准备加利福尼亚州's New Consumer Privacy Act

2018年2018年加州消费者隐私法(“CACPA”)由2018年6月由前总督布朗签署法律。 CACPA在欧洲Facebook / Cambridge Analytica Revelations之后,加州立法机关迅速通过了欧洲的一般数据保护规范(“GDPR”)以及拟议的加州投票倡议,这将更加难以修改。 

即使您的业务采取措施遵守GDPR,CACPA也会征收额外的义务和责任,并为加州消费者提供新的权利。 这些新要求需要立即计划和行动预期2020年1月1日的法律生效日期。

以下是法律的主要条款和步骤的简要摘要,影响业务应考虑与法律顾问协商。

商家受到CACPA的影响

CACPA适用于加利福尼亚州的业务的营利性实体,(i)产生年度总收入超过2500万美元; 或者 (b)收到或分享超过50,000多名加利福尼亚州的消费者的个人信息; 或者 (c)从销售加州消费者的个人信息,至少50%的年度收入。用于CACPA目的的“加州消费者”是一个自然人(不是公司),他是加州居民,无论是个人在加利福尼亚州的内部还是境外。 

除了经过CACPA的业务外,还应将未来具有增长预测或商业模式的新兴成长公司应考虑实施技术架构和内部流程和程序,以促进最终遵守的程序。

扩大了CACPA下加州消费者的权利

根据CACPA,加利福尼亚州的消费者在收集个人信息时已经获得了广泛的权利,包括以下内容:

·      了解个人信息类别的权利,企业收集了这些消费者;

·      知道收集个人信息的来源类别的权利;

·      了解收集或销售个人信息的业务或商业目的的权利;

·      了解业务股票个人信息的第三方类别的权利;

·      访问在请求前12个月内收集和使用的信息的权利;

·      有权删除信息的权利(受某种例外); 

·      选择个人信息出售的权利;

·      对于年龄在13和16岁之间的消费者来说,肯定的义务为使用和销售个​​人信息而获得选择;和

·      措施免受歧视价格和货物质量的歧视,以行使CACPA的权利。  (注意:本规定意味着如果消费者练习其隐私权,则不能拒绝商品或服务或收取更高的价格。 然而,如果CACPA还允许您的业务收取不同的价格或提供不同的服务级别“如果差异与消费者数据提供的价值合理相关。” 因此,根据个人信息的收集,公司应谨慎行事,并在实施差异定价或产品时与法律顾问进行磋商。)

扩展个人信息的定义

值得注意的是,CACPA下“个人信息”的定义比相似的美国法律更广泛,而且一般在GDPR下反映了个人数据的定义。 

在CACPA下,个人信息“意味着识别的信息涉及,涉及描述,能够与特定的消费者或家庭合理地或间接地联系或间接地联系在一起。” 

构成个人信息的项目列表超出了名称,地址和社会安全号码,包括IP地址,在线标识符,地理位置数据,互联网或电子网络活动信息,例如从用于创建A的信息汲取的搜索历史记录和推断消费者偏好配置文件。 

在安全违规事件中扩大了补救措施

CACPA下的一个主要发展是安全违规行动的私人权。 在CACPA下,由于未能保持适当的核查而暴露未加密或未加工的个人信息的加州居民可以对业务带来行动。 如果足够原告希望汇总索赔,则可以进行课程。  虽然有一个程序步骤,原告必须在制定行动之前经历,但未能在CACPA下充分保护个人信息可能会导致加州企业的重大责任。

CACPA还将货币罚款和惩罚在故意违反每次违规时高达7,500美元的违规行为。

您的业​​务应采取哪些步骤?

CACPA正在作为监管机构进行修改,商业界和消费者团体寻求解决由CACPA的SWIFT通道产生的歧义和不一致。  然而,鉴于隐私问题的知名度越来越多,我们预计大部分法律的一般要求,以及对消费数据的加强警惕的一般取向将保持完整。  

鉴于与CACPA相关的重要潜在负债,增长公司从事加州消费者,包括预计但尚未受到CACPA的增长公司将需要仔细计划,建立和维护保障,政策和程序,以确保遵守CACPA及相关法律。

以下是企业应考虑与隐私法律顾问进行协商的行动:

·       查看并更新您的隐私政策. CACPA需要在收集点或之前增加隐私披露,以消费者解释要收集的数据类别以及将使用信息类别的目的。这些披露必须每12个月更新一次。

·       查看并更新您的网站。 除了与您的隐私政策的联系, CACPA规定,您的业务为消费者在网站上的主页上提供了“合理访问和清晰且显眼的链接”。 此链接必须题为“不要出售我的个人信息。”  在您网站的这一部分下,您必须向消费者解释他们有权选择退出销售他们的个人信息并为他们提供这样的手段(通常以“形式”退出按钮“。)此链接还必须提供有关其隐私权的某些其他必需信息;

·       查看并更新您的使用条款。 您的在线使用条款通常包含您的隐私政策,并列出您的业务提供服务的条款和条件。 可能还需要修改使用条款,以确保遵守CACPA。

·       为消费者提供一个或多个手段提交请求。 您必须以最低限度提供免费电话号码,以便消费者拨打CACPA下的信息请求。

·       建立消费者信息请求响应程序。 您的业​​务必须 r询问 45天 核实消费者的信息请求,并在十二个月内免费提供不超过两次的请求的信息。  您必须开发标准程序以查看,分析和响应消费者访问请求。

·       建立数据收集跟踪程序。  您必须将流程放在适当位置,以跟踪您的业务收集的信息,以便及时响应信息和退出请求的请求。 如上所述,访问请求的回顾期为12个月。 由于CACPA将于2020年1月1日起生效,因此我们已经在12个月内完成。  许多投资于开发IT基础设施以跟踪数据收集和消费者请求的公司才能遵守GDPR,还需要制定追踪CACPA的机制。  如果您不需要担心GDPR,您可能需要担心CACPA并将这些流程置于现在。

·       训练你的团队。  您的团队是合规努力的重要组成部分新法律要求您的团队熟悉新的要求,以便迅速妥善处理个人信息和相关的消费者查询。

我们经验丰富的数据和隐私法律顾问可用于协助您的合规努力,并提供符合CACPA以及其他适用的数据隐私和保安法的咨询和建议。 如果我们可以提供帮助,请联系我们。

免责声明

请注意,上述情况并非旨在是CACPA的详尽概要,或者符合符合的步骤,并不符合法律建议。 有关您加州消费者隐私法案的定制建议和指导,请直接与我们联系。 

本文是由我们的数据和隐私法律顾问编写的, 洛瑞罗斯。你可以通过 电子邮件.

评论

Francesco Barbera.

Francesco Barbera.是一家代表新兴成长公司的公司律师,包括软件,技术,数字,时尚,医疗保健,零售和电子商务。


他通过提高资本,增长和收购来劝告企业家,投资者和建立的全方位的业务活动。 他在使命驱动的组织和社会企业的代表中具有特殊专业知识。 


在他的职业生涯中,他代表了全国广播公司,格莱美博物馆,ARES Capital Management,Credit Suisse First Boston,以及私人持有互联网,媒体和技术,移动应用,消费品,专业运动,电影和电视的业务在他的职业生涯中,生产等生产。  


Francesco在洛杉矶的两个大型国际律师事务所开始,他代表了广泛的交易,从兼并与公共和私人证券提供的广泛交易中代表了大型和小企业,以形成伙伴关系和合资企业。


弗朗切斯科也是联合主席 洛杉矶秘书章节Capitalism,Inc。终身学生的心理学和个人发展,Francesco拥有圣莫尼卡大学的精神心理学硕士学位,并受到个人发展领域的众多领导人的培训和思考, 包括Steve Chandler,Byron Katie和George和Linda Pransky。 

弗朗切斯科也成立并代表了非营利计划。


他曾担任过外面的律师 洛杉矶领导学院一所致力于培训下一代社会和政治领导人的宪章学校,他是精神化发展者的创始人和前任执行主任,是一个非营利的筹款赛,以使圣莫尼卡大学受益。  

弗朗切斯科的写作出现在 美国律师加利福尼亚律师石板, 和别的。他担任最高法院专栏作家和执行编辑 哈佛法律记录 是创始人和主编 宾夕法尼亚州历史评论,该国的第一个常春藤联盟杂志致力于本科历史研究的出版。


Francesco是哈佛法学院毕业的荣誉, 暨裁决, 和宾夕法尼亚大学, Summa Cum Shude. and Phi Beta Kappa.