在11月3日达成了比预期窄的56%的授权要求之后,加州隐私权法案(CPRA)现在已通过。这项新法案彻底修改了先前存在的《加州消费者隐私法案》(CCPA),是消费者隐私具有里程碑意义的时刻。

从本质上讲,CPRA弥补了CCPA中的一些潜在漏洞-但变化对企业而言并没有那么严格(正如我稍后将要说明的那样)。它还使加利福尼亚州的数据保护法律更接近欧盟的GDPR标准。当CPRA在2023年成为法律可执行的法律时,加利福尼亚州居民将有权知道企业在何处,何时何地使用其个人身份数据。加利福尼亚州有许多世界领先的科技公司,这项法案将在全国乃至全球范围内产生影响。

隐私的增加无疑对消费者来说是个好消息。但是该法案的通过可能会在依赖客户数据的企业之间引起关注。有了更严格的执法,更严厉的处罚以及更多繁重的义务,许多公司可能会怀疑这项新法律是否会使运营变得更加困难。

尽管CPRA的许多更详细的细节可能会在其变得可执行之前发生变化,但这是您的企业现在需要知道的。

您会受到CPRA的约束吗?

先前的CCPA法律仅适用于满足以下条件的企业:

1)总收入超过2500万美元

2)年销售收入的50%或更多来自销售消费者的个人信息,或

3)为商业目的购买,出售或共享50,000个或更多消费者,家庭或设备的个人信息。

CPRA保留了大部分这些要求,但做了一些更改。首先,收入要求(上述第1点)现在更加明确:一家公司必须在上一个日历年度的总收入达到2500万美元,才能受到法律的约束。

第二,关于个人信息(第2点),共享现在被视为与销售相同。CCPA适用于通过销售数据获得一半以上收入的企业,而CPRA现在也适用于通过与第三方共享个人信息获得收入的一半的公司。

最后,第3点现在变得更加宽松,基于个人信息的业务的门槛从50,000个消费者,家庭或设备提高到100,000个。

对于想知道是否可以避免使用同一个品牌的姊妹公司的企业,CPRA澄清了“通用品牌”一词的含义。CPRA现在定义了“共享名称,服务标记或商标,以使普通消费者理解两个或多个实体是共同拥有的。”

它还指定了姊妹企业如果“具有CPRA主题企业共享的个人信息”,则将属于CPRA。实际上,这意味着可能共享商标但具有不同法律身份的两个相关业务(其中一个受CPRA约束)仅在它们共享数据时才受CPRA约束。对于消费者信息,同样的共同责任也适用于拥有40%以上共同利益的合伙企业,而与品牌无关。

因此,通过CPRA,一些企业现在更有可能受到数据保护法规的约束,而其他企业可能不再属于加利福尼亚州的法规。

对于拥有多个法人实体的组织,仍然理想的是采用一种一应俱全的方法来保护消费者数据隐私。通过允许非主题企业自我证明其合规性,CPRA还使公司有机会与客户就数据使用情况保持透明,即使他们不一定必须这样做。

消费者有权知道您为什么要收集他们的“敏感个人信息”

CPRA将赋予消费者其他权利,以决定企业如何使用其数据。根据CPRA,消费者不仅有权纠正其个人信息并知道公司可以存储多长时间,而且还可以选择退出基于地理位置的广告,并允许使用其敏感的个人信息。

“敏感个人信息”的概念本身就是CPRA创建的新的法律定义。种族/民族血统,健康信息,宗教信仰,性取向,社会安全号码,生物特征/遗传信息和个人消息内容均属于此定义。

在处理已收集的数据时,企业还需要小心。假设公司计划出于“与收集个人信息的公开目的不兼容”的目的重用客户的数据。在这种情况下,需要将此更改通知客户。

类似于CCPA,员工数据现在属于CPRA。尽管这要到2023年才在法律上强制执行,但CPRA的一项规定是,企业在数据收集方面需要与员工保持透明。

与客户互动时,企业很快将需要为消费者提供更全面的退出功能,但是围绕这些程序的统一标准可能要花一些时间才能成为家常便饭。毫无疑问,在CPRA框架内将有多种沟通消费者需求的方法。除选择退出表格外,企业还可以增加对全球隐私控制标准的使用,该标准是一种浏览器插件,可简化选择退出流程。但是,随着地理位置定位的法律问题越来越严重,公司可能需要重新考虑对某些形式的定向广告的依赖。

数据泄露将受到罚款

CPRA规定“对于数据安全漏洞,企业也应直接对消费者负责”。除了要求企业“在敏感信息遭到泄露时通知消费者”,CPRA还规定了罚款。允许客户数据泄露的公司每次违规将面临最高2500美元或7500美元(对于未成年人的数据)的罚款。新成立的加州隐私保护局将被授权执行这些罚款。

尽管在短期内,相对有限的预算可能意味着该机构将仅执行少数大规模的法律诉讼,但每个企业都将面临与数据泄露相关的财务风险增加。随着CPRA在数据保护方面为企业增加了风险,威胁参与者可能会进一步受到鼓舞。在欧盟,GDPR勒索软件的发生率增加有关联,因为黑客利用罚款威胁作为从受害者身上提取更大勒索的杠杆。

在这方面,合规性将意味着通过增加多因素身份验证的使用和零信任协议来采用更强的组织安全状态。这也可能会增加网络安全业务保险的成本。

你要到2023年,但不要拖延

尽管CPRA直到2023年1月1日才成为法律,但其法规将适用于2022年1月1日起收集的所有信息。因此,截至目前,您有超过两年的准备时间。但是,从今年初的民意测验中可以看出,绝大多数企业甚至都没有遵守目前可执行的CCPA法规。

遵守CPRA的时间表相对宽松。随着监管机构和企业都赶上新的义务,短期内公司不太可能面临大量的法律诉讼。

尽管如此,从长远来看,CPRA可能会推动全美范围内的进一步立法。该法律可能是推动联邦级数据保护法规的开始,无论客户身在何处,该法规对企业都有类似的规则,要求和处罚。公司应该开始为将来客户数据受到法律保护的未来做准备。

Rob Shavell是Onine隐私公司Abine / DeleteMe的联合创始人兼首席执行官,并且一直是隐私立法改革的坚定支持者,包括作为《加利福尼亚隐私权法案》(CPRA)的公开倡导者。