加州总检察长已经发布第二组修改其拟议的实施加州消费者隐私法案的法规。我们预计,计划其CCPA合规计划的公司将希望继续将其努力与不断变化的法规相匹配——尽管AG办公室的一系列修订并不容易使这种匹配。
好消息是,CCPA规定的核心权利和义务以及此前修订的条例草案基本没有变化。消费者的知情权、删除权和选择不出售个人信息的权利仍然是问题的核心。这个最新版本确实包括一些值得注意的变化,并取消了AG办公室上个月提出的一些变化,如我们之前所述更新:
- 个人信息范围:也许谘商会的新修订中最重要的变化是恢复了对《防止犯罪行为法》下“个人资料”的更广泛解释。上个月,总检察长提出了一个重要的狭义澄清:“个人信息”,总检察长当时说不包括企业没有也不能合理地与特定消费者或家庭连接的IP地址。AG现在已经消除了这种狭隘的解释。因此,在AG的观点中,IP地址似乎又回到了范围之内——无论企业是否将IP地址链接到任何人。
CCPA本身在第1798.140(o)(1)条中仍然指出,在IP地址符合“个人信息”资格之前,IP地址与特定消费者或家庭之间必须具有“合理的”链接性。但法规草案的最新变化表明,AG将广泛解读这一要求,错误地将IP地址视为PI的一种形式。AG的预期重点似乎是与消费者或家庭的联系可以被吸引,而不是是否某项业务实际上吸引链接或能够这样做。
这一变化不应影响威胁信息的共享,威胁信息通常包括被认为与恶意活动有关的IP地址的共享。企业仍然可以自由地与执法部门合作共享个人信息,以及在没有获得对价的情况下(通常是威胁数据的情况)共享信息。
- “不出售”按钮:总检察长还删除了合规的“禁止出售”按钮的可视示例。AG办公室在收到评论后删除了这一删除,因为他们上个月提供的切换风格的例子可能会让消费者困惑,他们是否已经选择不出售他们的数据。目前的草案不仅删除了之前提供的示例,而且也没有提供任何替换指南。
新版本还包括一些值得注意的补充:
- 隐私政策内容:新的修订包括对隐私政策内容的额外要求,包括(i)企业必须识别来源类别它从中收集个人信息,并且,就像GDPR要求企业确定处理目的一样,(ii)企业确定“商业或商业用途用于收集或出售个人信息。”CCPA文本规定,消费者有权要求企业披露收集个人信息的来源类别和收集个人信息的商业目的。参见CCPA,§1798.110 (a)(2)-(3) & (c)(2)-(3)。法规草案现在更进一步,要求企业将这些信息包括在其隐私政策中。
- 领取点的通知:根据修订后的条例草案,如果企业收集个人信息,但不是直接从消费者那里收集,则不再有义务在收集点提供通知。问题是,在这种情况下,企业不能出售收集的个人信息。假设,如果A从B处获得了C的数据,并希望最终拥有出售该数据的权利,A仍然可以在从B处获得数据时向C提出建议。此外,对于与员工相关的数据,新的修改不再要求在收集点的通知中包含企业隐私政策的链接。
- 服务提供商豁免:新的修改对第三方服务提供商使用个人信息设置了额外的限制。例如,新的修改仍然允许服务提供商使用个人信息“来建立或提高[他们的]服务质量”,但现在表明这项豁免不包括“修改家庭或消费者的资料”用于向另一企业提供服务,或纠正或者增加从其他来源获得的数据。
- 对消费者要求了解的响应:根据新的修改,一个企业收到要求知道应该通知如果他们收集了敏感的个人信息,如社会安全号码、驾驶执照号码、其他政府颁发的身份识别号码、金融账户号码、健康保险或医疗识别号码、账户密码、安全问题和答案,或独特的生物特征数据,则必须向消费者提供保密信息。正如之前的法规草案所指出的那样,企业不应该,但是,在响应消费者请求时实际上披露了此类信息。
- 未成年人个人信息:如果一家企业确实知道自己在出售16岁以下未成年人的个人信息,新发布的条款要求该企业在其隐私政策中描述其计划,以获得销售个人信息的肯定和选择同意——如果未成年人未满13岁,则从父母那里获得同意;如果未成年人年龄在13至16岁之间,则从未成年人那里获得同意。
- 报告在新的修改下,一个业务“知道或合理地应该知道”为了商业目的在一年内购买、接收、出售或分享1000万或更多消费者的个人信息,必须披露(i)业务收到、遵守和拒绝的请求数量;(ii)收到、遵守和拒绝删除业务请求的次数;(iii)该业务收到、遵从及拒绝的选择退出请求的数目;以及(iv)业务作出实质性回应的中位数或平均天数。受此报告要求约束的企业必须在每个日历年度的7月1日前作出必要的披露。
加州司法部长将在3月27日前接受评论,包括通过电子邮件发送到PrivacyRegulations@doj.ca.gov。企业可能会合理地问:
我们最终什么时候会有最终的规定?针对一个移动的目标制定合规计划是很困难的。不幸的是,总检察长办公室尚未表明何时将发布最终形式的法规。通过法规的法定截止日期仍为2020年7月1日。此外,总检察长也无法在7月1日之前开始执法行动。
值得注意的是,最近信泽维尔·贝塞拉(Xavier Becerra)没有向国会承诺法规的最终发布日期。相反,他只是重申了7月1日的法定最后期限。顺便说一下,这封信的主旨是敦促国会在考虑联邦隐私立法时,将CCPA视为“下限,而不是上限”。联邦立法是否会优先于CCPA和类似的州法律仍然是一个热点问题,也是任何通过联邦法案的障碍。
考虑到COVID-19造成的破坏,最后期限或执行是否会有所放松?在2019冠状病毒病大流行之前,贝塞拉部长曾公开表示,在该法律于2020年1月1日生效后,将采取“积极、早期和果断的执法行动”,可能主要针对儿童数据以及医疗保健信息和社会保障号码等敏感数据。媒体报道显示,一些主要的广告集团刚刚联系总检察长办公室,要求将执行时间推迟到2021年1月2日。这些组织列举了COVID-19对私营部门造成的破坏,以及法规的不稳定状况。在冠状病毒爆发之前,这些组织曾要求总检察长推迟,但没有成功。
通过《福布斯》总检察长办公室的回复是:“目前,我们致力于在最终确定规则或7月1日执行法律,以先到者为准。我们都注意到COVID-19带来的新现实,以及随之而来的保护消费者在线隐私的更高价值。我们鼓励企业在紧急情况下特别注意数据安全。”
一如既往,我们很乐意与我们的客户和朋友讨论这些问题。
订阅数据博客,请点击这里.