2019年《加州消费者隐私法》(California Consumer Privacy Act,以下简称CCPA)修正案本周终于接近尾声,距离该法案生效不到四个月。之后的某个时候,预计司法部长将发布规则草案,阐明这一具有里程碑意义的法律规定的通知和要求核查义务。
总而言之,参议院司法委员会通过的CCPA修正案似乎有望获得通过。然而,在7月中旬参议院司法委员会的听证会上,对1355号法案(技术更正法案)和846号法案(忠诚计划法案)的版本有几个值得注意的变化。
AB 1355
上周末,参议院司法委员会主席周立邦(Ed Chau)公布了一系列经过认真谈判后修订的《技术更正条例草案》(AB 1355),其中包括一些重要的新阐释,并引入了企业对企业暂缓令修正案。与此同时,《忠诚计划法案》(AB 846)经过进一步修订,明确了对出售个人信息的限制。
据我们所知,很有可能通过的AB 1355修正案,包括:
修改“个人信息”的定义,将其定义为“合理地能够与某一特定消费者或家庭相关联”的信息,而不是简单地“能够(如此)关联”;
除有权选择不出售个人信息和不歧视外,增加为期一年的B2B通信暂停令;
明确《加州消费者隐私法》第1798.150条规定,对“数据泄露个人信息”进行加密或者编辑(不是两者)时,不得对数据泄露提起集体诉讼;
明确未识别和汇总的信息不受本规约管辖;
明确收取不同价格、费率,提供不同水平、质量的商品或服务的合理性,是根据个人信息对企业的价值,而不是对消费者的价值来衡量的。
“个人信息”的定义
CCPA最具操作复杂性的特征之一是法律对“个人信息”的定义。正如所制定的那样,该术语可以说几乎涵盖了企业所维护的每一条信息,因为几乎所有信息在理论上都可以与个人相关联,即使实际上,几乎不可能将这条信息与消费者联系起来,而且数据与隐私的关联性很小或与隐私无关。AB 1355将通过在“有能力”一词之前添加“合理地”一词来缩小这一定义,以便现在该定义的外部边界是“合理地”能够与消费者相关联的任何信息。
修订后的定义仍然比美国联邦贸易委员会(Federal Trade Commission)《2012年隐私工作人员报告》(2012 Privacy Staff Report)中“受保护信息”(covered information)的定义宽泛得多,但现在有了更明确的含义。这项修正案最初是AB 873法案的一部分,该法案在参议院司法委员会以平手投票的方式被否决,但在汉娜-贝丝·杰克逊(Hannah-Beth Jackson)主席的委员会分析中获得通过,并没有引起争议。
现在看来,它很可能成为法律。
B2B豁免
CCPA中另一个令人困惑的地方是,尽管该法规自始至终都提到加州的“消费者”,但“消费者”一词被定义为所有加州居民,即使他们不是消费者。正如我们在2019年8月的CCPA更新中所讨论的,AB 25包含了一个为期一年的部分暂停CCPA申请,用于员工、受益人和紧急联系信息。
AB1355现在增加了一项为期一年的关于个人信息的延期协议,这些个人信息是企业在特定B2B环境下获得的。本暂停适用于以下情况:
反映书面或口头交流或企业与消费者之间交易的个人信息,其中消费者是作为公司、合伙企业、独资企业的员工,所有者,董事,高级职员或承包商的自然人,非营利组织或政府机构,其与企业的沟通或交易仅在企业进行尽职调查,或向该公司,合伙企业,独资企业,非营利组织或政府机构提供或接收产品或服务的情况下发生。
有趣的是,与雇员数据暂停不同,该条款并未延迟适用第1798.120和125节的选择退出(不销售)或非歧视权利。但它确实延迟了根据第1798.100(b)条提供通知的义务,根据第1798.100(a)和(d)条授予访问权或根据第1798.105节删除权利,并根据第1798.110和115条提供透明度。
B2B暂停也延伸到数据安全违规类行动风险(第1798.150节)。实际效果是“不销售”请求将应用于企业从B2B交互获得的B2B数据,但不需要在B2B上下文中提供通知。该结果可能更适合B2B交易,其中在收集时或之前提供个人信息使用实践的通知通常是不切实际的。
了解此B2B暂停的有限范围非常重要。
暂停令仅适用于企业通过与代表另一实体的加利福尼亚州居民的通信或交易获得的信息。因此,它似乎不适用于从第三方获得的信息,例如列表提供者。暂停也仅适用于“仅在与另一实体进行尽职调查或向其提供或接收产品或服务的业务范围内”发生的通信或交易。
出于这个原因,修正案似乎没有达到B2B冷呼叫或其他非实体发起的营销通信。与员工暂停一样,该条款将于2021年1月1日到期,承诺在2020年立法会议期间重新讨论员工隐私立法——这一次是交易性的。
尽管如此,如果AB 1355颁布,该修订应显着减少与企业、非营利组织或政府机构与居住在加利福尼亚的员工或代理商进行交易或向其提供商品或服务的企业的CCPA合规负担。
集体诉讼风险
AB1355还修复了CCPA数据泄露集体诉讼部分中的相应起草错误。现行法律规定,集体诉讼适用于加利福尼亚州居民的个人信息,如该州数据安全法的(d)(1)(A)部分所定义,即“未加密或未编辑”。
这种令人困惑的双重否定意味着除非个人信息都被加密和编辑,否则它可能触发数据泄露类操作。该修正案明确了这两个步骤足以保护信息并避免潜在的集体诉讼责任。
加利福尼亚州的消费者律师签署了这一变化。这一点非常重要,因为加密或编辑都是对责任的简单辩护,而且与被告业务是否具有“合理”安全性相比,它们更清晰,成本更低。
FCRA例外
此阐释扩展了《公平信用报告法》例外,该例外目前仅适用于消费者报告中使用的“个人信息销售”。该修正案明确,该例外更广泛地适用于消费者报告机构,数据提供者和消费者用户的“涉及收集、维护、披露、销售、通信或使用任何个人信息的任何活动”报告,如果活动是由FCRA“授权”。
这意味着除了第1798.150节规定的合理安全义务和随之而来的集体诉讼风险之外,其他CCPA条款将不适用于FCRA授权的数据活动。FCRA例外的范围现在有望与《Gramm-Leach-Bliley法案》和《加州金融信息隐私法案》例外的范围非常相似。
明确CCPA不要求收集额外的个人信息或延长保留期
AB1355还补充说明,CCPA不要求企业收集任何他们原本不会收集或保留信息的个人信息,而不是在正常业务过程中保留的信息。CCPA不要求采取任何一个步骤,但这一明确可能使企业免于保留个人信息以证明其遵守消费者请求的时间长于其他类似信息,并应有助于解决内部合规性讨论中的问题,即企业可能需要保留其他数据为了更容易回应CCPA的消费者要求。
其他CCPA明确已在AB 1355中进行
4月份增加到AB 1355的修正案修正了CCPA中的一些值得理解的起草错误。
例如,AB 1355修正了CCPA中的另一个材料起草错误,首次添加了语言,表明聚合或取消识别的数据不是个人信息,这符合法规的原始意图。按照目前的法律规定,只有“公开提供”而非“个人信息”的定义才会排除已识别或汇总的信息。
此外,AB 1355修复了章节110(c)中的一些重要的起草错误。
首先,它阐明了第130节中的隐私政策通知义务适用于企业收集的关于“消费者”的一般个人信息类别,而不是特定消费者。它同样消除了隐私政策包括关于消费者的信息的“特定部分”的要求,而是消费者有权要求披露那些“特定信息”。
同样,修正案将明确第115(a)(2)节中的“知情权”义务要求向消费者通知为每类第三方而非每个第三方销售的个人信息类别。
目前的法规对于15岁或16岁时是否需要选择同意CCPA“销售”是不一致的AB 1355建议明确15岁或以下的消费者需要选择同意。
现行CCPA中较为晦涩的条款之一要求,向消费者提供的任何价格或费率或不同等级或质量的商品或服务的差异要么合理地或直接地与消费者数据提供给消费者的价值相关。
AB1135还将明确,在忠诚度计划和其他消费者激励计划的背景下,相关度量是提供给企业的数据的价值,与当前语言不同,它不是主观标准。
最后,AB 1355修复了CCPA内部大量的交叉引用错误,这些错误是由于2018年夏天草率起草造成的。
AB 846
参议院司法委员会对AB 846进行了修订,禁止“出售”通过忠诚度或折扣计划获得的任何个人信息。
AB846现已修订,以创建一个狭窄的允许出售的例外,以便第三方向消费者提供经济奖励、销售或其他折扣,条件是满足两个条件:
首先,消费者必须在披露“销售条款”后明确同意向特定的第三方销售。目前还不清楚披露细节需要有多详细,但它似乎与企业与第三方之间的条款有关。
其次,第三方必须“仅为将消费者识别为企业忠诚、奖励、高级功能、折扣或会员卡计划的合格成员”而使用这些个人信息,不得为任何其他目的保留、使用或披露这些个人信息。
目前还不清楚这些规定将如何解释,但如果实施,它们可能会使个人信息的“销售”在操作上变得复杂。另一方面,当消费者使用或指示企业有意披露个人信息,或使用企业有意与第三方互动时,AB 846不会修改现行的“销售”例外。
结论
当一年多以前第一次CCPA修正案通过时,几乎普遍认为许多错误(无论是实质性的还是技术性的)仍然需要清理。经修正的AB 1355将采取若干步骤来减少混淆并简化对CCPA中若干操作复杂义务的遵守。CCPA将于2020年1月1日生效。
文章来源:https://iapp.org/news/a/ccpa-amendment-update-changes-to-technical-corrections-and-loyalty-programs-bills/
图片来源:http://pics7.baidu.com/feed/0dd7912397dda1444f4537b21d18bda70df48693.jpeg?token=ff15032e05e7016f55c4951021edba30&s=CF3326C100406D4F03025DD90300109A
供稿者:李众 编辑:杨慕青
声明:本文来自北邮互联网治理与法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。