上,则认为可能通过并于2023年1月1日生效。

消费品管理局提出了无数变化,而本文将不解决所有变化。接下来是对加利福尼亚州企业和消费者最重大变化的讨论,然后是执法和实施注意事项。

新的澄清,权利和责任

在许多领域,CPRA都会以一些方式来修改当前的CCPA,这可能会受到那些努力应对现行法律中通常含糊不清的义务的公司的欢迎:

  • “个人信息”将不再包括个人或媒体明显公开的信息。
  • 明确允许接收删除请求的企业出于合规目的保留这些请求的记录。
  • 消费者不再需要企业根据访问请求生成“其已收集的有关该消费者的个人信息类别”列表。
  • “服务提供者”和“承包商”(一个似乎代替“第三方”合同条款的新术语)将不需要直接响应消费者访问或删除信息的请求。

但是,这些变化很大程度上被该计划强加给消费者的重大新权利和受CCPA约束的企业的责任所掩盖。其中包括以下要求:

  • 企业将需要与新的选择权“限制使用我的敏感个人信息的使用”抗衡,这将需要对涉及某些“敏感”类别信息的商业行为进行更严格的审查。这些敏感的信息类别使人联想到(但比之广泛)美国数据泄露通知法规通常规定的信息类别,或者被欧盟《通用数据保护条例》视为“特殊类别”。就CPRA而言,“敏感”类别将包括某些政府标识符(社会安全号码,驾驶执照,州身份证或护照号码);消费者的帐户登录名,金融帐户,借记卡或信用卡号以及访问该帐户所需的任何代码或密码;精确的地理位置信息;消费者的种族或民族血统,宗教或哲学信仰或工会会员身份;消费者的邮件,电子邮件和短信的内容,除非该企业是该通信的预期接收者;遗传数据;用于唯一标识消费者的生物识别信息;健康信息以及有关消费者性生活或性取向的信息。
  • 退出信息“出售”的现有权利将明确适用于出于行为广告目的“共享”的任何个人信息,从而解决了  辩论 关于“销售”规定对在线广告生态系统的适用性。
  • 注册会计师除了有义务为敏感信息类别的子集维护合理的安全性(根据加利福尼亚州的数据泄露通知法定义,并且可以由CCPA对受数据泄露影响的个人的私人诉权强制执行),CPRA还将创建对企业保持CCPA中定义的所有类别的个人信息的合理安全性的肯定要求。
  • 除访问和删除CCPA授予的个人信息的权利外,一项新权利还允许加利福尼亚消费者更正不正确的个人信息。

执法和修正

除了实质性更改之外,拟议的计划还将大大改变CCPA的实施和实施方式。尽管该提案不会创建新的私人诉权,但会创建一个新的行政机构,即加利福尼亚隐私保护局(Agency),该委员会将由一个由加利福尼亚州州长,律师组成的五人委员会管理。参议院议事委员会将军,议会议长。 消费品管理局生效后,检察长仍可针对违反CCPA的行为提起民事诉讼;但是,原子能机构将拥有执行和执行CCPA并通过法规以促进CCPA宗旨的全部行政权力,权限和管辖权。

与原先的CCPA投票倡议需要大量多数进行修改不同,新倡议将由加利福尼亚州立法机构通过正常的立法程序进行修改,但有一个主要警告:法律必须“与目的相一致并进一步实现”。主动”。如果该倡议获得通过,则该规定可能会大大限制对CCPA的进一步修订,并可能引发关于什么变化可以或不“进一步推动”倡议中规定的目的的辩论。

如果获得通过,CPRA将对在加利福尼亚开展业务的公司产生重大影响。随着公司继续评估其对CCPA的合规状况,他们还应密切关注CPRA的发展,并开始为合规做准备。

劳拉·杰尔(Laura E. Jehl)劳拉·杰尔(Laura E. Jehl)
劳拉·杰尔(Laura Jehl)担任公司隐私和网络安全业务的全球负责人。 Laura着眼于数据,法律和新兴技术的交汇点,为客户提供广泛的隐私和网络安全问题方面的建议。她在识别和缓解因收集,使用和存储数据以及设计新的业务模型,产品和技术而引起的隐私和数据保护问题方面具有丰富的经验。 单击此处以了解有关Laura Jehl的实践的更多信息。


艾米·C·皮门特尔艾米·C·皮门特尔
艾米·皮门特尔(Amy C. Pimentel)的执业重点是隐私和数据安全以及一般健康法。她的客户遍布多个行业,包括医疗保健,消费品,零售,食品和饮料,技术,银行和其他金融服务。 阅读Amy Pimentel的完整传记。


奥斯汀·穆尼奥斯汀·穆尼
奥斯汀·穆尼(Austin Mooney)将其业务重点放在全球隐私,网络安全和新兴技术上。他是一位获得认证的信息隐私专业人士/欧洲人,在帮助客户浏览美国和国际数据保护法律(包括GDPR)方面经验丰富。 单击此处以了解有关奥斯汀的实践的更多信息。 

保持联系

话题

档案