编者序——作为CCPA2.0的CPRA
2020年11月3日,加州选民投票通过了第24号提案,也就是《2020年加州隐私权法》(CPRA),该提案修正并扩展了加州里程碑式的2018年加利福尼亚消费者隐私法》(CCPA)。特别是,CPRA为加州居民确立了新的数据隐私权,对企业和服务提供商施加了新的义务和责任,并将创建了一个独立的数据监管机构,授权其实施加州隐私法并起诉违规行为。CPRA将于2023年1月1日生效,除一些例外情况外,将适用于2022年1月1日之后由机构收集的加州居民个人信息。
进入CPRA(CCPA 2.0)时代
2018年,加州立法机构颁布了CCPA,该法案为加州的“消费者”(如企业的客户、客户和员工)创造了新的数据隐私权,并要求“企业”和“服务提供商”遵守其综合性隐私框架。然而,自CCPA颁布以来,它受到了几项法律修正案和加州总检察长创建的新监管框架的约束。根据CPRA的支持者所说,这大大削弱了CCPA的核心保障措施。通过批准CPRA,加州选民绕过加州立法机构,对CCPA进行了几项实质性修正,有效地阻止了加州政府通过未来立法破坏这些变化。与CCPA相比,以下是CPRA的一些关键变化:
范围的变化。CPRA通过了用于确定一个组织是否为企业的标准(例如,总收入、数据处理活动的范围),显著改变了受CCPA约束的“企业”类型。
监管机构。CPRA设立了一个新的监管机构,即加利福尼亚隐私保护局,该机构被赋予充分的行政权力、特权和管辖权来实施CPRA。该机构将调查并举行听证会,以确定企业、服务提供商或承包商是否符合CPRA的要求,对违规行为处以罚款,并承担相应的法律责任。
第三方合同。尽管CCPA没有强制要求企业与其第三方服务提供商签订数据保护合同,但它鼓励这种做法,向有此行为的实体提供某些好处。但CPRA强制规定,如果企业向第三方出售或与第三方共享个人信息,或仅仅出于商业目的向服务提供商或承包商披露此类信息,双方必须签订一份包含特定数据处理条款的协议(例如,限制使用条款,向下展开合规义务、违约通知和补救权利等)。
数据更正权。CPRA授权加州居民要求企业更正其保管和控制的任何“不准确”个人信息的权利。企业被要求向加州人提供这项权利的通知,并“尽商业上合理的努力”遵守数据更正请求。然而,有趣的是,企业只有在数据不准确的情况下才有义务进行更正。
个人信息共享。CPRA对企业如何“分享”个人信息进行了严格的限制,广义的定义是企业通过任何方式向第三方披露个人信息,进行“跨语境行为广告”,而不考虑双方是否交换了金钱或其他有价值的考虑。从事这些活动的企业可能会被要求在其网站上发布选择退出链接,以确保加州人有权从披露和广告过程中退出。
敏感的个人信息。CPRA规定,加州居民拥有要求企业将敏感个人信息(如社会保险号、地理位置数据、通信内容等)仅用于法律规定的特定目的的权利。企业也可以被要求在其网站上发布选择退出链接,以符合CPRA的要求。
奖励和财务激励计划。CPRA澄清,CCPA的非歧视条款禁止企业提供不同的价格或折扣来交换个人信息,但不会禁止企业提供忠诚、优质功能或折扣计划。然而,CPRA的新义务将使企业更难提供此类项目。例如,除了CCPA要求的这些奖励和忠诚计划的选择加入同意外,一旦消费者之前拒绝了,CPRA现在要求企业至少等待12个月,然后再要求消费者加入此类计划。
员工数据。根据CCPA,在2021年1月1日之前,与就业相关的个人数据不受某些合规要求的约束。CPRA将这一期限延长至2023年1月1日。CPRA没有修改CCPA的要求,即立即遵守收集点通知和HR数据的数据泄露权。此外,CPRA明确禁止企业因员工、求职者或独立承包商行使法律规定的权利而对其进行报复。
CPRA是在CCPA最新修正案公布征求意见后几周公布的。尽管企业可能会因为时间安排而感到沮丧,但他们应该做好充分的准备,利用现有的CCPA合规计划,以符合CPRA的新要求。
基于此,DataLaws成立本译组,专门对《加州隐私权法(CPRA)》进行全文翻译,期待为数据法实务界及理论界的各位同仁提供参考。
译校者:朱佳蔚(组长)、付荣华、李亚楠、魏冬冬、王欢、秋爽、朱霁康等数据法同仁。感谢他们对公益项目的无私奉献!
何渊,数据法盟主理人,上海交大数据法律研究中心执行主任
以下是《加州隐私权法(CPRA)》中译本全文 :
声明:本文来自数据法盟,版权归作者所有。
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/234.html
