加州隐私权法案（CPRA）获得通过——极大地改变了CCPA

021-54410609

发布时间：2020-12-08 08:25:26 阅读次数：

加州隐私权法案（CPRA）获得通过——极大地改变了CCPA(图1)

加利福尼亚的选民通过了《加利福尼亚州隐私权法案》（CPRA）第24号提案，，通常被称为2020年加利福尼亚隐私权法案（“ CPRA”）。在CCPA生效不到一年后，选民对CPRA的批准将为加利福尼亚州的消费者提供重要的新权利，为涵盖的企业制定新的合规义务，建立新的执法机构，并规定数据最小化和保留义务。下面，我们概述了某些重要方面。

CPRA生效多长时间？

CPRA于2023年1月1日生效。适用于承保的企业个人信息收集的规定将适用于2022年1月1日或之后收集的个人信息。但是，某些企业对企业活动和员工的例外情况已通过CPRA将于2023年1月1日生效。按照目前的情况，这两个例外将在CPRA于2023年1月1日生效时终止。

责任和执行范围扩大

CPRA创建了加利福尼亚隐私保护机构（“ CalPPA”），该机构将具有行政权力和执行CPRA的能力，包括某些审核权。CalPPA的建立可能会导致CPRA的执法力度超出CCPA所见。此外，CPRA还有效地扩大了责任范围。

保护儿童隐私 的罚款增加了三倍：如果16岁以下儿童的收集和销售信息违反了CCPA，CPRA将把CCPA的罚款增加三倍。这将是该实体根据《儿童在线隐私保护法》可能面临的义务和罚款的补充，该法规范了针对13岁以下儿童的信息或实际知道他们正在从13岁以下儿童收集信息的网站和在线服务。
“治愈”违规行为的能力降低： CPRA澄清说：“在违规之后实施和维护合理的安全程序和做法……并不能构成对该违规行为的治愈。”
扩大了私人诉讼权：私人诉讼权现在包括对消费者电子邮件地址以及允许访问消费者帐户的安全性问题或密码的损害。

更改实体资格要求以涵盖业务

如果实体是确定消费者个人信息的方式和处理方式，在加利福尼亚开展业务并满足以下任一条件的营利性实体，则该实体将被视为CPRA涵盖的业务：

从上一个日历年的1月1日起，年度总收入超过2500万美元。对于现有的2500万美元收入要求是否仅打算涵盖加利福尼亚州的收入或全部收入，未作任何澄清。
每年购买、出售或共享100,000个或更多消费者或家庭的个人信息。这将其门槛从CCPA的50,000提高到了门槛。
年收入的50％或更多来自销售或“共享”个人信息。共享是一个新创建的术语，下面将详细讨论。

其他范围更改：

合资企业：“在合资企业或合伙制企业中，每个企业至少拥有40％的权益”的地方可以找到合资企业。
共同控制：与以前一样，通过成为共同控制实体也可以将实体作为业务进行监管。CPRA通过将范围限制在受“受保护的企业”控制的实体，使“普通消费者”理解这两个实体是共同拥有的，并且“企业与之共享消费者的个人信息”，从而缩小了覆盖范围。
自愿认证：在加利福尼亚开展业务的实体可以选择向CalPPA证明其同意受CPRA约束。

数据最小化和数据保留要求

CPRA引入了涉及数据最小化和数据保留的新原理。

数据最小化：根据CPRA，个人信息的收集，使用和共享必须“合理地必要且成比例，以实现收集或处理个人信息的目的……”类似地，它还规定不得将个人信息以“与收集个人信息的公开目的不兼容”的方式使用，而无需通知消费者。
保留限制：CCPA没有明确解决数据保留问题。根据CPRA，个人信息的保留时间不得超过为披露目的而“合理必要”的时间。

初始通知负担增加

根据CPRA，企业现在必须在收集点或收集点之前确定（a）是否可以出售或共享收集的信息，（b）收集的新定义的术语“敏感个人信息”的任何类别，以及（c）任何保留期，或者“如果不可能的话，确定保留期的标准”。

创建了称为“敏感个人信息”的新个人信息类别

根据CPRA，某些新的权利和合规负担将附加到称为“敏感个人信息”的一类新的个人信息上。敏感的个人信息将包括财务信息、帐户登录凭据、消费者的标识号（例如：社会保险号、驾驶执照号等）、精确的地理位置、种族和种族信息、个人通讯以及有关性生活的信息性取向、遗传数据、生物特征或健康信息等。

消费者权利：提供了新权利，修改了现有权利

CPRA为消费者提供了重要的新权利。

限制披露和使用敏感的个人信息：CPRA将要求受保护的企业将其对“敏感的个人信息”的使用限制为“执行服务或提供要求普通商品的普通消费者合理预期的商品所必需的”或“服务”，则当消费者通过使用“限制使用我的敏感个人信息”链接或“单个，标签清晰的链接”行使此权利时（如果该链接很容易使消费者选择退出销售）或共享消费者的个人信息，并限制对消费者敏感的个人信息的使用或披露。”
正确的个人信息：CPRA使消费者能够更正不正确的个人信息。

CPRA修改了现有的消费者权利。

删除权：受保护的企业必须向服务提供商，符合新创建的“承包商”一词的实体以及与企业出售或共享个人信息的第三方提供通知，以在收到可验证的消费者请求后删除个人信息，除了某些例外。如果满足某些条件，则服务提供商和承包商也必须沿着链传递删除请求。
知情权的时间段增加了：如果在2022年1月1日之后收集了个人信息，则消费者将能够要求回溯到比现有的12个月回溯期更进一步的知识，因为这样做不会“花费过多的精力”或对于承保业务“不可能”。
扩展现有的选择退出权，以包括“共享”个人信息：现有的个人信息销售选择权将扩大，以包括“共享”个人信息。根据CCPA，对于什么构成销售存在意见分歧。CPRA试图通过将共享定义为“企业将消费者的个人信息转移或提供给第三方以进行跨上下文行为广告，而不论出于金钱还是其他有价值的考虑”来解决此问题。实际上，这意味着当前不提供第三方行为广告技术选择权的公司将被要求合并使用此类技术并实施“不出售或共享我的个人信息”链接。

新的合规负担

要求的合理安全性：涵盖范围的企业必须“实施适合于个人信息性质的合理安全程序和做法，以保护个人信息免遭未经授权或非法的访问，破坏，使用，修改或披露。” 虽然CCPA并未明确规定此项义务，但根据《加利福尼亚州现行法律》，某些个人信息是必需的。代码段 1798.81.5（a）。

附加供应商合同要求

CPRA创建了新的“承包商”一词，定义为根据与企业之间的书面合同，企业可以向其提供消费者个人信息的人员。
除其他事项外，必须订立协议，规定（a）规定涵盖业务出售或披露的信息“仅用于有限和特定目的”；（b）要求服务提供商，承包商或第三方遵守CPRA，并“提供与CPRA要求的相同级别的隐私保护”；（c）要求服务提供商，承包商或第三方不能再履行其CPRA义务时通知所涵盖的业务；（d）允许企业“采取合理和适当的步骤，以制止和补救未经授权使用个人信息的行为”，并确保下游接收实体以“符合企业责任协议”的“与企业义务一致的方式”使用个人信息。
此外，对于承包商，承包业务必须（除其他方面外）通过协议禁止承包商（a）出售或共享提供给它的个人信息；（b）将个人信息用于或披露除合同概述的商业目的以外的其他目的；（c）在某些例外情况下，将个人信息与通过其他方式接收或收集的数据结合起来。

额外的合规负担

高风险活动将需要进行隐私影响评估和网络安全审核： CPRA要求发布有关高风险活动的强制性风险评估和网络安全审核的法规。风险评估必须“定期”提交给新的加州隐私保护局。CPRA中未定义“常规基础”的概念，可能会在实施法规中加以扩展。
监管审核：CalPPA在某些情况下将有权审核实体是否符合CPRA。由于当前的CPRA文本未提供很多详细信息，因此法规可能会在此领域扩展。
自动化决策：根据CPRA，将提供新法规“对企业使用自动化决策技术（包括配置文件...）的访问权和选择权”。目前尚不清楚其确切含义，我们希望法规在这一点上有所扩展。

CCPA涵盖的企业应立即采取的步骤为CPRA做准备

如果您目前是CCPA承保的企业，则建议您立即采取以下步骤。

审核经修订的要求，以使实体符合CPRA的资格。
考虑各种新概念如何应用于您的业务模型。这将包括数据最小化和保留要求，新的消费者权利，敏感个人信息的使用，自动决策的使用，潜在的法规审计，进行任何可能需要进行隐私影响评估的高风险活动，以及其他方面。
决定是否仅针对加利福尼亚消费者推出CPRA义务。该决定可能已经针对CCPA义务做出了，但是CPRA提出的新问题可能会使这种孤立的合规性更加困难。
根据此分析，开始计划和分配资源预算，以使当前的CCPA计划符合CPRA的要求。

稍晚一些时间，揽阁信息将整理如何通过数据加密、数据保护、密钥生命周期管理、身份认证等安全方式提高企业的安全性，以实现并保持合规性要求，敬请关注我们的官网。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

数据库访问控制：揽阁LGPAC系统
通用HSM：Luna HSM、ProtectServer HSM
支付HSM：payShield 10K
KMS产品：CipherTrust Manager、Vormetric、KeySecure
数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密
网络传输加密：Thales High Speed Encryption（HSE）
身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！