California Privacy Rights Act (CPRA) คืออะไร?

เผยแพร่แล้ว: 2020-06-25

ก่อนที่ California Consumer Privacy Act (CCPA) จะเริ่มต้นขั้นตอนการบังคับใช้ ผู้สนับสนุนด้านความเป็นส่วนตัวได้เสนอให้ทำให้เข้มงวดยิ่งขึ้นด้วยบทลงโทษที่เข้มงวดยิ่งขึ้น มีการยื่นฟ้องพระราชบัญญัติสิทธิความเป็นส่วนตัวและการบังคับใช้ความเป็นส่วนตัวของรัฐแคลิฟอร์เนียปี 2020 เพื่อสร้างความคิดริเริ่มในการลงคะแนนเสียงทั่วทั้งรัฐในช่วงฤดูใบไม้ร่วง

อัปเดต 28 ก.ย. 2021 - หน่วยงานคุ้มครองความเป็นส่วนตัวของแคลิฟอร์เนียกำลังมองหาความคิดเห็นเกี่ยวกับ CPRA โดยเฉพาะอย่างยิ่ง 8 ประเด็นที่กล่าวถึงในบทความ CPRA นี้

 >>> การสัมมนาผ่านเว็บ IAB ที่กำลังจะมีขึ้นเกี่ยวกับชุดเครื่องมือสำหรับการปฏิบัติตามและความพร้อมของ CPRA ชุดเครื่องมือ CPRA ประกอบด้วยรายการตรวจสอบของรายการดำเนินการ ภาษาตามสัญญา CPRA และอื่นๆ

CPRA คืออะไร?

CPRA (California Privacy Rights Act) เป็นการขยายขอบเขตของ CCPA (California Consumer Privacy Act) ที่บังคับใช้ในวันที่ 1 มกราคม 2020 CPRA พยายามปกป้องข้อมูลความเป็นส่วนตัวประเภทต่างๆ มากขึ้น ให้สิทธิ์เพิ่มเติมแก่ผู้บริโภค จัดตั้งหน่วยงานกำกับดูแล และสิทธิ์ในรายละเอียด เฉพาะสำหรับผู้เยาว์

กลุ่มเดียวกับที่ผลักดันวาระ CCPA ซึ่งเป็นชาวแคลิฟอร์เนียเพื่อความเป็นส่วนตัวของผู้บริโภค ได้ส่งลายเซ็นมากกว่า 900,000 รายการเพื่อให้มีคุณสมบัติตาม CPRA สำหรับการลงคะแนนเสียงในเดือนพฤศจิกายน 2020

CCPA คืออะไร?

CCPA ให้สิทธิ์แก่ผู้บริโภคในแคลิฟอร์เนียเกี่ยวกับการเก็บรวบรวม การใช้ การจัดเก็บ และการขายข้อมูลส่วนบุคคลโดยธุรกิจ เป็นข้อบังคับด้านความเป็นส่วนตัวที่เข้มงวดที่สุดในสหรัฐอเมริกา การบังคับใช้ CCPA โดย California AG เริ่มตั้งแต่วันที่ 1 กรกฎาคม 2020 โดยให้สิทธิ์หลัก 6 ประการแก่ผู้ใช้ออนไลน์เหล่านี้:

  • สิทธิที่จะรู้ว่าข้อมูลส่วนบุคคลใดที่ถูกเก็บรวบรวม
  • สิทธิที่จะรู้ว่าข้อมูลส่วนบุคคลของพวกเขาถูกแบ่งปันหรือขายอย่างไร (และอย่างไร)
  • สิทธิในการยกเลิกการขายข้อมูลส่วนบุคคล
  • สิทธิในการเข้าถึงข้อมูลของตน
  • สิทธิ์ในการลบข้อมูลส่วนบุคคล (ยกเว้น)
  • สิทธิที่จะไม่ถูกเลือกปฏิบัติในการใช้สิทธิของตน

ภายใต้พระราชบัญญัตินี้ การขายไม่ได้จำกัดอยู่เพียงธุรกรรมทางการเงินเท่านั้น CCPA ให้สิทธิ์แก่ผู้บริโภคสำหรับข้อมูลใดๆ ที่ใช้สำหรับสิ่งที่เรียกว่าการพิจารณาอันมีค่า California AG ตัดสินว่ารวมถึงการแลกเปลี่ยนข้อมูลสำหรับการกำหนดเป้าหมายหรือการแสดงโฆษณา

ภายใต้ CCPA ข้อมูลส่วนบุคคลมีมากกว่ารายการต่างๆ เช่น ชื่อผู้ใช้ ที่อยู่ หมายเลขโทรศัพท์ หรือข้อมูลไบโอเมตริกซ์ เช่น ลายนิ้วมือ นอกจากนี้ยังรวมถึงคุกกี้และประวัติการท่องเว็บ ที่อยู่ IP รหัสโฆษณาบนมือถือ (MAIDS) ข้อมูลตำแหน่งทางภูมิศาสตร์ ตัวระบุอุปกรณ์ หรือการโต้ตอบอื่นๆ กับโฆษณา เว็บไซต์ หรือแอป

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ CCPA โปรดไปที่ Megalist of CCPA Resources รายการตรวจสอบ และคำแนะนำ

CPRA แตกต่างจาก CCPA อย่างไร

CPRA ประกอบด้วยการขยายที่สำคัญหกประการใน CCPA ซึ่งดำเนินการต่อไปทั้งในด้านสิทธิ์ของผู้บริโภคและข้อจำกัดทางธุรกิจ:

  • CPRA กำหนดหมวดหมู่ใหม่ของข้อมูลส่วนบุคคลที่ละเอียดอ่อน (SPI)
  • เพิ่มข้อจำกัดในการติดตาม
  • สร้างสิทธิไล่เบี้ยทางกฎหมายในวงกว้างสำหรับผู้บริโภค
  • เพิ่มการคุ้มครองเฉพาะสำหรับผู้เยาว์
  • ให้ 'สิทธิ์ในการแก้ไข' แก่ผู้บริโภคสำหรับข้อมูลส่วนบุคคล
  • ก่อตั้งหน่วยงานคุ้มครองความเป็นส่วนตัวแห่งแคลิฟอร์เนีย

สิทธิผู้บริโภคเพิ่มเติมภายใต้ CPRA

หมวดหมู่ใหม่ของข้อมูลส่วนบุคคลที่ละเอียดอ่อน (SPI)

  • หมายเลขประกันสังคม
  • ใบขับขี่
  • หนังสือเดินทาง
  • ศาสนา
  • แข่ง
  • สมาชิกสหภาพ
  • การสื่อสารส่วนบุคคล
  • ข้อมูลทางพันธุกรรมและข้อมูลด้านสุขภาพอื่น ๆ
  • ข้อมูลเกี่ยวกับชีวิตทางเพศหรือรสนิยมทางเพศ

ข้อจำกัดในการติดตาม

CPRA ยังช่วยเสริมความแข็งแกร่งของภาษาเกี่ยวกับตำแหน่งทางภูมิศาสตร์ จะช่วยให้ผู้บริโภคสามารถป้องกันไม่ให้ธุรกิจติดตามตำแหน่งทางภูมิศาสตร์ของผู้บริโภคเพื่อวัตถุประสงค์ส่วนใหญ่ รวมถึงการโฆษณาภายในรัศมี 250 เอเคอร์โดยประมาณ

สิทธิทางกฎหมายที่กว้างขึ้น

นอกจากนี้ยังให้สิทธิทางกฎหมายในวงกว้างแก่ผู้บริโภคอีกด้วย นอกจากบทลงโทษที่บังคับใช้โดยรัฐแล้ว ยังให้สิทธิ์ผู้บริโภคในการฟ้องธุรกิจเกี่ยวกับการละเมิดข้อมูลโดยประมาทโดยไม่ต้องพิสูจน์และสูญเสียทางการเงินที่แท้จริง ภายใต้ CPRA หากบริษัทละเลยในการปกป้อง SPI ของคุณในเชิงรุก หรือรายการต่างๆ เช่น รหัสผ่านอีเมลของคุณ คุณอาจฟ้องได้

การคุ้มครองเพิ่มเติมสำหรับผู้เยาว์

CCPA ห้ามการขายข้อมูลส่วนบุคคลของผู้ใดก็ตามที่มีอายุต่ำกว่า 17 ปีโดยไม่ได้รับความยินยอมอย่างชัดแจ้ง สำหรับเด็กอายุต่ำกว่า 13 ปี ต้องได้รับความยินยอมจากผู้ปกครอง ภายใต้กฎหมายว่าด้วยสิทธิความเป็นส่วนตัวของรัฐแคลิฟอร์เนีย ไซต์ต่างๆ จะต้องถามอายุของผู้ใช้ ต้องได้รับความยินยอมในการเลือกเข้าร่วม (แทนที่จะเลือกไม่เข้าร่วม) และเพิ่มค่าปรับสำหรับการละเมิดสามเท่า

สิทธิ์ในการแก้ไข

CCPA อนุญาตให้ผู้บริโภคขอให้ลบข้อมูลส่วนบุคคลและยกเลิกการอนุญาตให้ธุรกิจขายข้อมูลส่วนบุคคล แต่ไม่อนุญาตให้มีการแก้ไข CPRA จะอนุญาตให้ผู้บริโภคร้องขอการแก้ไขข้อมูลที่เก็บไว้หากไม่ถูกต้อง

หน่วยงานคุ้มครองความเป็นส่วนตัวแห่งแคลิฟอร์เนีย

ผู้เช่าหลักของ CPRA คือการจัดตั้ง California Privacy Protection Agency เพื่อดูแลความเป็นส่วนตัวและทำหน้าที่เป็นผู้สนับสนุนผู้บริโภค โครงการลงคะแนนเสียงขอเงิน 10 ล้านดอลลาร์จากกองทุนทั่วไปของรัฐ “การระดมทุนนี้” ความคิดริเริ่มเสนอ “จะเท่ากับจำนวนเจ้าหน้าที่บังคับใช้ความเป็นส่วนตัวอย่างคร่าวๆ เหมือนกับที่ FTC (คณะกรรมาธิการการค้าของรัฐบาลกลาง) มีหน้าที่ควบคุมดูแลคนทั้งประเทศ”

CPRA นำไปใช้กับใคร

องค์กรไม่จำเป็นต้องตั้งอยู่ในแคลิฟอร์เนียจึงจะได้รับผลกระทบ ทั้ง CCPA และ CPRA จะนำไปใช้กับบริษัทที่ทำธุรกิจกับผู้อยู่อาศัยในแคลิฟอร์เนีย

อะไรคือวันสำคัญของ CPRA?

สมมติว่าความคิดริเริ่มผ่านกระบวนการตรวจสอบลายเซ็น CPRA จะลงคะแนนเสียงทั่วทั้งรัฐในวันที่ 3 พฤศจิกายน 2020 ซึ่งผู้มีสิทธิเลือกตั้งส่วนใหญ่ในแคลิฟอร์เนียสามารถส่งผ่านไปยังกฎหมายได้

หากผ่าน บทบัญญัติหลายข้อจะมีผลบังคับใช้ทันที รวมถึงการจัดตั้งและการจัดหาเงินทุนของ California Privacy Protection Agency ซึ่งรวมถึงส่วนต่อไปนี้:

  • 1798.145(ม.) และ (n)
  • 1798.160
  • 1798.185
  • 1798.199.10-.40
  • 1798.199.95

คุณสามารถอ่านรายละเอียดได้ที่นี่

พระราชบัญญัติส่วนใหญ่จะไม่มีผลบังคับใช้จนถึงวันที่ 1 มกราคม พ.ศ. 2566

วันสำคัญอื่นๆ

  • 1 กรกฎาคม 2021: วันที่เริ่มต้นสำหรับกระบวนการสร้างกฎ
  • 1 มกราคม 2022: กระบวนการ "มองย้อนกลับไป" 12 เดือนเริ่มต้นขึ้น แม้ว่า CPRA จะไม่มีผลบังคับใช้อย่างสมบูรณ์จนถึงวันที่ 1 มกราคม 2023 แต่จะมีผลกับข้อมูลส่วนบุคคลที่รวบรวมตั้งแต่เดือนมกราคม 2022 โดยมีข้อยกเว้นบางประการ เช่น สิทธิ์ในการเข้าถึงและแก้ไข
  • 1 กรกฎาคม 2022: วันสุดท้ายของการนำกฎระเบียบมาใช้
  • 1 มกราคม 2023: วันที่มีผลบังคับใช้และการหมดอายุของข้อยกเว้นบางประการ

แนวคิดเบื้องหลังไทม์ไลน์ที่ซับซ้อนนี้คือการให้เวลาฝ่ายนิติบัญญัติและผู้บริหารในการสรุปแนวทาง นอกจากนี้ยังให้เวลาองค์กรในการปฏิบัติตาม

แม้หลังจากผ่าน CCPA เดิมไปแล้ว ก็มีการแก้ไขหลายครั้งและมีการเปลี่ยนแปลงบางส่วน เช่น สิ่งที่เข้าข่ายเป็น "ข้อมูลส่วนบุคคล" California Consumer Privacy Act (CCPA) ได้ลงนามในกฎหมายเมื่อวันที่ 28 มิถุนายน 2018 บริษัทต่างๆ ได้รับจนถึงเดือนมกราคม 2020 เพื่อปฏิบัติตามและได้รับ “ระยะเวลาผ่อนผัน” 6 เดือนก่อนที่จะบังคับใช้ ตั้งแต่วันที่ 1 กรกฎาคม 2020 การบังคับใช้สามารถเริ่มได้

CPRA จะใช้กระบวนการที่คล้ายคลึงกัน

ผู้จัดพิมพ์ต้องการทราบอะไรเกี่ยวกับ CRPA?

เช่นเดียวกับ CCPA CPRA จะใช้มาตรการที่สำคัญในการปฏิบัติตาม ข้อมูลส่วนบุคคลจะสามารถจัดเก็บและใช้เพื่อวัตถุประสงค์เฉพาะและจำกัดที่ได้รับอนุญาตภายใต้พระราชบัญญัติเท่านั้น มันจะขยายสิ่งที่ถือเป็นข้อมูลส่วนบุคคลและต้องมีการแจ้งอย่างชัดเจนสำหรับการจัดส่งโฆษณาหากผู้เผยแพร่เลือกที่จะขายข้อมูลหรือใช้เพื่อกำหนดเป้าหมายหรือส่งโฆษณาดิจิทัล

รายการตรวจสอบสำหรับการปฏิบัติตาม CCPA จะต้องได้รับการแก้ไขเพื่อรวมกฎระเบียบที่ปรับปรุงแล้ว หาก CPRA กลายเป็นกฎหมาย แม้ว่าจะผ่านไปแล้ว แต่ก็ยังมีแนวทางและรายละเอียดที่จะรวมอยู่ในการกำหนดกฎในอนาคตซึ่งไม่มีอยู่ในปัจจุบัน

ในฐานะที่เป็นแพลตฟอร์มการจัดการคำยินยอม (CMP) พลเรือเอกจะตรวจสอบกฎระเบียบการยินยอมด้านความเป็นส่วนตัวที่มีผลกระทบต่อผู้เผยแพร่ออนไลน์ทั่วทั้งสหรัฐอเมริกาและทั่วโลก สำหรับคำถามเกี่ยวกับ CMP โปรดไปที่คำถามที่พบบ่อย: การจัดการคำยินยอม

กฎหมายคุ้มครองข้อมูลเพิ่มเติมกำลังจะมา

เนื่องจากข่าวการรั่วไหลของข้อมูล การใช้ข้อมูลผู้บริโภคในทางที่ผิด และความเป็นส่วนตัวยังคงเป็นความกังวลของสาธารณชน จึงได้มีการยกระดับความเป็นส่วนตัวของข้อมูลสำหรับผู้บริโภค 84% ของผู้ที่เข้าร่วมการศึกษาของ Cisco รายงานว่าพวกเขาต้องการควบคุมข้อมูลและการใช้งานมากขึ้น

สำหรับผู้จัดพิมพ์ นี่เป็นเพียงจุดเริ่มต้น รัฐหลายสิบแห่งได้ออกกฎหมายคุ้มครองข้อมูลและความเป็นส่วนตัวเมื่อเร็วๆ นี้ รวมถึงอิลลินอยส์ เมน แมสซาชูเซตส์ เนวาดา นิวเจอร์ซีย์ และเพนซิลเวเนีย นอกจากนี้ยังมีการผลักดันให้สร้างกฎระเบียบด้านการปกป้องข้อมูลระดับชาติและการจัดตั้งหน่วยงานคุ้มครองข้อมูล

การปฏิบัติตาม CPRA, CCPA และ GDPR

การปฏิบัติตามกฎระเบียบด้านความเป็นส่วนตัวทั้งหมดและความแตกต่างของ GDPR, CCPA และแนวทางที่เป็นไปได้ของ CPRA อาจเป็นฝันร้ายสำหรับผู้เผยแพร่โฆษณา นั่นเป็นเหตุผลที่ผู้เผยแพร่โฆษณาจำนวนมากหันไปขอความช่วยเหลือจากภายนอกจาก Admiral เพื่อจัดการความเป็นส่วนตัวและความยินยอมของผู้เยี่ยมชม หนึ่งในแพลตฟอร์มการจัดการเนื้อหา (CMP) ที่สอดคล้องกับ IAB แห่งแรกของอุตสาหกรรม Admiral ID ของผู้เข้าชมเว็บไซต์โดยอัตโนมัติที่มาจาก IP ของแคลิฟอร์เนีย ให้ส่วนต่อประสานกับผู้ใช้แก่ผู้เยี่ยมชมเพื่อเลือกไม่รับการขายข้อมูล และเข้ากันได้กับเฟรมเวิร์ก IAB สำหรับการส่งข้อมูลการเลือกไม่รับไปยัง ผู้ขายปลายน้ำ

Admiral สามารถติดตั้งได้ด้วยแท็กง่ายๆ เพียงแท็กเดียว และอนุญาตให้ผู้เผยแพร่โฆษณาเริ่มจัดการการตั้งค่าความเป็นส่วนตัวและคำยินยอมของผู้เยี่ยมชมได้ด้วยการลงชื่อสมัครใช้ห้านาที

ติดต่อพลเรือเอกเพื่อสาธิตวันนี้