什么是加州隐私权法案 (CPRA)？

已发表: 2020-06-25

在加州消费者隐私法 (CCPA) 甚至开始执行阶段之前，隐私权倡导者已经提议通过更严厉的处罚来加强执法。已提交 2020 年加州隐私权和执法法案，以在秋季创建全州范围的投票倡议。

2021 年 9 月 28 日更新 -加州隐私保护局正在征求对 CPRA 的评论，尤其是这篇 CPRA 文章中涵盖的 8 点。

>>> 即将举行的关于 CPRA 合规和准备工具包的 IAB 网络研讨会。 CPRA 工具包包括行动项目清单、CPRA 合同语言等。

什么是 CPRA？

CPRA（加利福尼亚州隐私权法案）是对 2020 年 1 月 1 日实施的 CCPA（加利福尼亚州消费者隐私权法案）的扩展。CPRA 旨在保护更多类型的隐私信息，为消费者提供额外权利，建立监督实体和详细权利专门针对未成年人。

推动 CCPA 议程的同一个团体，即加州消费者隐私保护组织，提交了超过 900,000 个签名，以使 CPRA 有资格参加 2020 年 11 月的投票。

什么是 CCPA？

CCPA 授予加州消费者关于企业收集、使用、存储和销售个人数据的特定权利。这是迄今为止美国最严格的隐私法规。 California AG 于 2020 年 7 月 1 日开始执行 CCPA。它授予在线用户以下六项关键权利：

知道正在收集哪些个人信息的权利
知道他们的个人信息是否（以及如何）被共享或出售的权利
选择不出售个人信息的权利
访问他们的信息的权利
删除其个人信息的权利（有例外）
行使权利不受歧视的权利

根据该法案，销售不仅限于严格的金融交易。 CCPA 授予消费者对任何用于其所谓的有价值考虑的数据的权利。加利福尼亚州股份公司裁定，这包括为定位或广告投放交换数据等项目。

根据 CCPA，个人信息远远超出用户姓名、地址、电话号码或指纹等生物特征数据等项目。它还包括 cookie 和浏览历史记录、IP 地址、移动广告 ID (MAIDS)、地理位置数据、设备标识符或与广告、网站或应用程序的其他交互。

有关 CCPA 的更多信息，请访问 CCPA 资源、清单和指南的 Megalist。

CPRA 与 CCPA 有何不同？

CPRA 包含对 CCPA 的六个关键扩展，在消费者权利和业务限制方面更进一步：

CPRA 建立了一个新的敏感个人信息类别 (SPI)
增加跟踪限制
为消费者建立更广泛的法律追索权
为未成年人增加特定保护
为消费者提供个人数据的“更正权”
成立加州隐私保护局

CPRA 下的其他消费者权利

新的敏感个人信息类别 (SPI)

社会安全号码
驾驶执照
护照
宗教
种族
工会会员
个人交流
基因数据和其他健康信息
有关性生活或性取向的信息

跟踪限制

CPRA 还加强了有关地理位置的语言。它将使消费者能够阻止企业在大约 250 英亩的半径范围内为大多数目的（包括广告）跟踪消费者的地理位置。

更广泛的合法权利

它还赋予消费者更广泛的合法权利。除了国家的执法处罚外，它还将赋予消费者起诉企业因疏忽数据泄露而无需证明和实际经济损失的权利。根据 CPRA，如果公司疏忽主动保护您的 SPI 或您的电子邮件密码等项目，您可能可以起诉。

对未成年人的额外保护

CCPA 禁止在未经明确同意的情况下出售 17 岁以下任何人的任何个人数据。对于 13 岁以下的儿童，需要父母同意。根据加州隐私权法案，网站必须询问用户的年龄，需要同意才能选择加入（而不是选择退出），并对违规行为处以三倍的罚款。

更正权

CCPA 允许消费者请求删除个人数据并选择不让企业出售个人数据，但不允许更正。如果存储数据不准确，CPRA 将允许消费者请求更正存储数据。

加州隐私保护局

CPRA 的一个重要租户是加州隐私保护机构的建立，以监督隐私并充当消费者权益倡导者。投票倡议要求该州的普通基金提供 1000 万美元。 “这笔资金，”该倡议提议“将相当于 FTC（联邦贸易委员会）必须监管整个国家的隐私执法人员数量大致相同。”

CPRA 适用于谁？

组织无需位于加利福尼亚即可受到影响。 CCPA 和 CPRA 都适用于与加州居民开展业务的公司。

CPRA 的关键日期是什么？

假设该倡议通过签名验证程序，CPRA 将于 2020 年 11 月 3 日在全州范围内进行投票。它可以由加利福尼亚州的简单多数选民通过成为法律。

如果通过，几项条款将立即生效，包括加州隐私保护局的成立和资助。其中包括以下部分：

1798.145(m) 和 (n)
1798.160
1798.185
1798.199.10-.40
1798.199.95

您可以在此处阅读详细信息。

该法案的大部分内容要到 2023 年 1 月 1 日才会生效。

其他关键日期

2021 年 7 月 1 日：规则制定过程的开始日期
2022 年 1 月 1 日：为期 12 个月的“回顾”过程开始。虽然 CPRA 直到 2023 年 1 月 1 日才会完全生效，但它将适用于从 2022 年 1 月开始收集的个人信息，但有一些例外情况，例如访问权和更正权。
2022 年 7 月 1 日：通过法规的最后日期
2023 年 1 月 1 日：一些豁免的生效日期和到期日

这个复杂时间表背后的想法是让立法者和行政人员有时间最终确定指导方针。它还让组织有时间遵守。

即使在最初的 CCPA 通过后，它也被多次修改，特定部分也发生了变化，比如什么叫做“个人信息”。加州消费者隐私法 (CCPA) 于 2018 年 6 月 28 日签署成为法律。公司被要求在 2020 年 1 月之前遵守并在执行前获得 6 个月的“宽限期”。自 2020 年 7 月 1 日起，执法可能会开始。

CPRA 将采用类似的程序。

发布商需要了解哪些有关 CRPA 的信息？

就像 CCPA 一样，CPRA 将采取重大措施来遵守。个人信息只能被存储和用于法案允许的特定和有限目的。如果出版商选择出售信息或使用它来定位或投放数字广告，它将扩大被视为个人信息的范围，并要求明确通知投放广告。

如果 CPRA 成为法律，则需要修改 CCPA 合规清单以包括增强的法规。即使它通过了，也会有一些指导方针和细节将包含在未来的规则制定中，而这些在今天是不可用的。

作为同意管理平台 (CMP)，Admiral 监控影响美国和全球在线出版商的隐私同意法规。有关 CMP 的问题，请访问常见问题解答：同意管理。

遵守 CPRA、CCPA 和 GDPR

及时了解所有隐私法规和 GDPR、CCPA 的细微差别以及 CPRA 的潜在通过对于出版商来说可能是一场噩梦。这就是为什么如此多的出版商求助于 Admiral 的外部帮助来管理他们的访问者隐私和同意。作为业界首个符合 IAB 标准的内容管理平台 (CMP) 之一，Admiral 自动识别来自加利福尼亚 IP 的网站访问者，为访问者提供选择退出数据销售的用户界面，并与 IAB 框架兼容，可将选择退出信息发送到下游供应商。

Admiral 可以使用一个简单的标签安装，并允许发布商在注册五分钟后开始管理访问者隐私和同意设置。

立即联系 Admiral 进行演示。