今年是数据保护领域的重要一年,用标题抓取一般数据保护规定(gdpr)因其与隐私相关的要求过多,以及对违规者处以高额罚款的可能性,占据了大多数聚光灯下。尽管公司(合理地)目前可能专注于gdpr,同样重要的是要密切关注即将出台的新隐私法,以避免在临近生效日期的最后时刻争夺合规性。188bet金博宝这些新法律中最重要的是2018年加州消费者隐私法.为了防止选民在11月的选举中面临类似的投票活动,该法案迅速出台并签署。这篇文章概述了新的法律,从1月1日开始生效,2020。

什么是2018年加州消费者隐私法?

加利福尼亚州州长杰里·布朗于6月28日签署了《2018年加利福尼亚消费者隐私法》(“法案”)。2018,就在几天前,在加州立法机关被仓促引入。为什么这么匆忙?这一切都源于加州独特的投票倡议进程,这是值得更详细解释的。

在加利福尼亚,引入立法的权力不仅限于政治家。根据加州法律,公民可以提出新的法律和宪法修正案,如果他们在一份主张拟议法律在未来的投票中出现的请愿书上得到足够的签名,他们可能会在全州范围内对他们的倡议进行投票。一项倡议的支持者首先发出请愿书,一旦必要的签名数量得到国务卿的批准,这项倡议被批准出现在即将举行的投票中。如果加州选民同意,这项倡议成为州法律,但一旦颁布,它不能被州立法机关修改。相反,一般来说,任何修改都必须通过其他举措进行。实际上,这意味着一旦投票成为法律,就很难修改投票提案。

在这里,加利福尼亚州立法机构渴望通过该法案,因为这样做会阻止加利福尼亚人对类似的计划进行投票,该计划将在2018年11月的大选中出现。实施投票措施的倡议收集了约629000个经核实的签名,并计划在11月与其他倡议(包括提议将加利福尼亚州划分为三态,以及与肾脏透析诊所和农场动物禁闭相关的措施,等等)。然而,投票倡议的发起人表示,如果加州消费者隐私法在6月29日前通过并签署,他们将从投票中撤回提议的措施。立法者利用这一选择,匆匆起草并及时通过了法案,以满足最后期限的要求。

有些人认为该法案比投票倡议更可取,因为它提供了机制,以在未来完善其隐私相关要求,这使得修改该法案比通过倡议程序投票通过法律更容易。然而,如下文所述,这并不意味着遵守该法案将是一个快速而无痛的过程;相反,许多公司很可能会发现,与GDPR的合规工作一样,合规过程也是一场斗争。

法案的主要条款是什么?

法案(全文可用)在这里)给“消费者”(定义为加利福尼亚州居民的自然人)与其个人信息有关的四项基本权利:

  1. 知情权,通过一般隐私政策,并根据要求提供更多细节,企业收集到的关于这些信息的个人信息,它的来源,它的用途,无论是披露还是出售,披露或出售给谁;
  2. “退出”的权利允许企业将其个人信息出售给第三方(或,对于16岁以下的消费者,不出售个人信息的权利,或者他们父母的,选择加入;
  3. 企业有权删除其个人信息,除了一些例外;和
  4. 从企业获得同等服务和定价的权利,即使他们根据法案行使他们的隐私权。

该法案的规定旨在将这些权利付诸实践。该法案要求公司通过其隐私政策向消费者披露某些信息,或者在收集个人数据时。例如,企业需要主动披露法案下消费者权利的存在和性质,他们收集的个人信息类别,收集个人信息的目的,以及在过去12个月内出售或披露的个人信息类别。在合规性方面,这些规定将要求公司确定他们从个人处收集的个人数据以及出于什么目的,并且每12个月更新一次他们的隐私政策,以使法案要求的披露。

向第三方销售消费者数据的公司需要披露这一做法,并通过提供一个名为“请勿销售我的个人信息”的链接,使消费者能够选择退出销售。在企业主页上。这就是所谓的“退出”权利。该法案还规定,未经16岁以下消费者的肯定同意,企业不得出售其个人信息(或,对于13岁以下的消费者,未经消费者父母或监护人的肯定同意)。这就是所谓的“选择权”。

消费者也有权要求企业提供某些信息,包括,例如,企业收集消费者个人信息的来源,它收集的关于消费者的特定个人信息,以及与之共享该信息的第三方。该法案要求企业至少提供两种方式让消费者提交披露请求,包括:至少,免费电话号码和网站。此外,企业必须在收到消费者要求后45天内免费披露要求的信息,以可能延长的时间为准。因此,各公司需要确定如何监控其数据共享实践,并根据数据主体的请求在短时间内整理请求的信息。

该法案还禁止企业“歧视”反对消费者行使法案规定的隐私权。更具体地说,这意味着企业不能拒绝商品或服务,对商品或服务收取不同的价格,或者向行使隐私权的消费者提供不同质量的商品或服务。然而,该法案允许企业收取不同的价格,或者提供不同的服务水平,“如果该差异与消费者数据提供给消费者的价值合理相关”,则为客户。如何解释这个令人困惑的漏洞还有待观察。

还值得注意的是,允许企业向消费者提供财政激励,以进行收集,销售,或删除个人信息,根据具体条件和通知要求。

什么是“个人信息”根据法案?

就本法而言,“个人信息”定义为“识别,涉及,描写,能够与或者可以合理地联系起来,直接或间接地,特定的消费者或家庭。”该法案提供了一个非详尽的例子清单,其中包括一些可扩展的例子。例如,个人信息包括“商业信息”(包括“个人财产记录,购买的产品或服务;获得或考虑,或其他购买或消费历史或趋势”),“互联网或其他电子网络活动信息”(例如浏览和搜索历史记录)“教育信息”和“[a] udio,电子的,视觉的,热的,嗅觉,或类似信息。”个人信息不包括从联邦政府合法获得的信息,州或地方政府记录,其用途与保存此类数据的目的相一致。

加利福尼亚州的各种法律规定“个人信息”以不同的方式,他们通常认识到“个人信息”是可用于识别特定个人的信息。法案的定义更为宽泛,包括家庭可识别的信息,不一定是消费者。也,该法案的许多个人信息的例子可以用来说明定义的范围有多广。例如,个人信息的定义包括唯一的个人标识符,广泛定义为包括设备标识符,其他在线跟踪技术和“概率标识符”(基于“比不可能”的个人信息的标识符识别消费者或设备)。另一方面,该法案不适用于未识别的个人数据,只要识别措施符合法案的严格标准,或者收集消费者信息,这也是法案严格规定的。制定合规战略的公司应仔细考虑他们收集的个人信息的类型,并在考虑可能属于法案定义的数据方面建立了一个广泛的网络。

谁必须遵守法案?

该法案将适用于收集和控制加州居民个人信息的营利性企业,在加利福尼亚州做生意,(a)年总收入超过2500万美元;(b)接收或披露50000名或以上加州居民的个人信息,家庭或设备,每年一次;(c)年收入的50%或更多来自出售加州居民的个人信息。该法案还吸纳了这些企业的企业关联方,这些企业共享其品牌。这意味着不是为了利润,小公司,和/或那些没有大量个人信息的人,不要与法案涵盖的关联公司共享品牌,不必遵守法案。

如果……商业行为的每一个方面都完全发生在加利福尼亚州以外,公司也可以免除其在《公司法》项下的合规义务。这意味着:(1)当消费者在加利福尼亚州以外时,企业从消费者那里收集信息,(2)他或她的个人信息在加利福尼亚州没有任何出售,(3)消费者在加州期间未收集到任何个人信息。现实地,虽然,由于拥有“消费者”,许多公司仍将遵守该法案。(加州居民)在他们的顾客中,如下文所述。

谁受法案保护?

该法案要求上述保护措施必须提供给“消费者”。他们被定义为加利福尼亚州的税务居民。然而,加州庞大的人口和经济存在意味着许多(如果不是大多数)公司服务于加州消费者,即使这些公司在加州没有实体存在。此外,很少有公司愿意将法案的所有要求都交给加州居民。因为很难为特定州的居民提供不同的网站体验。例如,很少有公司愿意投入必要的资源为从加利福尼亚州IP地址访问网站的用户提供该法案的退出选项,同时为其他49个州的居民提供一个没有这些功能的网站。现实地,这使得拥有加州客户的公司成为可能,而加州客户是大多数美国客户。拥有在线业务的公司需要遵守该法案,并且需要更新他们的隐私政策和网站才能做到这一点。他们还需要实施一种迅速提供法律要求披露的手段。

该法案将如何执行?

该法案可由加州司法部长执行,治疗期为30天。故意违反该法案的民事处罚最高可达7500美元。

该法案还规定了私人行动权,允许消费者寻求,单独或作为一个班级,法定或实际损害赔偿、禁令和其他救济;如果他们的敏感个人信息(比法案其他部分的定义更窄)受到未经授权的访问和过滤,由于企业未能实施和维护所需的合理安全程序而导致的盗窃或披露。每次事故的法定损害赔偿金为每名加州居民100至750美元,或实际损失,两者以较大者为准。然而,不清楚“每次事件”是什么在这种情况下,因此,目前法定损害赔偿的上限还不清楚。

如果消费者希望根据该法案采取行动,他/她需要先跳过几个圈,然后才能继续索赔。寻求法定损害赔偿的消费者在提起诉讼前,必须提前三十天通知被告公司其起诉意图。(寻求实际损害赔偿的消费者不需要提供此类通知。)如果企业向消费者提供“明确的书面声明”证明违规行为已得到纠正,不会再发生违反规定的行为,在收到消费者通知后三十(30)天内,那么消费者就不能继续他或她的法定损害赔偿诉讼。提起诉讼的消费者必须在提起诉讼后30天内通知司法部长。司法部长可以(1)通知消费者,由司法部长代为起诉,(2)通过通知消费者他或她不得继续进行该行为作出回应,或(3)在30天内完全没有回复,从而允许消费者继续进行操作。

该法案何时生效?

该法案将于1月1日生效。2020。

该法案与欧盟的全球发展政策有多相似?

简单地说:不太相似,尽管它们有一些共同的特点。该法案和全球存托凭证均适用于境外公司,强调一些同样广泛的主题(如访问和透明的重要性);而且,也许最重要的是,公司需要花费大量的精力和资源来实现法规遵从性。然而,这就是相似性的终结点,由于法律的实际规定重叠,但也有很大的不同。

也许最根本的区别在于,全球发展政策是一项综合性法律,但事实并非如此。GDPR不仅规定了公司必须对数据主体进行哪些披露,它还包括向个人和监管机构发出数据泄露通知的程序,数据安全实施,跨境数据传输等。该法案更为有限,因为它主要涉及消费者隐私权和对消费者的披露。

gdpr和法案都赋予消费者关于个人数据的某些权利,但这些权利有些不同。虽然GDPR和ACT都授予用户了解公司关于他们的个人信息的权利,gdpr第15条和第20条对必须与用户共享数据提出了附加要求,以及披露的方式。此外,gdpr提供多种附加权利对于数据主体,包括被遗忘的权利,纠正权,以及不受仅基于自动处理的决定约束的权利——法案中未出现任何一项。

所说的一切,该法案不如《全球发展政策报告》全面,这并不意味着该法案本身的范围很窄,或者它可以被忽略。别搞错了——不应低估该法案的广泛性,并且需要公司花费大量的精力来实现法规遵从性。

同样重要的是,要注意的是,《全球发展政策报告》不包括《反腐败法》,而且,遵守GDPR并不能确保遵守该法案。最重要的是,这两项法律为消费者同意提供了不同的、可能存在冲突的方法。gdpr禁止公司收集,处理,或者在没有法律依据的情况下转移个人信息,并承认用户的知情和明确同意可能提供这一法律依据。然而,“退出”机制,例如预先勾选的复选框,不被视为根据GDPR获得有效同意的手段。相反,用户必须“选择加入”表示同意,例如,单击标记为“我同意”的未选中框表明他们同意收集和使用他们的个人数据。与gdpr不同,该法案不要求公司在处理消费者个人信息时获得用户同意。相反,它要求企业为消费者提供“退出”的机会。它们的数据的一个特定用途:销售他们的个人信息(16岁以下的未成年人除外,必须得到他们的肯定同意)。简而言之,gdpr禁止使用“退出”作为决定如何处理用户个人信息的一种手段,虽然该法案要求使用“退出”防止销售用户数据。

GDPR和该法案之间的显著差异给受这两项法律约束的公司带来了潜在的窘境。明确地,将客户的个人数据出售给第三方的公司可能必须同时实施选择性加入和选择性退出机制,才能合法地出售这些数据。如果公司依靠用户同意将其欧盟客户的个人信息出售或以其他方式转让给第三方,公司必须为其在欧盟的客户实施适当的选择加入机制。然而,同一家公司将不得不实施一个退出机制,允许加州的客户阻止销售他们的个人信息。对于处于这种地位的公司来说,遵守法规很可能是一件棘手的事情。为了处理欧盟用户数据,他们可以选择寻找除同意以外的法律依据,他们可以将欧盟用户引导到具有选择加入选项的网站,将加利福尼亚(或更可能的美国)用户引导到具有选择退出功能的网站,或者他们会找到另一个解决办法。无论如何,处于这一地位的公司需要对其合规策略进行一些思考。

该法案的潜在影响是什么?

实际上,这项法律有可能改变美国的隐私法格局。188bet金博宝–不仅仅是加州。如上所述,加州“消费者”的法律保护意味着许多公司,即使是加州以外甚至美国以外的地方,将根据其要求。为了更新程序,企业将产生巨大的合规成本,符合新法律的政策和网站。此外,该法案授予私人诉讼权意味着公司将不得不预见到消费者驱动的诉讼可能泛滥。

我们希望州立法机关在1月1日法律最终版本生效之前,继续完善和修改法案中与隐私相关的要求。2020。

公司应该在1月1日法律生效之前就开始制定合规战略,2020。与此同时,请在此处查看与法案相关的其他更新和指南。

*特别感谢暑期助理凯西·哈勒斯对博客的贡献。*