カリフォルニア州プライバシー権法(CPRA)とは何ですか?

公開: 2020-06-25

カリフォルニア州消費者プライバシー法(CCPA)が施行段階を開始する前でさえ、プライバシー擁護派は、より厳しい罰則でそれをより厳しくすることをすでに提案していました。 2020年のカリフォルニア州プライバシー権および執行法は、秋に州全体の投票イニシアチブを作成するために提出されました。

2021年9月28日更新-カリフォルニアプライバシー保護庁は、CPRA、特にこのCPRAの記事で取り上げられている8つのポイントについてコメントを求めています。

 >>>CPRAコンプライアンスと準備のためのツールキットに関する今後のIABウェビナー。 CPRA Toolkitには、アクションアイテムのチェックリスト、CPRA契約言語などが含まれています。

CPRAとは何ですか?

CPRA(California Privacy Rights Act)は、2020年1月1日に施行されたCCPA(California Consumer Privacy Act)の拡張版です。CPRAは、より多くの種類のプライバシー情報を保護し、消費者に追加の権利を提供し、監視エンティティを確立し、権利を詳細化することを目指しています。未成年者に固有です。

カリフォルニア州消費者プライバシー保護団体であるCCPAの議題を推し進めた同じグループが、2020年11月の投票用紙のCPRAを認定するために900,000を超える署名を提出しました。

CCPAとは何ですか?

CCPAは、カリフォルニア州の消費者に、企業による個人データの収集、使用、保管、および販売に関する特定の権利を付与します。 これは、米国でこれまでで最も厳しいプライバシー規制のセットです。 カリフォルニアAGによるCCPAの施行は、2020年7月1日に開始されました。これにより、オンラインユーザーに次の6つの主要な権利が付与されます。

  • 収集されている個人情報を知る権利
  • 個人情報が共有または販売されているかどうか(およびその方法)を知る権利
  • 個人情報の販売をオプトアウトする権利
  • 彼らの情報にアクセスする権利
  • 個人情報を削除する権利(例外を除く)
  • 権利を行使したことで差別されない権利

法の下では、販売は厳密に金融取引に限定されていません。 CCPAは、貴重な対価と呼ばれるものに使用されるすべてのデータに対する権利を消費者に付与します。 カリフォルニアAGは、ターゲティングや広告配信のためのデータ交換などの項目を含むことを決定しました。

CCPAの下では、個人情報は、ユーザーの名前、住所、電話番号、指紋などの生体認証データなどの項目をはるかに超えています。 また、Cookieと閲覧履歴、IPアドレス、モバイル広告ID(MAIDS)、ジオロケーションデータ、デバイスID、またはその他の広告、Webサイト、アプリとのやり取りも含まれます。

CCPAの詳細については、CCPAリソース、チェックリスト、およびガイダンスのメガリストにアクセスしてください。

CPRAはCCPAとどのように異なりますか?

CPRAには、CCPAに関する6つの主要な拡張が含まれており、消費者の権利とビジネス上の制限の両方でさらに進んでいます。

  • CPRAは、機密性の高い個人情報(SPI)の新しいカテゴリを確立します
  • 追跡に制限を追加します
  • 確立者は消費者のためのより広い法的償還権
  • 未成年者に特定の保護を追加します
  • 消費者に個人データの「修正権」を提供します
  • カリフォルニアプライバシー保護庁を設立

CPRAに基づく追加の消費者の権利

機密性の高い個人情報(SPI)の新しいカテゴリ

  • 社会保障番号
  • 運転免許証
  • パスポート
  • 宗教
  • 人種
  • 組合員
  • 個人的なコミュニケーション
  • 遺伝データおよびその他の健康情報
  • 性生活や性的指向に関する情報

追跡の制限

CPRAはまた、ジオロケーションに関する言語を強化します。 これにより、消費者は、広告を含むほとんどの目的で、半径約250エーカーの範囲内で企業が消費者の地理的位置を追跡できないようにすることができます。

より広範な法的権利

また、消費者に幅広い法的権利を与えます。 州による執行ペナルティに加えて、それは消費者に、実際の経済的損失を証明する必要なしに、過失によるデータ侵害について企業を訴える権利を与えます。 CPRAの下では、企業がSPIや電子メールのパスワードなどの項目を積極的に保護することを怠った場合、訴訟を起こすことができる場合があります。

未成年者のための追加の保護

CCPAは、明示的な同意なしに17歳未満の個人データを販売することを禁じています。 13歳未満の子供には、保護者の同意が必要です。 カリフォルニア州プライバシー権法の下では、サイトはユーザーの年齢を尋ねる必要があり、(オプトアウトではなく)オプトインすることに同意する必要があり、違反に対する罰金は3倍になります。

反論権

CCPAにより、消費者は個人データの削除を要求し、企業が個人データを販売することを許可しないようにオプトアウトすることができますが、修正は許可されません。 CPRAは、データが不正確な場合、消費者が保存されたデータの修正を要求できるようにします。

カリフォルニアプライバシー保護庁

CPRAの主要なテナントは、プライバシーを監視し、消費者の擁護者として行動するためのカリフォルニアプライバシー保護庁の設立です。 投票イニシアチブは、州の一般基金に1,000万ドルを要求します。 このイニシアチブは、「この資金提供は、FTC(連邦取引委員会)が国全体を取り締まらなければならないのとほぼ同じ数のプライバシー執行スタッフに相当する」と提案しています。

CPRAは誰に適用されますか?

影響を受けるために、組織がカリフォルニアにある必要はありません。 CCPAとCPRAはどちらも、カリフォルニア州の住民と取引を行う企業に適用されます。

CPRAの重要な日付は何ですか?

イニシアチブが署名検証プロセスに合格すると仮定すると、CPRAは2020年11月3日に州全体の投票にかけられます。これは、カリフォルニア州の有権者の単純な過半数によって法制化される可能性があります。

可決された場合、カリフォルニアプライバシー保護庁の設立と資金提供を含むいくつかの規定が直ちに発効します。 これらには、次のセクションが含まれます。

  • 1798.145(m)および(n)
  • 1798.160
  • 1798.185
  • 1798.199.10-.40
  • 1798.199.95

ここで詳細を読むことができます。

法律の大部分は、2023年1月1日まで発効しませんでした。

その他の重要な日付

  • 2021年7月1日:ルール作成プロセスの開始日
  • 2022年1月1日:12か月の「振り返り」プロセスが始まります。 CPRAは、2023年1月1日まで完全には有効になりませんが、アクセスおよび修正の権利などの一部の例外を除いて、2022年1月以降に収集された個人情報に適用されます。
  • 2022年7月1日:規制が採択される最終日
  • 2023年1月1日:いくつかの免除の発効日と満了

この複雑なタイムラインの背後にある考え方は、議員と管理者にガイドラインを完成させる時間を与えることです。 また、組織が準拠する時間を与えます。

元のCCPAが可決された後も、それは何度か修正され、「個人情報」と見なされるものなど、特定の部分が変更されました。 カリフォルニア州消費者プライバシー法(CCPA)は、2018年6月28日に法に署名されました。企業は、2020年1月まで遵守するように与えられ、施行される前に6か月の「猶予期間」が与えられました。 2020年7月1日より、施行が開始される可能性があります。

同様のプロセスがCPRAによって採用されます。

出版社はCRPAについて何を知る必要がありますか?

CCPAと同様に、CPRAは準拠するための重要な措置を講じます。 個人情報は、法律で許可されている特定の限定された目的でのみ保存および使用できます。 出版社が情報を販売するか、デジタル広告をターゲティングまたは配信するためにそれを使用することを選択した場合、個人情報と見なされるものを拡大し、広告の配信について明示的な通知を必要とします。

CPRAが法制化された場合、CCPAに準拠するためのチェックリストを修正して、強化された規制を含める必要があります。 合格した場合でも、現在利用できない将来のルール作成に含まれるガイドラインと詳細があります。

同意管理プラットフォーム(CMP)として、Admiralは、米国および世界中のオンライン発行者に影響を与えるプライバシー同意規制を監視しています。 CMPに関する質問については、FAQ:同意管理にアクセスしてください。

より多くのデータ保護法が来ています

データ侵害、消費者データの誤用、プライバシーのニュースが引き続き一般の関心事になっているため、消費者のデータプライバシーの知名度が高まっています。 シスコの調査に参加した84%の人が、データとその使用をさらに制御したいと報告しています。

出版社にとって、これはほんの始まりに過ぎません。 最近、イリノイ州、メイン州、マサチューセッツ州、ネバダ州、ニュージャージー州、ペンシルベニア州など、12の州でデータ保護とプライバシーに関する法律が導入されました。 また、国内のデータ保護規則の作成とデータ保護機関の設立も推進されています。

CPRA、CCPA、GDPRへの準拠

すべてのプライバシー規制とGDPR、CCPAのニュアンス、およびCPRAの通過の可能性について最新情報を入手することは、出版社にとって悪夢となる可能性があります。 そのため、非常に多くの出版社が、訪問者のプライバシーと同意を管理するために提督からの外部の支援に頼ってきました。 業界初のIAB準拠のコンテンツ管理プラットフォーム(CMP)の1つであるアドミラルは、カリフォルニアIPからのサイト訪問者を自動的に識別し、訪問者にデータ販売をオプトアウトするためのユーザーインターフェイスを提供し、オプトアウト情報を送信するためのIABフレームワークと互換性があります。ダウンストリームベンダー。

Admiralは1つの簡単なタグでインストールでき、パブリッシャーは5分間のサインアップで訪問者のプライバシーと同意設定の管理を開始できます。

今日のデモについては提督に連絡してください。