《加州隐私权法案》CPRA 合规指南

《加州隐私权法案》CPRA 合规指南

Kaamel Lab
Kaamel Lab 2023年2月14日

CPRA 于2023年1月1日生效、7月1日开始执法,它在《加州消费者隐私法》(CCPA)基础上新增了两项消费者权利,并把执法权从加州总检察长转移到新设的加州隐私保护局(CPPA)。作为 CCPA 的升级版,《加州隐私权法案》(CPRA)针对 CCPA 被诟病的模糊与难执行做了细化,对在加州开展业务、收集个人信息的企业提出了更明确的义务。

TL;DR

谁需要遵守 CPRA

CPRA 适用于以营利为目的、收集消费者个人信息、决定处理目的与方式、在加州开展业务,并满足以下门槛之一的实体:年总收入超过2500万美元;每年买卖或共享10万名以上消费者或家庭的个人信息;或50%以上年收入来自出售或共享个人信息。

若商业行为完全发生在加州之外(企业在消费者不在加州时收集信息,且不在加州出售),则 CPRA 不适用。此外要厘清几个关键定义:“收集”涵盖主动或被动接收、乃至观察消费者行为;“画像”指用自动化处理评估或预测个人的表现、状况、偏好、位置等;“出售”指为金钱或其他价值向第三方交流个人信息;“共享”指为定向或行为广告向第三方交流个人信息,无论是否有对价。

隐私政策必须包含什么

CPRA 要求隐私政策至少每12个月更新一次,并披露:消费者权利说明(知情、删除、更正、访问、退出出售/共享、不受歧视);过去12个月收集的个人信息类别;信息来源类别;收集、出售或共享的业务目的;被披露信息的第三方类别;过去12个月出售或共享、以及出于商业目的披露的信息类别(若未出售或共享,须显著披露这一事实)。

消费者的两项新权利

相比 CCPA,CPRA 新增两项权利。

限制敏感个人信息使用与披露的权利。 消费者可要求企业将对其敏感个人信息的使用,限制在执行服务或提供合理预期商品所必需的范围内。CPRA 新设“敏感个人信息”类别,包括:用于识别的生物识别信息、健康信息、性取向或私人生活信息,以及社保号、驾照/护照号、金融账户及访问凭证、精确地理位置、种族或宗教信仰、通信内容、基因数据等。若企业要超范围使用,须在主页提供“限制使用我的敏感个人信息”的显著链接,或在获取同意时附上退出选择;消费者一旦要求限制,企业须等待至少12个月才能再次请求授权。

更正个人信息的权利。 消费者有权要求更正不准确的个人信息。企业须先核实身份(核实过程不得获取新的个人信息),并提供至少两种提交请求的方式(含免费电话);须在收到可核实请求后45天内免费更正,必要时可延期一次45天。

对服务商、承包商与第三方的合同义务

企业向外提供个人信息前须签书面合同。对“服务提供商”(代表企业处理数据者,如第三方支付平台),合同须禁止其出售或共享信息、禁止超出约定目的使用、禁止合并不同渠道数据,并允许企业以人工审查、自动扫描等方式至少每12个月监控其合规。对“承包商”(从企业接收信息但不代表企业收集者),上述条款同样适用,且须额外作出了解并遵守限制的书面证明。对其他“第三方”,合同须限定目的、要求其遵守 CPRA、并在其无法履约时通知企业。

风险评估、网络安全审计与执法

对处理可能给个人隐私带来重大风险的企业,CPRA 引入隐私风险评估与年度网络安全审计的新要求。CPRA 未明确定义高风险活动,可参考 GDPR 关于数据保护影响评估(DPIA)的情形(如新技术、敏感数据或儿童数据处理)。完成风险评估后须向 CPPA 提交报告。

执法方面,CPRA 把追责权从总检察长转移至 CPPA,取消了 CCPA 的30天补救期,并对每项涉及未成年人的违规处以7500美元罚款。

企业自测清单

CPRA 之后,加州州级执法从“有没有退出按钮”转向“选择能否被真实执行”。这一转变在加州对迪士尼开出的 275 万美元 CCPA 罚单Jam City 因默认出售未成年人数据被罚140万美元中都有体现;CPPA 的调查范围也延伸到联网汽车领域。追踪像素等技术如何触发这些义务,可参考潜藏在表面下的像素追踪

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.