前言:《加利福尼亞消費者隱私法案》(CCPA)是目前美國最強大的隱私權法案。儘管它是根據《歐盟通用數據保護條例》(GDPR)制定的,但它缺乏全方位的消費者保護措施。如果2018年投票倡議的擬議修正案在11月能獲得通過,將會增加對消費者的保護,使之更加符合《歐盟通用數據保護條例》(GDPR)條款。新法案被稱爲《加利福尼亞隱私權法案》( California Privacy Rights Act 簡稱 CPRA),它主張擴大對敏感個人信息的保護範圍,爲未成年人增加新的保護措施,建立新的獨立執法機構。
新加利福尼亞州隱私權法案的條款
這項新的隱私權法案是由加州人爲保護消費者隱私起草的,該州在2020年1月1日正式實施了《加利福尼亞消費者隱私法案》(CCPA)。立法活動先鋒Alastair Mactaggart在接受美國有線電視新聞網CNN(Cable News Network的縮寫)採訪時表示,新法案的提出是因企業在2019年《加利福尼亞消費者隱私法案》(CCPA)通過之初發動的重大攻擊。《加利福尼亞隱私權法案》(CPRA)的一項關鍵規定是,今後對該法的任何修正都必須是"促進隱私權法的目的和意圖"
與《加利福尼亞消費者隱私法案》(CCPA)一樣,該法案之所以成爲可能,是因爲加州的投票創議規則允許任何徵集到足夠簽名的提案進行投票——在這個案例中,擬議的《加利福尼亞隱私權法案》(CPRA)收集了90萬個簽名。它將在2020年11月的投票中提交加州選民。
如果該法案通過,將會在幾個關鍵領域擴大對消費者的保護。將大大擴展“敏感個人信息”的定義,將授予消費者更正個人信息的權利,在處理16歲以下數據主體的事務中將提高同意要求,數據違約責任條款也將有所調整。此外,將設立一個新的執行機構來執行《加利福尼亞消費者隱私法案》(CCPA)和《加利福尼亞隱私權法案》(CPRA)的條款。
擴大敏感個人信息的範圍
關於《加利福尼亞消費者隱私法案》(CCPA)的一個普遍抱怨是,與《歐盟通用數據保護條例》(GDPR)不同,它沒有需要特別保護的特殊類型的敏感個人信息,例如,沒有那些對於身份盜竊或實施保密計劃至關重要的條例。
《加利福尼亞隱私權法案》(CPRA)不僅會創建此類數據保護規範,而且還會在其中加入對會被濫用的個人身份信息的保護,如:社會安全號碼,金融帳戶信息,駕照號碼和護照號碼,地理位置數據,所有各種個人人口統計信息和生物統計信息,對這些信息的保護將超出當前的《健康保險攜帶和責任法案》 Health Insurance Portability and Accountability Act (HIPAA) 要求的範圍。
消費者還將在使用此類信息方面享有新的權利。其中包括企業保留的物理位置數據的可見性和控制權,以及在企業被授權擁有這些數據的情況下消費者對健康和財務信息的額外訪問權。消費者還可以在他們周圍創建一個約250英畝的地理位置“屏障”,這樣他們就不能被跟蹤。這允許廣告商看到他們所處的一般區域,但不能看到他們進入的具體業務和地點。
更正權
關於《加利福尼亞消費者隱私法案》(CCPA)的另一個普遍抱怨是,它沒有爲消費者提供糾正存儲數據的權力。他們可以要求刪除個人數據,也可以選擇不出售個人數據,但無法訪問和更正它。如果存儲的信息不正確,新的隱私權法案將允許更正請求。
增加了對未成年人的保護
根據《加利福尼亞隱私權法案》(CPRA),16歲以下的加利福尼亞州居民將享受更多的數據保護權——要求企業在分享或出售來自這個年齡段的任何平臺用戶的數據時,必須獲得明確的選擇同意。
目前未獲得自願加入同意許可的罰款也將增加兩倍。年齡在13至16歲之間的兒童可以自行同意被收集數據,13歲以下的消費者必須徵得父母同意,這類用戶也屬於《兒童在線隱私保護法》 Children’s Online Privacy Protection Act (COPPA)的保護範圍。《加利福尼亞消費者隱私法案》(CCPA)實際上從一個方面加強了《兒童在線隱私保護法》 (COPPA)的執行,它特別要求網站和應用在收集數據之前詢問用戶的年齡;因爲只要不詢問用戶年齡,網站即可在聯邦一級規避《兒童在線隱私保護法》 (COPPA)。
新的執法機構
目前,違反《加利福尼亞消費者隱私法案》(CCPA)的行爲由加州司法部長辦公室監管。《加利福尼亞隱私權法案》(CPRA)將成立一個新的執法機構——加州隱私保護署(California Privacy Protection Agency)來接管這項職責。
新機構將由該州的普通基金提供1000萬美元的資金,並將把隱私執法人員的數量與聯邦貿易委員會爲類似職能設置的人數(目前約40名)掛鉤。
《加利福尼亞消費者隱私法案》(CCPA)只是在今年年初才生效。如果新的《加利福尼亞隱私權法案》(CPRA)獲得通過,它將在2023年初成爲州法律,其大部分條款將在當年7月生效。不過,這些條款將適用於從2022年初開始收集的個人信息。
*本文出自SCA安全通信聯盟,轉載請註明出處。(SCA安全通信聯盟原創文章對外開白,歡迎加微信MrYe9173751開白)