随着《加州隐私权法案》(CPRA)于2023年1月1日正式生效,针对雇佣关系及企业间信息的临时性部分豁免条款将告终止。这使加州成为全美首个且唯一对这类信息实施全面隐私保护的州。 当前的部分豁免条款源于2019年对《加州消费者隐私法案》(CCPA)的修订提案,后经CPRA立法公投再次延期至2023年1月1日。 尽管有多项法案提议将部分豁免再延长一年或无限期延长,但所有提案均未能在2022年8月31日(该立法年度法案通过的最后期限)前通过委员会审议并获得加州立法机构批准。
什么是就业相关信息和企业间信息?
现行例外条款涵盖了《加州消费者隐私法案》中与雇佣及企业间信息相关的多数规定,但并非全部。 就业信息例外适用于企业收集的、关于消费者作为求职者或该企业过去或现任雇员、所有者、董事、高管、医疗人员或承包商及其受益人和受抚养人的个人信息(就业相关信息),前提是企业仅在雇佣关系范围内使用该信息。 根据《加州消费者隐私法案》对就业相关信息的豁免条款,企业仅需向员工提供简化版隐私通知,且当企业未采取合理安全措施导致数据泄露时,《加州消费者隐私法案》赋予员工私人诉讼权。需提醒企业注意,《加州隐私权法案》对"个人信息"的定义范围广泛,就业相关信息现可能涵盖网络监控、视频监控、照片及文档元数据等内容。 生物识别数据(包括用于员工身份识别或验证的指纹、面部及语音识别)亦可能适用,部分企业需特别关注。企业还应知悉,生物识别数据本身可能受其他严格隐私法规约束(例如伊利诺伊州《 生物识别信息隐私法》 ——740 ILCS 14及加州SB 1189法案)。
企业对企业(B2B)例外条款适用于企业收集和使用的个人信息,该信息涉及以员工、所有者、董事、高管或承包商身份代表其他公司、合伙企业、个体经营者、非营利组织或政府实体行事的消费者,但仅限于企业在开展尽职调查、或向该等公司、合伙企业、个体经营者、非营利组织或政府机构提供或接收产品或服务的过程中使用此类个人信息的情形(B2B信息)。 根据《加州消费者隐私法案》(CCPA),企业仅需为消费者提供选择退出其B2B信息披露的机会(若涉及金钱或其他有价对价,即CCPA定义的"销售"),但无需提供隐私通知,且该法案未就数据泄露问题赋予个人私权诉讼权。
《加州隐私权法案》中哪些要求适用于就业相关信息和企业间信息?
随着就业相关信息和企业间信息的局部豁免条款到期,加州隐私权法案(CPRA)将全面适用于这些类别。具体包括:
- 要求向消费者提供符合《加州隐私权法案》(CPRA)所有隐私通知要求的隐私通知,并说明就业相关信息和企业间信息的收集与使用情况。
- 消费者权利包括知情权(访问权)、删除权和更正权。加州消费者隐私法案(CPRA)还取消了一年追溯期,这意味着企业可能需要提供其数据保留期限内所有与就业相关的信息和企业间信息。此举使CPRA更符合《通用数据保护条例》(GDPR)的要求。
- 拒绝出售(如《加州隐私权法案》所定义)就业相关信息和B2B信息,或拒绝为跨场景行为广告披露此类信息的权利。
- 限制敏感个人信息用于《加州隐私权法案》规定之外的其他目的的权利。
- 与服务提供商、承包商及其他第三方签订的合同义务。涉及雇佣相关信息和企业间信息时,此类义务涵盖的对象包括薪资服务商、福利供应商、客户关系管理系统等。
虽然在判定企业是否达到《加州消费者隐私法案》(CCPA)的适用门槛时,现任及前任雇员、求职者和商业关系方本应始终被纳入统计范围,但《加州隐私权法案》(CPRA)对就业相关信息和企业间信息的全面适用性,更凸显了在判定CPRA适用性时必须将这些群体纳入考量的重要性。
对企业及数据使用的影响
同时受《加州隐私权法案》(CPRA)和《通用数据保护条例》(GDPR)约束的企业,应熟悉隐私要求及数据主体权利在就业相关信息和企业间信息中的适用规则,因为GDPR并未将此类个人与其他数据主体区分对待。然而,部分豁免条款的失效增加了仅受CPRA约束而未受GDPR约束企业的合规负担。此类企业应:
- 更新与就业相关信息及企业间信息相关的隐私声明。企业应在适当情况下考虑将此类隐私声明与面向普通消费者的隐私声明分开处理。
- 修订与服务提供商的协议,这些服务提供商可能涉及处理就业相关信息和企业间信息,以符合《加州隐私权法案》(CPRA)对服务提供商和承包商的合同要求。对于就业相关信息,此类服务提供商可能包括福利供应商、薪资服务商、物业管理公司及其他可能接触就业相关信息的类似机构。对于企业间信息,企业应考虑修订与供应商的协议,这些供应商提供客户关系管理(CRM)服务、邮政及电子邮件服务等类似业务。
- 更新数据映射,以包含就业相关信息和B2B信息(若此前数据映射工作未涵盖这些内容)。
- 更新内部政策和程序,以处理消费者行使访问、删除和更正权利的请求。
对就业相关信息的影响
消费者访问、删除和更正个人信息的权利,在涉及就业相关信息时可能尤为棘手。就业相关信息可能包含企业需要保密的内容,例如绩效评估的原始反馈、调查活动信息、雇佣/解雇/纪律处分决定及其他类似信息。 企业在制定政策和程序以响应现任、离职及潜在雇员、所有者、董事、高管、医务人员、承包商(及其受益人和受抚养人)的消费者请求时,应考虑《加州隐私权法案》第1798.145条规定的豁免条款适用性。适用例外情形可能包括:
- 企业行使或抗辩法律主张的能力。这可能允许企业暂不披露正在进行的调查相关信息,但通常不允许企业隐瞒已结案的先前调查信息。
- 《加州隐私权法案》赋予消费者的权利不得损害其他自然人的权利与自由。这意味着企业可对第三方提供的绩效评估信息予以保密,若披露该信息将侵犯该第三方的隐私权或保密权。
- 受《健康保险流通与责任法案》(HIPAA)或《加州医疗信息保密法》约束的医疗信息通常不属于《加州隐私权法案》(CPRA)的适用范围。这可能允许企业无需披露其为提供员工医疗福利而收集的相关信息。
- 涉及消费者信用价值、信用状况、信用能力、品格、普遍声誉、个人特征或生活方式的信息,通常也不属于《加州隐私权法案》的适用范围。此类信息可能作为员工及求职者背景调查的一部分而被收集。
- 在有限的情况下,企业可基于以下理由拒绝消费者的请求:满足该请求既不可能实现,又将导致不成比例的努力。加州隐私权法案(CPRA)规定,当企业响应个人请求所耗费的时间和/或资源远超响应行为为消费者带来的益处时,即构成"不成比例的努力"——例如数据未以可检索或易获取的格式存储。 此类情形可能发生于存放于异地档案库的纸质记录,或记录员工进入企业场所的视频监控。但需提醒企业注意:CPRA法规明确规定,若企业未建立充分的流程和程序以响应消费者请求,则不得以"不成比例的努力"为由拒绝消费者请求。
- 企业亦可拒绝消费者提出"明显缺乏依据或过分"的请求。此例外情形通常涉及为完成交易、检测安全事件及遵守法律而处理的数据。然而,企业需承担满足此例外情形的举证责任,且任何相关依据均应由企业记录存档。
企业还应仔细审查其政策和程序,确保在回应信息访问请求时对特定个人信息进行遮蔽处理。企业可能收集并使用某些类别的个人信息作为雇佣相关信息的一部分,这些信息既不同于其从其他消费者处收集的内容,也因《加州隐私权法案》规定而不得作为消费者信息访问请求的响应内容提供。 此类信息包括消费者的社会保障号码、驾照号码或其他政府颁发的身份识别号码、金融账户号码、任何健康保险或其他医疗识别号码、账户密码、安全问题及答案,或通过人体特征测量或技术分析生成的独特生物识别数据。 CPRA法规禁止企业在响应消费者访问请求时披露此类个人信息的具体条目,但当企业收集此类信息时,仍须披露其通用描述。
对B2B信息的影响
B2B信息所受的影响可能比就业相关信息更小。大多数企业对其商业伙伴的敏感信息掌握较少,甚至可能根本没有。尽管如此,企业仍应在收到商业对商业场景中的消费者请求时,审慎评估上述例外条款是否适用于任何B2B信息。
如需了解有关遵守《加州隐私权法案》(CPRA)在就业相关信息和企业间信息方面的具体要求,或获取CPRA合规的通用信息,请联系本文作者或福里律师事务所网络安全与数据隐私团队的任何合伙人或高级顾问。
