概述
美国加州隐私保护局 (CPPA) 发布了《加州隐私权法案》(CPRA) 草案。对企业来说,最重要的一点是他们现在有了一份隐私合规的路线图。CPRA草案中的值得注意的新增内容包括对黑暗模式、选择退出偏好信号、信息更正请求和合同中第三方的新要求。
合规成为了企业的首要任务。根据 CPRA 的规定,每次故意违规的处罚金额可高达 7500 美元。好消息是,企业可以通过将《草案》纳入其隐私实践中,在合规方面抢占先机。
主要亮点
1. 黑暗模式
《草案》规定了企业向消费者提供行使其权利和获得法定同意的具体指导方针。根据草案规定,任何不符合这些要求的做法可能构成“黑暗模式”,并进一步将“黑暗模式”定义为“具有实质上颠覆或损害用户自主权、决策权或选择权效果的用户界面,无论企业意图如何”,并指出通过使用“黑暗模式”获得的任何协议都不构成消费者同意。值得注意的是,《科罗拉多州隐私法》也对黑暗模式进行了规范管制。在这方面遵守CPRA可能也有助于为企业在科罗拉多州的合规提供一个良好的开端。
2. 选择退出偏好信号
CPRA要求企业将选择退出偏好信号视为有效的选择退出销售或分享其个人信息的请求。根据草案规定,如果(1)信号采用企业通常使用和认可的格式(例如HTTP标头字段),并且(2)发送选择退出信号的平台、技术或机制明确向消费者表明使用该信号意味着具有选择退出效果(无论信号是否专门针对加州居民),则企业应将任何选择退出偏好信号处理为选择退出销售、共享信息的有效请求。
3. 新的通知要求
草案修改了CCPA下的各种通知要求,以使其与CPRA保持一致,包括企业隐私政策中需要披露的内容。受法律约束的企业必须在 2023 年 1 月 1 日前相应更新其隐私政策和其他通知。
4. 信息更正请求
除了个人有权访问和删除其个人信息之外,CPRA还扩展了CCPA的个人权利要求,并要求企业向消费者提供纠正其信息的能力。
5. 信息限制请求
CPRA为消费者提供了限制使用其个人敏感信息的能力,这是其与其他州法律不同的特点之一。弗吉尼亚州、科罗拉多州和康涅狄格州的法律要求在处理敏感数据时首先征得消费者的同意。
6. 合同要求
CPRA 要求企业向其披露个人信息的所有实体(而不仅仅是服务提供商)之间的某些合同条款,包括被称为承包商(类似于服务提供商)的新一类实体和第三方。这也是 CPRA 与其他州即将生效的法律之间的一个显著区别,其他州的法律只要求披露承包商和处理商之间的某些合同要素。
7. 定向广告
草案规定,与企业签订合同以提供跨语境的行为广告的主体是第三方,而不是CPRA下的服务提供商或承包商。这是一个重要的澄清,因为它要求企业向消费者提供退出的权利,即不出售、共享其个人信息。在CCPA下将这些第三方视为“服务提供商”的企业今后必须修改这种做法。
8. 执行
《草案》新增了有关CPPA执法行动的章节。具体而言,该部分包括个人如何向该机构提出宣誓投诉,以及该机构如何进行合理原因听证和审计,并达成命令的信息。
最后,感谢您的阅读和关注。我们将持续关注CPRA草案的最新动态,并及时与您分享相关的信息和见解。
本文节选自California Privacy Protection Agency Releases Draft CPRA Regulations by Kirk J. Nahra, Ali A. Jessani, Shannon Togawa Mercer, Hilary Higgins, Amy Gopinathan, and Tamar Y. Pinto, WilmerHale
关于我们
律意是一家创新型综合性跨境法律服务平台。基于创始团队在法律大数据及法律服务行业近20年的经验,拥有覆盖全球151个国家和地区的资深律师网络及各行业法律专家资源,已经为数十家跨境制造与消费类企业节约了50%的时间与经济成本。致力于为企业出海提供专业、完善、便捷的一站式法律服务。
联系电话:+86 21 31200806
邮箱:inquiry@lawpurpose.com
地址:上海市静安区愚园路108号7层728
作者:祝于婷
审核:金凤
编辑/排版:Elina
