涉外法律服务 | 简述美国加州个人隐私保护法案

《加州消费者隐私法》(CCPA)

01

适用对象

如果企业从加州居民那里收到个人数据并且该企业(或其母公司/子公司)满足以下阈值中的一个或多个，则企业必须遵守CCPA的规定：

• 年总收入超过 2500 万美元(根据每个奇数年 1 月消费者价格指数的任何增长进行调整);
• 每年购买、接收、出售或分享 50,000 或更多消费者、家庭或设备的个人信息;
• 其年收入的 50% 或更多来自出售消费者的个人信息。

02

适用范围：个人信息

个人信息的范围包括：

• 能识别的;
• 涉及到的;
• 描述;
• 能够与之相关联;或
• 可以合理地联系起来(直接或间接)
• 与特定的消费者或家庭。

个人信息的例子包括：

• 个人标识符
• 商业信息
• 生物特征信息
• 互联网或其他电子网络活动信息
• 地理位置数据
• 音频、电子、视觉、热、嗅觉或类似信息
• 专业或就业相关信息
• 教育信息(如联邦家庭教育权利和隐私法中所定义)

这里需要注意的是，公开信息包括从联邦、州或地方政府记录中合法提供的信息，不被视为个人信息。

03

个人权利

根据 CCPA，个人有权：

• 了解是否被收集个人信息以及被收集了哪些个人信息
• 要求企业删除其收集的任何个人信息
• 下载他们的数据(以使用不同的服务)
• 选择不出售他们的个人信息
• 选择加入信息销售(未成年人)
• 在不受歧视的情况下行使他们的权利

01

知情权

从加州居民处收集个人信息的企业必须在收集点提供通知(它可以是隐私政策的链接)，其中包含收集的个人信息类别列表和每个类别的商业目的。他们还需要包括对 CCPA 权利的描述，并解释如何提出请求或接收更多信息。

个人可以要求企业对下列信息进行披露：

• 它收集的有关他们的个人信息类别
• 收集个人信息的来源类别
• 收集或出售个人信息的商业或商业目的
• 企业与之共享个人信息的第三方类别
• 它收集的有关他们的特定个人信息

02

删除权

加州居民可以要求企业删除从他们那里收集的任何个人信息。删除权规定的要求企业删除的个人信息不包括以下情形：

• 如果业务/服务提供商有必要维护它以完成收集它的交易
• 关于安全事件
• 防止恶意、欺骗、欺诈或非法活动
• 行使言论自由

03

下载权

加州居民个人有权下载他们的数据，以便他们可以将其用于不同的服务。企业必须免费提供此服务，并以可移植、技术上可行且易于使用的格式提供数据。

04

选择退出信息销售的权利

企业必须在其网站主页上提供一个明确的链接(声明“请勿出售我的个人信息”)，该链接可以让个人(或授权代表)选择不出售其个人信息。

05

选择加入信息销售的权利

(未成年人)

当企业知道个人未满 16 岁时，只有在他们(13-16 岁)或其父母/监护人(13 岁以下)提供肯定授权的情况下，才能出售他们的个人信息。

06

不受歧视的权利

企业不得歧视行使隐私权的个人，包括：

• 拒绝商品或服务
• 对商品或服务收取不同的价格/费率(包括使用折扣/其他好处或施加罚款)
• 提供不同水平或质量的商品或服务
• 暗示此人将收到不同价格/价格的商品或服务或不同水平/质量的商品或服务

CCPA 不会阻止企业提供与个人数据价值合理相关的价格或服务差异。

04

其他内容

加州总检察长拥有主要执法权，可以对不遵守 CCPA 的行为人实行强制执行。企业可能会受到禁令的约束，并且每次违规将被处以不超过 2,500 美元的民事罚款，每次故意违规将被处以不超过 7,500 美元的民事罚款。

根据CCPA的规定，企业可在收到涉嫌违规行为的通知后 30 天内纠正任何涉嫌违规行为。

CCPA 包含一个内置的资助机制，称为消费者隐私基金。任何民事罚款或和解收益都存入该基金，专门用于抵消州法院和总检察长与 CCPA 相关的任何费用。

此外，在有限的私人诉讼权下，如果企业未能实施和维护合理的安全程序导致个人信息受到未经授权的访问，个人可以起诉要求赔偿损失：

• 访问和泄露;
• 盗窃;或
• 披露

每人每次事故或实际损失(以较高者为准)可获得 100 至 750 美元的赔偿。他们还可以获得禁令或宣告性救济(或法院认为适当的任何其他救济)。

《加州隐私权法案》(CPRA)

《加州隐私权法案》(CPRA)是一项在2020年大选中通过的全州性数据隐私法案，它强调了加利福尼亚作为美国数据隐私立法前沿的地位，大大扩展了于 2020 年 1 月 1 日生效的现有《加州消费者隐私法》 (CCPA)。

《加州隐私权法案》(CPRA)于 2020 年 11 月 3 日获得56%以上选民的通过，将于2023年1月1日全面生效，执行计划于 2023 年 7 月 1 日开始。回溯期为 2022 年 1 月 1 日，即从该日期起收集的数据应遵守该法案的规定。

在 2023 年 1 月之前，加州总检察长办公室将继续执行 CCPA。在此期间，人们仍然可以起诉在数据泄露中暴露其个人信息的企业，但在 2023 年 1 月 1 日之前无法起诉暴露用户名和密码。在过渡期间，CCPA授予的个人权利(以及附带的业务要求)将保持不变。

CPRA在内容上可相当于是 CCPA 的补充。加强加州居民的权利、收紧对个人信息使用的商业法规、并为全州范围的数据隐私建立一个新的政府机构加州隐私保护局 (CPPA) 的执法机构等规定是数据隐私制度的主要变化之一。