加州居民客户隐私声明附录
本《加州居民客户隐私声明附录》("加州客户隐私声明附录")描述了我们对个人信息的收集和使用,并补充了Foley & Lardner律师事务所("Foley")《客户隐私声明》中包含的信息,仅适用于居住在加利福尼亚州的客户和相关实体(定义见我们的《隐私声明》)("消费者"),我们为其收集与某一事项相关的个人信息。我们采用本通知是为了遵守经《2020 年加利福尼亚州隐私权法案》("CPRA")修订的《2018 年加利福尼亚州消费者隐私权法案》("CaliforniaConsumer Privacy Act of 2018")及实施细则,CPRA 中定义的任何术语在本通知中使用时具有相同的含义。
范围
本加州隐私附录适用于我们从客户和相关实体处收集的信息,这些信息可直接或间接地识别、涉及、描述、引用、能够与客户、相关实体或其各自的设备相关联,或可合理地与客户、相关实体或其各自的设备相关联("个人信息")。但是,我们从政府记录中收集的公开信息以及去识别或汇总信息(如 CPRA 中所述的去识别或汇总)不视为个人信息,本加州隐私附录不适用于此类信息。本加州隐私附录也不适用于 CPRA 范围之外的某些个人信息,例如(a) 1996 年《健康保险可携性和责任法案》(HIPAA) 和《加利福尼亚州医疗信息保密法案》(CMIA) 所涵盖的健康或医疗信息或临床试验数据;以及 (b) 某些特定行业隐私法所涵盖的个人信息,包括《公平信用报告法》(FCRA)、《格拉姆-里奇-比利雷法案》(GLBA) 或《加利福尼亚州金融信息隐私法案》(FIPA) 以及 1994 年《驾驶员隐私保护法案》(Driver's Privacy Protection Act of 1994)。虽然本加利福尼亚州隐私附录可能不适用于这些类型的数据,但福来仍根据我们作为法律顾问的道德义务将其视为机密数据。
我们收集的信息
在我们代理某项事务的过程中,我们可能会收集可直接或间接识别、涉及、描述、引用、能够关联或可合理关联与该事务相关的特定消费者或设备的信息("个人信息")。作为一家大型律师事务所,我们在过去十二 (12) 个月内可能收集到的有关客户和相关实体的个人信息类别因事项不同而有很大差异,其中可能包括
| 类别 | 潜在的个人信息 |
|---|---|
| A.标识符。 | 真实姓名、别名、邮政地址、唯一个人标识符、在线标识符、互联网协议地址、电子邮件地址、账户名、社会保险号、驾照号、护照号或其他类似标识符。 |
| B.加州客户记录法规》(Cal. Civ. Code § 1798.80(e))中列出的个人信息类别。Code § 1798.80(e))。 | 姓名、签名、社会保险号、身体特征或描述、地址、电话号码、护照号码、驾照或州身份证号码、保险单号码、教育程度、工作、工作经历、银行账号、信用卡号、借记卡号或任何其他财务信息、医疗信息或健康保险信息。 此类别中包含的某些个人信息可能与其他类别重叠 。 |
| C.受加州或联邦法律保护的分类特征。 | 年龄(40 岁或以上)、种族、肤色、血统、国籍、公民身份、宗教或信仰、婚姻状况、医疗 状况、身体或精神残疾、性别(包括性别、性别认同、性别表达、怀孕或分娩及相关医疗 状况)、性取向、退伍军人或军人身份、遗传信息(包括家族遗传信息)。 |
| D.商业信息。 | 个人财产、产品或服务的购买、获取或考虑记录,或其他购买或消费历史或倾向。 |
| E.生物识别信息。 | 用于提取模板或其他标识符或识别信息的遗传、生理、行为和生物特征或活动模式,如指纹、脸部指纹和声纹、虹膜或视网膜扫描、击键、步态或其他身体模式,以及睡眠、健康或运动数据。 |
| F.互联网或其他类似网络活动。 | 浏览记录、搜索记录、消费者与网站、应用程序或广告的互动信息。 |
| G. 地理定位数据。 | 物理位置或移动。 |
| H.感官数据。 | 音频、电子、视觉、热、嗅觉或类似信息。 |
| I.专业或就业相关信息。 | 当前或过去的工作经历或绩效评估。 |
| J.非公开教育信息(根据《家庭教育权利和隐私法案》(20 U.S.C. Section 1232g, 34 C.F.R. Part 99))。 | 由教育机构或代表教育机构的一方保存的与学生直接相关的教育记录,如成绩、成绩单、班级名单、学生课程表、学生身份代码、学生财务信息或学生违纪记录。 |
| K.从其他个人信息中得出的推论。 | 反映一个人的偏好、特征、心理趋势、倾向、行为、态度、智力、能力和性向的概况。 |
| L.敏感个人信息("敏感个人信息) | - 政府身份识别信息(社会保险;驾驶执照;州身份证;或护照号码) - 完整的账户访问凭证(用户名、金融账户号码或信用卡/借记卡号码与所需的访问/安全代码或密码相结合) - 精确的地理位置(在小于 1850 英尺的范围内) - 种族或民族血统 - 宗教或哲学信仰 - 工会成员 - 遗传数据 - 邮件;邮件、电子邮件或短信内容并非针对我们 - 唯一可识别的生物识别信息 - 健康、性生活或性取向信息 |
正如 "个人信息的出售和共享"一文中进一步说明的,我们不会以金钱或其他有价值的代价 "出售 "任何类别的个人信息,也不会为跨语境行为广告而 "共享 "任何类别的个人信息。
个人信息的使用
我们可能会出于以下一个或多个业务或商业目的使用或披露我们收集的个人信息,并且在过去十二(12)个月内,我们已经使用或披露了我们收集的个人信息:
- 为了满足我们收集信息的目的,例如为客户提供法律服务。
- 短期、短暂使用,前提是我们不会将个人信息披露给其他第三方,也不会将其用于建立客户、相关实体或其他第三方的档案。
- 为富利或我们的客户或代表富利或我们的客户提供商业服务,包括维护或服务客户账户、提供 IT 服务、发货和收货、核实客户信息、处理付款、提供融资、提供广告或营销服务、提供分析服务,或为富利或代表富利提供类似服务。
- 购买、维护、续保和以其他方式获得保险利益,包括与我们的保险公司沟通,以提交、处理和辩护索赔。
- 为富理达和我们的客户或代表富理达和我们的客户执行与我们在某一事项中的代理有关的法律服务,包括与法庭、政府机构、仲裁员、调解员、保险公司、会计师、对方律师、转录和其他法庭报告服务、取证服务、专家意见、法证服务、审计服务以及其他类似实体和服务进行沟通。
- 根据适用的专业文件规则履行我们的道德义务,包括与客户保密相关的规则。
- 为验证或维护我们的服务或 Foley 所拥有或控制的设备的质量,以及为改进、升级或增强企业所拥有或控制的服务或设备而开展的活动。
- 回应执法要求,以及适用法律、法院命令或政府法规的要求。
- 在收集客户或相关实体的个人信息时向客户或相关实体说明的情况,或 CCPA 另有规定的情况。
- 评估或进行合并、兼并、剥离、重组、改组、解散,或以其他方式出售或转让部分或全部富利资产,无论是作为持续经营企业,还是作为破产、清算或类似程序的一部分,其中富利持有的关于我们客户和相关实体的个人信息属于转让资产。
在未通知客户和相关方的情况下,富利不会收集额外类别的个人信息,也不会将我们收集的个人信息用于实质上不同、无关或不兼容的目的。
敏感个人信息的使用
除以下目的外,我们不会使用或披露客户和相关实体的个人信息:
- 提供一般客户要求的合理服务;
- 检测危及存储或传输的个人信息的可用性、真实性、完整性和保密性的安全事件,前提是我们对您的个人信息的使用是合理必要的,并且与上述目的相称;
- 抵制针对富利的恶意、欺骗、欺诈或非法行为,并起诉这些行为的责任人,前提是我们对您个人信息的使用是合理必要且与此目的相称的;
- 确保自然人的安全,前提是我们对客户和相关实体个人信息的使用是合理必要的,且与此目的相称;
- 用于短期、短暂使用,前提是不向其他第三方披露个人信息,且不用于建立客户或相关实体的个人档案,或以其他方式改变客户与我们当前互动之外的体验;
- 供服务提供商或承包商代表我们提供服务,如维护或服务账户、提供客户服务、处理或履行订单和交易、核实客户信息、处理付款、提供融资、提供分析服务、提供存储或代表我们提供类似服务;以及
- 验证或维护我们拥有、生产、制造或控制的服务的质量或安全性,以及改进、升级或增强我们拥有、生产、制造或控制的服务或设备。
由于我们对您敏感个人信息的使用仅限于 CPRA 允许的上述目的,因此我们不向客户或相关实体提供限制我们使用其各自敏感个人信息的能力。
个人信息来源
福来公司从以下各类来源获取上述各类个人信息:
- 直接来自我们的客户和相关实体;
- 证人和其他类似作证的第三方;
- 在取证过程中从其他第三方来源获得的信息,包括通过传票或其他合法手段获得的信息;
- 以及在我们调查或参与某一事项的过程中可能提供信息的其他第三方,如专家、法证团队、审计师、法庭记录员、转录服务和其他类似的第三方。
个人信息的披露
富理达可能出于商业目的向第三方披露客户或相关实体的个人信息。当我们出于商业目的披露个人信息时,我们会签订合同,说明披露目的,并要求接收方对个人信息保密,除履行合同外不得将其用于任何目的,或者其他接收方可能有专业义务不得将其用于任何其他目的。
出于商业目的披露个人信息
在过去的十二(12)个月中,富理达可能出于商业目的向以下各类第三方披露了上述任何或所有类别的个人信息,具体视事项而定:服务提供商、法院和其他法庭、政府实体、对方律师和其他律师。
个人信息的销售和共享
我们不会出售或共享(根据 CPRA 的定义)客户或任何相关实体的个人信息,包括 16 岁以下客户或相关实体的任何个人信息,并且在过去十二(12)个月内没有出售或共享过他们的个人信息。
客户和相关实体的权利与选择
CPRA 为消费者(加州居民)提供了有关其个人信息的特定权利。本节介绍客户和相关实体的 CPRA 权利,并说明如何行使这些权利。客户和相关实体可自行或通过其授权代理人行使这些权利。但是,作为一家律师事务所,我们的客户和相关实体的权利可能会受到以下所述的限制。
本加州隐私附录对我们的义务和权利的限制
本《加利福尼亚州隐私附录》也可能不适用于会限制我们以下行为的情况:
- 遵守联邦、州或地方法律、法规以及其他有关职业行为的规定(包括与律师-委托人特权、律师保密义务或其他适用于我们律师的职业义务相关的任何法律或道德规定);
- 遵守联邦、州或地方当局的民事、刑事或监管询问、调查、传票或传唤。
- 就富利、我们的客户、服务提供商或其他第三方合理且善意地认为可能违反联邦、州或地方法律的行为或活动,与执法机构合作。
- 行使和维护法律索赔,包括针对我们或我们客户的索赔。
- 收集、使用、零售、出售或披露去标识化或汇总的信息。
- 收集或出售加州消费者的信息,如果我们商业行为的方方面面完全发生在加州之外。
获取特定信息和数据可携带权
客户和相关实体有权了解福来公司收集的有关他们的个人信息的某些信息。
- 知情权。 除上文 "本加州隐私附录对我们的义务和权利的限制"中所述外,客户和相关实体有权要求我们向适用的客户或相关实体披露有关我们在过去 12 个月内收集和使用客户或相关实体个人信息的某些信息("知情权"客户或相关实体要求)。这包括(a) 我们收集的有关客户或相关实体的个人信息类别;(b) 这些个人信息的来源类别;(c) 我们收集这些个人信息的目的;(d) 我们与之共享您的个人信息的第三方类别;(e) 如果我们 "出售 "或 "共享 "或披露了客户或相关实体的个人信息,我们 "出售 "或 "共享 "此类个人信息的第三方类别列表,以及我们向其披露您的个人信息的第三方类别的单独列表。客户或相关实体必须具体说明他们提出的是知情权请求还是数据可移植性请求。如果客户或相关实体希望同时提出知情权客户或相关实体请求和数据可携性客户或相关实体请求,则必须在您的请求中明确说明这两项请求。如果客户或实体的请求不明确,我们只能将其请求作为知情权请求处理。客户和相关实体可在 12 个月内免费提出两 (2) 次知情权或数据可移植性客户或相关实体请求。
- 访问特定信息(数据可移植性)。根据适用法律,客户有权要求将有关其事务的信息返还给他们或转让给另一家律师事务所,除上述加州隐私附录对我们的义务和权利的限制中所述的情况外,客户和相关实体还有权要求我们向其提供我们收集的有关他们的特定个人信息的副本,包括我们创建的或以其他方式从第三方处收到的有关他们的任何个人信息("数据可移植性"客户或相关实体请求)。如果客户或相关实体以电子方式提出 "数据可移植性 "客户或相关实体请求,我们将以可移植且在技术可行的情况下可随时重复使用的格式向其提供您的个人信息副本,使其能够将个人信息传输给其他第三方。客户和相关实体必须具体说明他们提出的是知情权请求还是数据可移植性请求。如果客户或相关实体希望同时提出知情权请求和数据可携性请求,则必须在请求中明确说明这两项请求。如果在请求中没有明确说明,我们将只将其请求作为知情权请求处理。在回应数据可移植性客户或相关实体的请求时,我们不会披露客户或相关实体的社会保险号、驾驶执照号码或其他政府颁发的身份证号码、金融账户号码、健康保险或医疗身份证号码,或您的账户密码或安全问题或答案。如果披露这些信息会对客户或相关实体的个人信息、他们在富利的账户或我们的系统或网络安全造成重大、明确和不合理的风险,我们也不会提供这些信息。我们也不会披露可能属于 CPRA 规定的其他例外情况的任何个人信息。如果我们无法披露客户或相关实体的某些个人信息,我们将大致描述我们无法披露的个人信息类型,并向他们说明我们无法披露的原因。客户和相关实体可在 12 个月内免费提出两(2)次知情权或数据可移植性客户或相关实体请求。
除上文 "我们在本加州隐私附录下的义务和权利限制"中所述的情况外,客户和相关实体有权要求我们更正有关他们的任何不正确的个人信息,以确保信息的完整性、准确性和时效性。如下文 "行使您的 CPRA 隐私权 "所述,客户和相关实体可要求富利更正我们所掌握的有关他们的个人信息。在某些情况下,富利可能会要求客户和相关实体提供合理的文件,以证明我们所掌握的关于他们的个人信息不正确,以及正确的个人信息可能是什么。如果我们认为满足您的要求将违反任何法律或法律要求(包括我们的道德义务),或导致信息不正确,或个人信息属于《个人信息保护法》规定的其他例外情况,则富理达可能无法满足您的要求。
删除权
客户和相关实体有权要求富利删除我们向其收集并保留的任何个人信息,但某些情况除外。一旦我们收到并确认客户或相关实体的请求(见 "行使访问权、数据可携性和删除权"),我们将从我们的记录中删除(并指示我们的服务提供商删除)该客户或相关实体的个人信息,除非该权利受到上文 "我们在本加州隐私附录下的义务和权利限制"中所述的限制,或适用于《加州隐私权保护法》规定的例外情况。客户和相关实体的删除权的一些例外情况包括但不限于,如果我们需要保留他们各自的个人信息,以完成交易或向您提供我们收集个人信息的商品和服务,或以其他方式履行我们与客户就该事项的约定,以检测安全事件或防止其他恶意活动,以及遵守法律义务。我们还可能保留客户或相关实体的个人信息,用于与我们收集信息的背景相符的其他内部合法用途。
不受歧视的权利
我们不会因客户或相关实体行使其 CPRA 权利而对其进行歧视。除非 CPRA 允许,否则我们不会因客户或相关实体行使 CPRA 权利而采取以下任何行动:(a) 拒绝向他们提供我们的服务;(b) 对我们的服务收取不同的价格或费率,包括给予折扣或其他优惠,或施加处罚;(c) 向他们提供不同水平或质量的商品或服务;或 (d) 建议他们可以获得不同的服务价格或费率,或不同水平或质量的服务。
我们不会为任何客户或相关实体的个人信息提供任何可能导致不同价格、费率或质量水平的经济奖励。我们在价格、费率或质量水平方面提供的任何差异与我们收到任何客户或任何相关实体的个人信息或他们行使 CPRA 规定的任何权利无关,但是,如果不收集客户和相关实体的个人信息,我们可能无法提供服务。
行使访问权、数据可携性和删除权
如需行使上述任何权利,请通过以下任一方式向我们提交请求("客户或相关实体请求"):
- 请致电 +1 (833) 701-1071。
- 发送电子邮件至[email protected]
- 亲自到我们的办事处递交表格。本表格可在以下地点领取。
如果客户或相关实体(或其各自的授权代理)在线提交删除其信息的请求,且无其他例外情况,我们将采用两步流程,以确认客户或相关实体希望删除其个人信息。该流程可能包括通过我们所掌握的有关客户或相关实体的任何联系信息与客户或相关实体取得联系,以核实该请求。
如果客户或相关实体未能按照上述方式提交申请,我们可以将其视为按照上述方法提交的申请,或者向客户或相关实体提供如何提交申请或弥补申请缺陷的信息。
只有客户或相关实体,或有权代表其行事的相关代理,才可就该客户或相关实体的个人信息提出可核实的消费者请求。如需指定授权代理,请参阅下文的授权代理。我们可能会要求提供更多信息,以便确认删除客户或相关实体个人信息的请求。
根据本加利福尼亚州隐私附录对我们的义务和权利的限制,以及适用法律规定的我们可能对客户或相关实体的个人信息承担的任何其他义务,所有客户和相关实体的请求都必须:
- 提供足够的信息,使我们能够合理核实客户或相关实体是我们收集个人信息的本人或授权代理人。这可能包括通过当前可用的联系信息联系客户或相关实体,并在适用的情况下获得客户的同意;
- 详细描述客户或相关实体的请求,以便我们能够正确理解、评估和回应。
我们只会使用客户或相关实体请求中提供的个人信息来验证请求者的身份或提出请求的授权。
如果我们无法核实客户或相关实体的身份或提出请求的授权,也无法确认个人信息与客户或相关实体有关,则无法回应客户或相关实体的请求或向其提供个人信息。
提出可核实的消费者请求并不需要您是我们的客户。 我们只会使用在可核实的消费者请求中提供的个人信息来核实请求者的身份或提出请求的授权。
授权代理
客户和相关实体可通过向其授权代理人提供行使其权利的书面授权或委托书,授权其各自的代理人代表其行使《消费者保护法》规定的权利。如果客户或相关实体授权代理人,我们可能会要求代理人提供证据,证明代理人已获授权代表客户或相关实体行使其权利。我们还可能要求客户或相关实体的授权代理提交代理本人的身份证明。如果客户或相关实体的代理人未能提交足够的身份证明或其有权行使客户或相关实体权利的足够证明,我们可能会拒绝其代表客户或相关实体行使权利的请求。
响应时间和格式
我们将在收到可核实的消费者请求后十(10)天内做出答复。我们一般会在收到请求后四十五 (45) 天内处理这些请求。如果我们需要更多时间(最多 45 天),我们将以书面形式告知客户或相关实体原因和延长期限。
对于知情权或数据可移植性客户或相关实体的请求,我们将向您提供我们在 2022 年 1 月 1 日或之后收集或维护的所有相关信息,除非他们要求更短的期限或适用例外情况。如果适用,我们还将在回复中解释无法满足请求的原因。对于数据可移植性客户或相关实体的请求,我们将选择一种格式来提供适用的客户或相关实体的个人信息,该格式应易于使用,并应允许他们将信息从一个实体无障碍地传输到另一个实体。
处理或回复客户或相关实体的可核实消费者请求时,我们不收取任何费用,除非该请求过分、重复或明显没有根据。我们保留在十二(12)个月内将超过两(2)项知情权或数据可移植性客户或相关实体请求(或两者的组合)视为重复和/或过度请求并要求收费的权利。如果我们确定该请求需要收费,我们将告知客户或相关实体我们做出该决定的原因,并在完成其请求之前向其提供成本估算。
个人信息的保存期限
富理达根据我们的内部文件保留政策保留客户和相关实体的个人数据,包括在我们代表客户处理事务期间。我们还可能在事务结束后保留个人数据至少十 (10) 年。之后,我们可能会保留客户和相关实体的个人资料和其他信息:
- 在符合任何法律要求的必要时间内;
- 根据我们的备份和灾难恢复政策和程序,在我们的备份和灾难恢复系统上进行备份;
- 在保护我们或我们客户的法律利益或以其他方式行使我们的法律权利和补救措施所必需的时间内;
- 遵守《职业行为规则》规定的义务;以及
- 对于经过汇总或以其他匿名方式使客户和相关实体无法再识别的数据,可无限期地删除。
加利福尼亚州客户隐私声明附录的变更
Foley & Lardner LLP 保留随时酌情修改本加利福尼亚州客户隐私附录的权利,并在我们的客户隐私声明中予以说明。当我们对本加州客户隐私附录进行修改时,我们将在本网页上发布更新通知,并更新通知的生效日期。客户在变更公布后继续使用我们的法律服务即表示接受此类变更。
问题和评论
如果客户和相关实体对本《加州客户隐私附录》、富利公司收集和使用上述及我们的《隐私声明》中所述客户和相关实体个人信息的方式、他们对此类使用的选择和权利,或他们希望行使加州法律规定的任何权利有任何疑问或意见,可通过我们的《隐私声明》中列出的联系方式与我们联系。