加州隐私法的最新发展及研究.docx

加州隐私法的最新发展及研究.docx

《加州隐私法的最新发展及研究.docx》由会员分享，可在线阅读，更多相关《加州隐私法的最新发展及研究.docx（6页珍藏版）》请在冰豆网上搜索。

加州隐私法的最新发展及研究

加州隐私法的最新发展及研究

一、《加州隐私权法案》的主要内容

CPRA在CCPA框架的基础上扩大了加州消费者的权利，为企业和服务提供商增加了新的义务，为未成年人增加了新的保护措施，并创建了一个新的州执法机构，即加利福尼亚隐私保护局（CaliforniaPrivacyProtectionAgency），授权其实施加州隐私法并起诉违规行为。

CPRA将于2023年1月1日生效，除访问权外，适用于企业在2022年1月1日或之后收集的个人信息。

与CCPA相比，CPRA的主要变化有以下方面：

（一）适用范围的改变

CPRA通过了确定一个组织是否为受隐私权法约束的企业的标准，澄清了受CCPA约束的“企业”类型。

CCPA的适用范围是在加州的年度总收入超过2,500万美元，或为了商业目的每年单独或组合购买、收取、出售或共享50,000或更多人的个人信息，或通过销售加州消费者个人信息的收入占其年收入的50%或以上三项条件之一的企业。

CPRA修改了收集消费者个人信息的“企业”的门槛要求。

在加州开展业务的营利性实体必须满足以下三个条件之一才能成为受约束的“企业”：

（1）  澄清应从上一个日历年的1月1日起计算2,500万美元的年度总收入值。

值得注意的是，CPRA没有说明年度总收入是涵盖仅在加州的企业收入还是总收入。

总收入为2,500万美元的企业（无论是仅来自加利福尼亚州还是与其他州有关的企业）都应考虑遵守CCPA和CPRA。

（2）营利性实体每年购买、出售或共享个人信息的加州消费者数量从50,000增加到100,000；

（3）要求公司在评估其年收入的50%或以上是否来自此类个人信息时，应同时包括来自“销售”和“共享”个人信息的年收入。

CPRA还改变了必须遵守法律的其他实体的范围：

（1） 共同控制实体：

将覆盖范围缩小到控制或者被控制、与企业共享品牌，并与该企业共享消费者个人信息的实体；

（2） 合资企业：

将义务扩展至“由每个企业至少拥有40％权益的企业组成的合资企业或合伙企业”；

（3） 自愿申请：

适用于在加州经商、自愿向监管机构证明其符合CPRA并同意受其约束的实体。

（二）设立了新的监管机构

目前，违反CCPA的行为由加州司法部长办公室监管。

CPRA设立了一个新的监管机构——加州隐私保护局来接管这项职责。

该机构将调查并举行听证会，以确定企业、服务提供商或承包商是否符合CPRA的要求，对违规行为处以罚款，并要求企业承担相应的法律责任。

（三）CPRA增加了CCPA现有的消费者权利，包括：

1.消费者应该知道谁在收集他们和他们的孩子的个人信息、如何使用这些信息以及向谁披露，以便他们掌握必要的信息对企业使用他们和他们孩子的个人信息进行有意义的控制。

2.消费者应该能够控制其个人信息包括敏感个人信息的使用，XX的使用或披露会给消费者增加受到伤害的风险，因此消费者应该在个人信息的收集、使用和披露方面拥有有意义的选择权。

3.消费者应该有权访问其个人信息，并且应该能够对其进行纠正、删除和将其从一家公司带到另一家公司。

4.消费者或其授权代理商应当能够通过易于访问的自助服务工具来行使这些选择权。

企业可能会被要求在其网站上发布选择退出的链接，以便消费者有权拒绝共享信息或者退出。

5.消费者应该能够行使这些权利而不会遭到报复。

6.消费者应该能够要求未能采取合理的预防措施以保护其最敏感的个人信息免受黑客和安全漏洞侵害的企业承担责任。

7.消费者应从企业使用其个人信息中受益。

（四）CPRA扩大了CCPA现有的企业义务，包括：

1.CPRA扩大了企业的通知义务。

企业必须“在收集时或之前”告知消费者个人信息是被出售还是共享；有关“敏感个人信息”的收集、处理和披露的信息；除其他信息外，还包括企业打算保留每种类别的个人信息的期限，或者如果可能的话，告知“用于确定该期限的标准”。

2.服务提供商、第三方和承包商的合同义务

CPRA引入了“承包商”的概念，承包商是指根据与企业的书面合同向企业提供消费者个人信息以用于商业目的的人。

CPRA强制规定，如果企业向服务提供商、承包商和第三方出售、共享或披露个人信息，必须签订一份包含特定数据处理条款的合同，包括：

（1）合同必须规定企业出售或披露的个人信息“仅用于有限和指定的目的”；

（2）责成第三方、服务提供商或承包商遵守CPRA，并提供与CPRA要求相同级别的隐私保护；

（3）合同必须要求第三方、服务提供商或承包商将其无法履行CPRA义务的情况通知企业；

（4）允许企业采取合理和适当的步骤，以制止和纠正XX使用个人信息的行为，并确保接收方以与企业协议一致的方式使用个人信息。

（五）扩大了敏感个人信息的范围

1.CPRA创建了“敏感个人信息”的新类别，包括:

（1）个人信息显示：

（A）消费者的社会保障号码（SSN）、驾照、州身份证或护照号码

（B）消费者的帐户登录名称、财务帐户、借记卡或信用卡号码，以及允许访问其帐户的任何必需的安全性或访问代码、密码或凭据

（C）消费者的精确地理位置

（D）消费者的种族或民族血统、宗教或哲学信仰或工会会员身份

（E）消费者的邮件、电子邮件或短信的内容，除非企业是通信的预期收件人

（F）消费者的遗传数据

（2）（a）为识别消费者个人而进行的生物特征信息的处理

（b）收集并分析有关消费者健康的个人信息

（c）收集并分析有关消费者的性生活或性取向的个人信息

（3）可公开获得的敏感个人信息，不应被视为敏感个人信息。

2.CPRA限制使用敏感个人信息

CPRA规定受约束的企业对敏感个人信息的收集、使用、保留和共享必须合理、必要，与收集或处理个人信息的目的相称。

企业不得要求消费者建立不必要的帐户或提供不必要的信息，对于退出出售或共享其个人信息的消费者，企业不得出售或分享其个人信息，限制使用或披露消费者的敏感个人信息，并等待至少12个月，然后再请求消费者授权出售或共享消费者的个人信息，或出于其他目的使用或披露消费者的敏感个人信息。

3.限制销售、共享和使用个人信息和敏感个人信息的方法

（1）应在公司的互联网首页上提供清晰明了的“请勿出售或共享我的个人信息”的链接，使消费者或其授权的人可以选择不出售或共享消费者的个人信息。

（2）应在公司的互联网首页上提供清晰明了的“限制使用我的敏感个人信息”的链接，使消费者或其授权的人可以限制使用或披露消费者的敏感个人信息。

（六）增加了对未成年人的保护

根据CPRA，16岁以下的加州居民将享有更多的数据保护权，法律要求企业在分享或出售来自这个年龄段的消费者的任何平台用户数据时，必须获得明确的同意。

年龄在13至16岁之间的儿童可以自行同意被收集数据，13岁以下的消费者必须征得其父母同意，这类用户也属于《儿童在线隐私保护法》（Children’sOnlinePrivacyProtectionAct,COPPA）的保护范围。

CCPA实际上从另一个方面加强了COPPA的执行，它特别要求网站和应用在收集数据之前询问用户的年龄。

因为如果不询问用户的年龄，网站即可在联邦一级规避《儿童在线隐私保护法》。

CPRA还通过提高在CCPA下收集和出售16岁以下未成年人信息的罚款来增加违反儿童隐私权的法律责任。

CCPA第24.17节规定，任何企业、服务提供商、承包商或其他违反本法的人，均应处以强制令和民事罚款，每次民事罚款不超过2,500美元，对故意违规和涉及未成年消费者个人信息的违规行为，处以7,500美元的罚款[12]。

因此，向未成年人提供服务的企业除了必须履行在COPPA下的合规义务外，可能还会面临CPRA下更高的罚款和合规风险。

（七）延长了员工个人数据的豁免

CCPA为加州消费者提供了关于如何以及是否收集、保留和出售他们提供给企业的个人数据的权利，包括雇主为雇用目的而收集的员工数据，其后加州AB25号法案豁免了员工数据以及被视为从“企业到企业”转移的数据，作为CCPA的例外情况，为期一年，到2021年1月1日。

AB1281号法案将豁免时间又延长了一年，直至2021年底。

CPRA进一步将豁免延期到2023年1月1日，即从2023年1月1日起，雇主在从应聘者或雇员那里收集个人信息之前或当时应当发出通知，说明将要收集的每类信息及其用途。

豁免期延长对企业来说是好消息。

此外，CPRA规定公开的信息不构成个人信息，例如，企业有合理依据认为消费者合法地向公众公开的信息，或广泛传播的媒体中的信息都不属隐私权法下的个人信息，这和GDPR相一致。

这一点可以减轻公司的合规负担。

CPRA是在CCPA实施不久、最新修正案公布征求意见后几周公布的。

在许多CCPA的合规项目尚未尘埃落定之际，加州又迎来CPRA。

CPRA保留了与CCPA基本相同的结构。

如果说CCPA引领了数据隐私的新时代，那么CPRA使CCPA更加强大。

CPRA不是一项不同的法律，而是对现行加州隐私法律的扩展，它加强了对消费者个人信息的保护，并澄清了一些尚不清晰的合规性问题，增强了CCPA的可执行性，也为美国其他州的隐私立法提供了蓝本。

二、CCPA第一案

CCPA的一大亮点是赋予了个人在该法下追究损害赔偿的权利，规定某些数据泄漏的私人诉讼权，并使得民事集体诉讼成为可能。

如果由于受管辖企业违反了CCPA规定的相关法律义务，或者未实施和维护合理的安全程序以及采取必要的措施来保护个人信息，而导致消费者的个人信息和数据受到XX的访问、泄漏、盗窃或披露，消费者有权提起民事诉讼。

这里介绍被称为“CCPA第一案”的HannaAndersson\S数据泄露集体诉讼案（案号:

3:

20-cv-00812-EMC.）。

案情是：

2020年1月22日，美国童装制造商和在线零售商汉娜·安德森（HannaAdersson）披露了一起数据泄露事件，称有XX的第三方访问了其网站上2019年9月16日至2019年11月11日期间的购买信息。

汉娜·安德森的网站使用Salesforce的电子商务平台，攻击者在Salesforce电商平台上植入了电子掠夺器，侵入在线商店，并在用户购物时向结账页面注入JavaScript代码，以窃取支付数据（包括客户的姓名、账单和支付卡信息）。

原告BernadetteBarnes诉称，HannaAndersson和Salesforce未能保护她和其他客户免受2019年9月至11月之间发生的数据泄露的侵害。

在破坏期间，XX的黑客可以访问敏感的消费者信息,包括支付卡信息和账单地址。

不幸的是,HannaAndersson和Salesforce公司未能阻止数据泄露，甚至未及时检测到数据泄露。

在美国联邦调查局（FBI）展开调查之前，恶意软件已感染了Salesforce的电子商务平台近六周。

直到2020年1月15日，即在最初的数据泄露事件发生几个月之后，巴恩斯和其他消费者才被告知数据泄露事件。

原告声称这些公司违反了《加利福尼亚反不正当竞争法》和CCPA。

企业未能实施和维护合理的安全程序和作法而导致XX的访问，盗窃或泄露了消费者的个人信息。

该案由美国旧金山北区地方法院审理。

根据CCPA，如果收集个人信息的企业未能采取合理的安全措施而导致个人信息被盗窃或泄露给XX的人，则法律会赋予消费者私人诉讼权。

如果发生数据泄露事件，消费者可能在每次事件中要求获得100美元到750美元的赔偿，或者他们的实际损害赔偿，以金额较大者为准，并且他们可以提起个人或集体诉讼。

在此种案件中，原告无须展示由于数据泄露造成的任何实际伤害即可要求赔偿。

2020年11月20日，HannaAndersson、Salesforce与原告就数据泄露相关诉讼达成了协议。

根据旧金山联邦法院初步批准的和解协议，HannaAndersson同意支付40万美元并采取相应的纠正措施，Salesforce似乎没有同意支付赔偿金。

这项和解协议使在HannaAndersson