-->

whaust

2019年3月11日 星期一

2018年加州消費者隱私法案 (California Consumer Privacy Act of 2018)


加利福尼亞州擁有超過4千萬人口和世界第五大經濟體,已通過加州消費者隱私法(CCPA),即其綜合消費者隱私法。該法律為加利福尼亞州居民的員工或客戶提供了有關收集,維護和跟踪信息的全新要求。加州檢察長仍在最後確定執行和執行的許多方面。但是,在加利福尼亞州擁有員工或客戶的公司需要對他們正在處理的信息進行評估,這些信息可能會成為加州居民的“個人信息”,他們需要在2019年底之前開始建立合規機制。

加州消費者隱私法案
自2020年1月1日起,該法律適用於在加利福尼亞州收集,銷售或披露個人信息的企業。總之,其預期目的是要求受影響的企業提供增強的透明度並賦予消費者控制其個人信息的權利。具體而言,其目標是通過確保各種權利來進一步增強加州消費者的隱私權,包括:1)了解收集的個人信息; 2)了解他們的個人信息是否被出售或披露以及向誰透露; 3)拒絕出售他們的個人信息; 4)訪問他們的個人信息; 5)平等的服務和價格,即使他們行使個人權利。

哪些公司受到影響?
如果以下情況,CCPA適用於在加利福尼亞開展業務的公司或員工:

每年產生2500萬美元或更多的收入;
每年為商業目的購買,接收,出售或分享50,000個或更多消費者,家庭或設備的個人信息; 要么通過銷售消費者個人信息獲得其年收入的50%或更多。
它的含義及其重要性
首先,法律適用的幾個術語具有廣泛的中風含義。這些條款:1)確定哪些組織必須遵守法律; 2)確定個人信息的範圍; 3)確定法律適用的個人信息; 4)通過廣泛的“銷售”定義,將個人信息確認為資產。這些條款包括:

業務定義為任何在加利福尼亞州開展業務以獲取個人信息並且(i)年度總收入超過2500萬美元的公司; (ii)每年為50,000或以上的消費者,住戶或設備購買,出售,接收或分享商業用途的個人信息; 或(iii)從銷售消費者個人信息中獲得其年收入的50%或以上。請注意,“銷售”和“個人信息”都是業務定義的組成部分。
個人信息被定義為包括識別,關聯,描述,能夠與特定消費者或家庭直接或間接相關聯,合理鏈接的任何事物,包括但不限於以下內容:
個體標識符例如真實姓名,別名,郵政地址,唯一個人識別碼,互聯網協議地址,電子郵件地址,帳戶名稱,社會安全號碼,護照號碼或其他類似標識符; 地理位置數據; 生物信息; 互聯網或其他電子網絡活動; 音頻,電子,視覺,熱,嗅覺或類似信息; 可以從任何先前信息中提取的推論,以便創建配置文件; 而這樣的例子不勝枚舉。
消費者被定義為加州居民的自然人,包括任何唯一標識符。(注意:居民是指(1)每個在該州以外的人為臨時或暫時目的以外的人;(2)在該州境外居住的所有人為臨時或暫時目的而居住的。所有其他人是非居民。)
出售或變體這個詞意味著出售,出租,發布,披露,傳播,提供,轉讓或以其他方式口頭,書面或通過電子或其他方式將消費者的個人信息通過一個承保企業轉讓給另一個企業或第三方用於貨幣或其他有價值的考慮。
這些術語以及其他定義一起應用於法律規定的法律要求,導致許多在加利福尼亞州開展業務的組織的合規義務。

其次,在CCPA下,州立法機構已責成加州檢察長負有執行其規定的主要責任。作為執法部門,司法部長擁有各種執法機制。例如,這包括在30天違規通知到期和糾正機會到期時通過行政罰款懲罰不合規組織的能力。每次違規罰款不得超過2,500美元,故意違規罰款不得超過7,500美元。

更重要的是,司法部長有權決定組織必須如何遵守。在上面的示例中,這可能包括定義構成違規的內容。根據司法部長如何定義違規行為,可能會導致極為不同的處罰。鑑於法律剛剛通過,目前尚不清楚司法部長將如何執行法規或確定是否針對特定情況發生了違規行為。也就是說,法律賦予司法部長廣泛的自由裁量權。“

需要採取行動
在加利福尼亞開展業務的公司需要知道什麼
儘管生效日期為2020年1月1日,但對於受影響的加利福尼亞州企業是否合規,由於法律的複雜性,建議公司開始協調努力,以便更快地遵守。

除了採取某些步驟以遵守和加強有關個人信息隱私的消費者權利外,企業還必須:

執行數據清單以識別信息流。完成後,企業需要確定影響合規性的問題,並製定控製或對策來解決這些問題。
為加州消費者提供兩種或更多種方法來提交他們的信息請求 - 至少包括免費電話號碼。
根據其在線隱私政策或政策(如果存在)或在其網站上的其他情況,根據本法披露有關個人信息的收集,使用和銷售以及一種或多種指定的提交請求方法的消費者權利的描述,並提供其收集,出於商業目的披露或在過去12個月內通過參考法律中特定類別的個人信息出售的個人信息類別列表 - 或者如果業務尚未這樣做,則披露那個事實。所發布的信息必須至少每12個月更新一次。
在其網站主頁上,提供指向“不要出售我的個人信息”的網頁的鏈接,以允許客戶(或其代理人)選擇將其個人信息出售給第三方。除此鏈接外,企業還必須在其在線隱私政策或政策(如果存在)中包含對消費者權利的描述以及上述標題為“不銷售我的個人信息”頁面的單獨鏈接,以及加利福尼亞州對消費者隱私權的具體描述。
實施和維護適合個人信息性質的合理安全程序和做法。
x

沒有留言:

張貼留言

Popular