2020年11月3日,加利福尼亚州的选民通过了加利福尼亚州隐私权法案(CPRA)的投票倡议,投票率略低于60%的人批准了该措施(发布时)。由“ 2018年加利福尼亚消费者隐私法案”(CCPA)的架构师提交的投票倡议,早先获得了900,000个签名,远远超过了2020年投票认证所需要的约625,000个签名。
The 消费品管理局 amends the 注册会计师, adds new consumer rights, clarifies definitions 和 creates comprehensive privacy 和 data security obligations for processing 和 protecting personal information. These material changes will require 商业es to—again—reevaluate their privacy 和 data security programs to comply with the law.
生效日期和时间表
消费品管理局修正案自 2023年1月1日, 和 will apply to personal information collected by 商业es on or after January 1, 2022 (except with respect to a consumer’有权访问其个人信息)。直到CPRA修正案开始执行 2023年7月1日.
注册会计师’s existing exemptions for 商业 contacts, employees, job applicants, owners, directors, officers, medical staff members 和 independent contractors will remain in effect until 2022年12月31日.
新成立的加州隐私保护局(“Agency”)将被要求采用以下最终法规: 2022年7月1日. For more information about the 机构 和 its role in enforcing the amended 注册会计师, see our previous 文章.
消费品管理局的通过不会影响CCPA目前实施的可执行性。
消费品管理局的新权利
除了CCPA’CPRA拥有知悉,删除和选择不出售个人信息的权利,CPRA为加利福尼亚消费者创造了以下新权利:
- 更正个人信息的权利
- 限制使用敏感个人信息的权利
- 选择退出的权利“sharing”个人信息
这些权利在我们之前的文章中有更详细的解释。 文章.
New compliance obligations for 商业es subject to the 消费品管理局?
消费品管理局提出了新义务,类似于欧盟中的数据处理原则。’通用数据保护条例(GDPR)。这些职责包括:
- 透明度: 企业必须明确明确地告知消费者他们如何收集和使用个人信息以及他们如何行使权利和选择权;
- 目的限制: 企业只能吸引消费者’出于特定,明确和合法披露目的的个人信息,并且可能不会进一步收集,使用或披露消费者’个人信息出于与这些目的不符的原因;
- 数据最小化: 企业可能会吸引消费者’仅在与收集,使用和共享目的相关且必要的范围内提供个人信息;
- 消费者权益: Businesses must provide consumers with easily accessible means to obtain their personal information, delete it or correct it, 和 to opt out of its sale 和 the 分享 across 商业 platforms, services, 商业es 和 devices, 和 to limit the use of their sensitive information; 和
- 安全: 要求企业采取合理的预防措施来保护消费者’来自安全漏洞的个人信息。
The 机构’的规则制定还将包含许多新要求,包括:
- A requirement that 商业es whose processing of consumers’个人信息给消费者带来重大风险’隐私或安全措施:(i)每年进行一次网络安全审核; (ii)定期向管理局提交有关其处理个人信息的风险评估;
- A requirement that 商业es provide access 和 opt-out rights with respect to their use of automated decision-making technology, including profiling, 和 requiring a 商业’对访问请求的响应,以包含有关该决策过程所涉及的逻辑的有意义的信息;和
- 扩展了针对退出偏好信号的要求和技术规范,以指示消费者’打算退出销售或共享个人信息或限制消费者的使用或披露’敏感的个人信息。
其他义务在我们之前的文章中有更详细的描述 文章.
Do 商业es need to scrap their 符合CCPA programs 和 start over with a new 消费品管理局 compliance program?
绝对不。现有的CCPA合规计划将成为CPRA合规的重要基础。但是,受CPRA约束的企业将需要扩展其现有合规性计划,以包括例如更新隐私声明(包括其隐私政策和收集时的通知),其他消费者权利的程序,服务提供商和承包商协议的更新,新的记录保存要求和网络安全评估。
What should 商业es be doing now?
虽然CPRA’s amendments will not be enforceable until 2023, we recommend that 商业es:
- 审核修订的定义“business”确定修改后的CCPA是否仍将适用于其运营。拟议的修正案:(i)将与购买或出售或共享个人信息有关的门槛从50,000个消费者或家庭增加到100,000个消费者或家庭; (ii)缩小“common branding” applicability test to bring into scope only commonly branded related entities with whom a 商业 shares consumers’ personal information; (iii) bring into scope joint ventures or partnerships where the 商业es involved have at least a 40% interest; 和 (iv) bring into scope any 商业 that voluntarily certifies to the 机构 that it is in compliance with 和 agrees to be bound by the law.
- Consider how the 商业 will document 和 map its uses of sensitive personal information for purposes of complying with consumer requests right to limit the use of their sensitive personal information.
- Determine whether the new obligations 和 requirements can be implemented only for 加利福尼亚州 consumers, or whether it would be easier for the 商业 to implement these obligations 和 requirements for all of its consumers, whether or not they reside in 加利福尼亚州.
- 考虑并计划使您当前的CCPA计划符合CPRA修正案所需的预算和资源。
是否期望对加利福尼亚隐私法做出更多更改?
由于CPRA会在正常的立法过程中受到加利福尼亚州立法机构的修正,因此我们建议继续监视事态发展并相应地修改准备工作。
