《加州消费者隐私法案》与《通用数据保护条例》:加州企业指南
自2004年《加州在线隐私保护法》(CalOPPA)颁布以来,加州始终引领全美通过立法保护居民隐私。 2018年加州继续推进这一进程,颁布《加州消费者隐私法案》(CCPA),成为全美首个拥有全面消费者隐私法的州。该法案自2020年1月1日起生效,要求在加州开展业务的实体及其服务提供商履行新的数据保护义务,同时赋予加州消费者关于其个人信息的新权利(包括提起私人诉讼的权利)。
这些新增义务包括:企业须更新或制定隐私声明,向消费者提供是否允许出售其个人信息的自主选择权,同时保障消费者访问或删除个人信息的权利,并对依赖个人数据变现的商业模式实施新限制。福里律师事务所《加州消费者隐私法案与通用数据保护条例:加州企业指南》的第一部分旨在帮助企业理解CCPA的适用范围,明确消费者权利,并强调企业根据CCPA应履行的义务。
值得注意的是,尽管《加州消费者隐私法案》(CCPA)的覆盖范围极为广泛,但某些受联邦隐私法律约束的组织(如受《1996年健康保险携带与责任法案》(HIPAA)和《格雷姆-里奇-比利雷法案》(GLBA)管辖的机构)在其核心业务相关的个人信息活动中不受CCPA条款约束。不过,这些机构在处理员工个人信息时仍可能需遵守CCPA的部分要求。
《加州消费者隐私法案》的广泛适用范围与另一项重要的国际隐私法律相呼应。 《通用数据保护条例》(GDPR)于2018年5月25日生效,废除了1995年颁布的《数据保护指令》。对于受GDPR约束的企业——包括在欧盟境内设有机构的企业,以及向欧盟境内个人提供商品或服务的非欧盟企业——该条例不仅为数据主体赋予了新权利,还为企业增设了重大隐私义务。
《通用数据保护条例》规定的义务包括:要求企业任命数据保护官(DPO),在欧盟境内未设立机构的企业需指定欧盟境内代表;同时必须开展隐私影响评估并贯彻隐私设计原则。 数据主体有权获取其个人数据的收集和使用信息,有权要求获取个人数据副本,有权要求更正或删除个人数据,并有权反对和限制对其个人数据的处理。本指南的第二部分旨在帮助受GDPR约束的企业理解其义务以及消费者在GDPR下的权利。
在加利福尼亚州开展业务的实体可能同时受《通用数据保护条例》(GDPR)和《加州消费者隐私法案》(CCPA)约束。尽管这两项法规存在诸多相似之处,但仅符合GDPR要求并不足以满足CCPA合规标准。每项法律均设有独特要求。不过,已制定政策和程序以符合GDPR的企业,在实现CCPA合规方面具有显著优势。 本指南第三部分旨在协助企业理解《通用数据保护条例》与《加州消费者隐私法案》的差异,并阐明已符合《通用数据保护条例》的企业为满足《加州消费者隐私法案》要求可能需要采取的措施。
如需进一步了解贵公司在《加州消费者隐私法案》下的义务,以及福里律师事务所如何协助您开展合规工作,请联系以下列出的任何一位律师作者。
