深入浅出解读加州2018《消费者隐私法案》

2024-09-27 01:06:03

对于在加州开展业务并收集加州居民个人信息的客户，如果该法案适用于您的公司，建议您了解加州2018年新的《消费者隐私法案》（下称“该法案”）并开始合规准备。
谁应该为该法案做准备？
该法案适用的“涵盖企业”定义为i）在加利福尼亚州开展业务，（ii）收集加州消费者的“个人信息”，并（iii）满足以下一个或多个条件：（A）年度总收入超过2500万美元; （B）（出于商业目的）购买、接收、出售或分享50,000或更多加州消费者个人、家庭或设备的个人信息;或（C）通过出售加州消费者个人信息获得50％及以上年收入的。
该法案将“个人信息”定义为“直接或间接地识别、关联、描述、能够关联、或者可能合理地联想到某特定消费者或家庭的信息”。在此定义下，个人信息几乎涵盖了企业可能收集或维护的有关消费者或消费者家庭的任何数据。
企业什么时候开始为该法案做准备？
值得特别注意的是该法案有12个月的回顾条款。该法案于2020年1月1日生效后，消费者将有权要求公司提供在过去12个月内（最早可追溯到2019年1月1日）收集的有关自己的所有数据。适用该法案的涵盖企业需要立即采取行动以准备合规。
如果公司不遵守该法案会怎样？
如果公司不遵守该法案，对于每次违规行为，加利福尼亚州总检察长可以处以2,500美元至7,500美元间的民事罚款。该法案还规定，因企业未能实施与其所获得的消费者个人信息类型和敏感性相对应的合理安全保障措施，而导致个人信息数据泄露的消费者，法定损失赔偿金额为100至750美元，或赔偿实际损失金额，以两者中较大者为准。
公司应该如何准备符合该法案的合规？
消费者知情权和请求访问权的数据映射
公司应该在2019年初尽早开始进行数据映射、建立数据跟踪系统。如消费者根据该法案要求企业提供个人信息报告，企业有45天的时间为消费者准备一份有关其个人信息的综合报告，包括企业收集了何种信息，收集信息的目的，信息是否已被出售，若被出售则需提供信息购买方的信息（包括姓名和地址）等。消费者有权每年提出两次此类要求。该法案还要求公司制定验证消费者此类请求合法性的方法。
消费者有权“选择退出”或“删除个人信息”的隐私条款
公司需要向消费者提供“不与第三方共享数据”的选择，这被称为“选择退出”的权利。对于16岁以下的未成年人，该法案要求公司在向第三方出售其个人信息之前获得消费者的明确同意（如果未满13岁，则需要父母或法定监护人同意）。公司还必须告知消费者他/她有权删除公司收集和维护的个人信息，并提供如何提交此类请求的信息。
因此，公司可能需要审查其系统机制，以确保其系统允许消费者选择退出信息共享以及删除其个人信息数据的选项。 如果消费者选择行使其在该法案下的权利，例如选择退出的权利或删除个人信息的权利，公司不能歧视消费者。
确保信息安全符合法律规定
该法案要求企业必须实施和维护适合与公司处理的个人信息敏感程度相符的合理安全程序和做法。如上所述，根据该法案，如果消费者的个人信息的数据泄露，公司的信息安全措施不到位可能会使公司面临消费者个人行使私人诉讼权的风险。
审查和更新第三方协议
如果公司使用第三方服务商处理消费者的个人信息，公司可能需要审查并更新与第三方服务商的协议，以确保该法案的合规。
更新隐私政策
公司需要修改其隐私政策，以包括该法案描述的消费者权利，以及如何行使这些权利的方法。此外，请留意，该法案规定隐私政策应至少每12个月更新一次。
另一点请注意，即使为合规《欧盟通用数据保护法规（GDPR）》最近刚修订了隐私政策的公司也可能需要按上述要求进一步更新其隐私政策才能达到该法案的合规。

如果您想了解有关该法案的更多信息，或需要更新公司隐私政策的帮助，请随时与我们联系。