Mantua Services

加州隐私权法案 (CPRA)是一项新通过的数据隐私法案,它将修改和扩展现有的隐私法——加州消费者隐私法案。CPRA 建议通过加强企业对消费者的权利和责任来加强消费者隐私。您一定想知道这一切对您在加利福尼亚及其他地区的业务和隐私法规意味着什么。本指南将讨论您应该了解的有关 CPRA 的所有信息以及如何遵守它。目录什么是

CCPA VS CPRA

加州隐私权法案 (CPRA)是一项新通过的数据隐私法案,它将修改和扩展现有的隐私法——加州消费者隐私法案CPRA 建议通过加强企业对消费者的权利和责任来加强消费者隐私。

您一定想知道这一切对您在加利福尼亚及其他地区的业务和隐私法规意味着什么。本指南将讨论您应该了解的有关 CPRA 的所有信息以及如何遵守它。

目录

  • 什么是加州隐私权法案?

  • CPRA 的历史

  • 为什么通过 CPRA?

  • CPRA 时间表

  • 谁需要遵守 CPRA?

  • CPRA 将出台哪些新规定?

  • 如果您不遵守 CPRA,会发生什么?

  • 如何遵守 CPRA?

  • 结论

什么是加州隐私权法案?

加州隐私权法案,也称为24 号提案,是 2020 年 11 月 3 日大选期间大多数选民批准的一项新的数据隐私法案。该法案旨在:

  • 加强加州公民的权利。

  • 收紧使用用户个人信息 (PI) 的业务法规。

  • 建立加州隐私保护署(CPPA),这是一个新的政府机构,负责全州范围内的数据隐私执法,等等。

该法案将于 2023 年 7 月 21 日生效,并将适用于 2022 年 1 月 1 日或之后收集的所有消费者数据。

CPRA 的历史

CPRA 由Alastair Mactaggart提出,他是一名房地产开发商,后来成为加州消费者隐私倡导组织的创始人。他通过他的倡导团体做出了努力,并提出了一项名为“加州隐私权法案”的投票倡议。

Alastair 的 观点是:“随着《加州消费者隐私法》的通过,我们为加州的消费者权利奠定了历史基础,现在是时候抓住这一势头,采取下一步行动来执行和扩大法律以跟上一个正在以惊人的速度变化的行业”,“这就是为什么我们推出了一项新举措,该举措将进一步保护我们最个人的信息,增加对侵犯儿童隐私的罚款,提高透明度,最重要的是,建立一个真正为消费者着想的执法机构。”

根据州法律的规定,司法部长 Xavier Becerra 发布了 CPRA 的标题和摘要。

为什么通过 CPRA?

通过 CPRA 是为了增强加州公民的隐私,并在您的企业和消费者之间建立透明的信息交换。CPRA 将赋予加州公民以下权利:

  • 控制和限制企业对其个人信息和敏感个人信息的使用。

  • 更正、删除和转移他们的个人信息。

  • 了解企业将使用他们的数据多长时间。

  • 如果企业未能遵守 CPRA 规定,则追究其责任。

  • 即使作为员工和独立承包商,也能保护他们的隐私利益。

CPRA 时间表

CPRA 时间表

您一定认为 CPRA 将在 2023 年实施,但从 2022 年 1 月 1 日开始的一年回溯条款改变了一切。

这是什么意思?

根据 CPRA,消费者将有权访问您从 2022 年 1 月 1 日开始收集的所有关于他们的数据。如果他们要求,您必须提供他们的所有数据,包括与他们合作的供应商和服务提供商的类别从 2023 年 1 月 1 日开始,您已共享数据。

这意味着您需要从 2022 年 1 月 1 日开始以正确的方式收集数据,即使 CPRA 直到 2023 年才适用于您的业务。

例如,如果有人要求提供 2028 年的数据,您必须提供从 2022 年 1 月 1 日开始收集的关于他们的所有信息。

谁需要遵守 CPRA?

CPRA 将更针对符合以下标准的大型企业:

  • 年总收入超过2500万美元。

  • 其 50% 或更多的年收入来自出售或共享消费者的个人信息。

  • 每年购买、出售或共享超过 100,000 名消费者或家庭的个人信息。

重要提示:即使您的企业实际上或合法地不在加利福尼亚州,如果您在该州拥有用户或开展业务,它仍需遵守 CPRA。

CPRA 将出台哪些新规定?

CPRA 将引入许多新的和修改后的法规,以保护加州人的隐私不受企业侵害。主要规定如下:

引入三项新权利

CPRA 将为加州居民引入三项新权利,具体如下:

1. 纠正不准确信息的权利。

这意味着如果用户发现他们的 PI 和 SPI 不正确,他们可以请求更正。

2. 选择退出和了解自动决策的权利。

这意味着加州居民将有权选择不使用自动决策技术,包括分析。分析包括与消费者的经济状况、健康状况、个人偏好、兴趣、工作偏好、行为、位置、活动等相关的数据。

3. 限制敏感个人信息的权利

这意味着加州居民可以让企业限制他们对这一单独类别的个人数据的使用,特别是第三方共享。敏感信息包括:

  • 关于种族和民族的数据。

  • 宗教信仰、政治和哲学信仰或工会会员资格。

  • 有关性生活或性取向的数据。

  • 遗传数据。

  • 健康数据、性生活或性取向。

  • 精确的地理位置。

  • 社会安全号码和驾驶执照、州身份证或护照号码。

  • 帐户登录、财务帐户、借记卡或信用卡号以及任何所需的安全或访问代码、密码或允许访问帐户的凭据。

  • 消费者邮件、电子邮件和短信的内容(如果企业不是通信的预期接收者)。

  • 处理生物特征信息以唯一识别消费者。

CCPA现有五项权利的修改

CPRA 将修改以下权利:

1.删除权

CPRA 扩大了加州居民要求删除个人信息的权利,企业现在也必须通知其第三方删除该信息。

但是,删除权并不要求公司在以下情况下删除个人数据:

  • 如果业务/服务提供商需要该信息来完成销售。

  • 关于数据安全事件。

  • 防止恶意、欺骗、欺诈或非法活动。

  • 行使言论自由。

2.知情权

根据 CCPA,消费者可以要求提供有关上一年收集的个人信息的详细信息,但 CPRA 在某些情况下将此窗口延长至 12 个月以上。

3. 选择退出权

根据 CCPA,消费者只能选择不出售其数据的企业。但是,根据 CPRA,加州居民现在可以选择退出专门与第三方共享其 PI 以进行行为广告的公司。

4. 未成年人的权利

CCPA 规定,组织要求选择同意出售 16 岁以下人士拥有的数据。但是,CPRA 现在要求企业在选择加入请求被拒绝后等待 12 个月,然后再再次请求许可。

5. 数据传输权

根据 CCPA,公民有权要求公司提供其个人信息的副本。但是,CPRA 扩展了这一权利,允许消费者以常用的机器可读格式索取其数据的副本,以便轻松转移到另一个组织。

CPRA 引入新的同意标准

CPRA 通过包括以下内容扩展了 CCPA 当前的同意要求:

  • 在用户(包括未成年人)选择退出后同意出售或共享 PI 和 SPI。

  • 同意将消费者数据用于研究目的。

  • 同意选择经济激励。

CPRA 监管行为广告

CCPA 赋予用户选择退出出于广告目的出售和共享个人信息以换取金钱的权利。

但是,CPRA 将广告分为两种不同的类型:跨上下文广告和非个性化广告。

● 跨上下文广告

  • 它涉及根据消费者没有故意与之交互的个人信息来定位消费者。

  • 用户有权选择退出此类广告。

用户可以要求商家停止与第三方分享他们的 PI,以避免基于他们的行为相关数据(如搜索、浏览器、购买历史、设备设置等)的广告。

● 非个性化广告

  • 它涉及仅基于消费者当前与企业互动得出的 PI 的广告,但他们的精确地理位置除外。

  • CPRA 不允许用户选择退出此类广告,因为它被认为对经营业务很重要。

成立加州隐私保护署

该法案将创建一个新的专门的隐私机构,即加州隐私保护局 (CPPA),以监督和处理所有执法工作。

理事: CPPA 将由由州长、司法部长、参议院规则委员会和议会议长任命的五人委员会管理。

所有这些被任命者必须在客户权利、隐私、技术和(有一些限制以帮助确保他们不受外部影响)方面具有专业知识。

CPPA 的作用:它将规范和监督 CCPA 和 CPRA。CPPA 将有权调查和发现任何违规行为。

CPRA 引入了类似 GDPR 的要求

CPRA 对在欧盟GDPR制度之后紧密形成的企业引入了三项附加要求:

  • 数据最小化

  • 目的限制

  • 存储限制

数据最小化

根据 CPRA,网站或企业只能为规定的收集目标收集、使用和共享加州人的 PI。

目的限制

未经事先报告,组织不得出于不同或新目的收集、使用或共享加州人的 PI。此外,组织不能在未声明其意图的情况下使用、管理或共享信息。

存储限制

网站或企业将需要通知(在收集点)加利福尼亚居民他们收集的个人信息的保留时间。它使用户有权知道他们的数据在收集后将存储多长时间。

CPRA 要求企业在其网站上添加链接以注册数据共享偏好

CPRA 为企业提供指导方针,以确保消费者可以选择不出售或共享其个人信息,并限制对其敏感个人信息的使用。为此,企业必须在其网站上添加标题为“限制使用我的敏感个人信息”的链接,以使加州居民能够限制使用和披露。

基础CCPACPRA
消费者隐私权CCPA 赋予加州公民以下权利:

  • 知情权

  • 删除权

  • 选择退出第三方销售的权利

  • 不受歧视的权利

CPRA 将引入新的和扩展现有的权利,具体如下:

  • 知情权

  • 删除权

  • 选择不与第三方出售或共享数据的权利。

  • 限制敏感 PI 的使用和披露的权利。

  • 纠正的权利。

  • 访问有关自动决策的信息的权利。

  • 选择退出自动决策技术的权利。

  • 不受歧视的权利

敏感个人信息 (SPI)CCPA 将 SPI 包含在更广泛的受监管数据集中,但不对敏感 PI 执行单独的要求和禁令(除了增加的验证要求)。CPRA 对用户的敏感 PI 有不同的要求和限制,分别是:

  • 企业必须披露他们使用的 SPI 类型。

  • 选择退出使用和披露要求。

  • 使用和披露需要选择同意。

  • 企业应说明使用 SPI 的目的。

个人信息共享 (PI)如果用户选择不分享他们的 PI,企业只能将他们的 PI 用于广告目的,以获取金钱或其他有价值的考虑。根据 CPRA,选择退出权限制将 PI 用于行为广告,这可能涉及也可能不涉及换取金钱或其他有价值的对价。
链接标题的变化根据 CCPA,企业在其网站上有一个“不出售按钮” 。根据 CPRA,企业需要提供标题为“请勿出售或分享我的个人信息”的链接。
宽限期和违规罚款在接到涉嫌违规或违规行为的通知后,企业将获得 30 天的宽限期以纠正违规行为。CPRA 取消了 30 天的宽限期,并提高了违规罚款的上限。

如果您不遵守 CPRA,会发生什么?

如果您违反 CPRA 规定,您将承担以下处罚:

  • 每次违规的行政罚款不超过 2,500 美元。

  • 对于涉及 16 岁以下消费者个人信息的故意违规行为,罚款为 7500 美元。

如何遵守 CPRA?

为了遵守 CPRA,我们强烈建议您执行以下操作:

• 组织第三方数据

CPRA 扩大了第三方数据保护。您将需要审核您的供应商和合作伙伴,并确保所有数据都得到安全共享、管理和存储。此外,已简化流程以处理用户的更正、删除或转移请求。

• 创建用户数据清单

由于 CPRA 非常重视消费者的 SPI,因此您必须确保从 2022 年 1 月 1 日开始计算每条数据,如人口统计、地理位置、就业数据等。因此,将所有这些信息整理并附加到在 CPRA 下,正确的用户将是至关重要的。

• 标记和区分您的数据

您应该标记 SPI,以将它们与非敏感个人信息区分开来。它将帮助您决定是使用退出请求还是请求限制敏感数据的使用。

如果您已经标记了个人信息,则可以将 SPI 与其他信息区分开来。此外,如果您已经遵守 GDPR,那么您很可能已经确定了大部分 SPI。

• 更新同意和选择加入表格

使用同意和选择加入表格来确认消费者允许使用、存储或共享他们的数据。此外,改进您的网站、电子邮件和其他数字渠道上的选择加入和同意表。

• 执行强大的数据处理系统

随着CPRA的实施,无疑会有更多的消费者要求删除、传输或更新他们的数据。因此,您将需要强大的流程、人员和技术来顺利处理这些请求。

• 更改您的数据保留时间表

更改您的数据保留隐私政策,以便将“将所有内容保留 12 个月”更改为“只要您仍在使用它,就可以永久保留所有内容”。

结论

随着数字化,CPRA 等法律在确保消费者个人数据的安全和保障以及企业以最透明和最合理的方式使用数据方面发挥着至关重要的作用。

CPRA 将改变您开展业务的方式,通过遵循上述准则,您可以确保您不违反这些规定并与您的用户保持健康的关系。


数据合规创造业务价值

给我们一个开始了解需求的机会,共同来保护贵司的业务。

上海数壳信息科技有限公司
Shanghai Digital Shell Information Technology Co., Ltd
上海・・・北京・・・深圳・・・成都

电子邮件
mkt@dpoit.com

首页
关于我们
联系我们

信任和隐私论坛

Copyright © 2025   上海数壳信息科技有限公司       All Rights Reserved.