在CCPA下哪些数据是免删除的?
CCPA对“个人信息”和“消费者”进行了宽泛的定义,这意味着CCPA提供的消费者个人信息访问、删除和选择退出的权利可以对受监管的企业产生深远的影响。然而,法律中有一些例外和豁免条款,如果它们按照预期发挥作用,将有助于企业在消费者隐私和能够收集和使用商业和合规目的所需的数据之间找到平衡。
CCPA中的一些豁免是基于其他法规;例如,已经被《格雷姆-里奇-比利利法案》(GLBA)监管的数据不受CCPA的约束。然而,有些例外更普遍适用,而且由于没有加州司法部长的进一步指示,可以进行解释。例外情况适用于:完成交易;维护法律义务;维护安全和现有功能;保护言论自由;进行研究;允许内部的,预期的,合法的使用。
完成交易
在CCPA1798.105 (d) (1)该条例规定,如果企业和服务提供商为了“完成收集个人信息的交易(或)提供消费者要求的商品或服务”而需要维护这些信息,就不必遵从消费者的删除请求。这确保了您所依赖的执行直接业务活动的信息不必根据加州消费者的删除请求而被删除。如果客户订购了每月一次的维生素或每周一次的熟食,那么您的组织就有法律保护的理由不删除您为提供这些商品而收集的个人信息——姓名、信用卡号码、送货和账单地址、电子邮件地址、偏好、和其他帐户信息将被要求继续完成您的交易结束。
第(d)(1)节的最后一部分还豁免了“在企业与消费者的持续业务关系中合理预期的,或[需要]以其他方式履行企业与消费者之间的合同”的个人信息。例如,如果消费者签署或签订了一次性交付货物或服务的合同,并附有某种保证或服务政策,你的组织可以提出这样的论点:消费者不仅合理地预期到你将维护他们与购买相关的信息,而且你的组织只能通过维护某些信息来履行正在进行的协议。
法律义务
您的组织还应该审查适用于您的业务或行业的记录保留法律。CCPA1798.105 (d) (8)建立企业必须保持满足法律义务的个人信息不受消费者删除请求的影响。这使得更新的记录保留策略在成为符合CCPA的过程时非常有价值。(看这个帖子在保留政策。)
例如,法律要求汽车经销商保存购买轮胎的记录三年。《住房抵押贷款信息披露法》要求贷款申请人的种族、国籍和性别信息有3年的保留期。OSHA要求药物测试记录在测试后保存一年(如目前所写,CCPA适用于工作记录;如果AB 25被通过,它将从CCPA的监管中删除就业记录)。联邦法律还要求电信运营商将与长途电话有关的个人信息(姓名、地址、打电话者的电话号码、被打的号码、日期、时间和通话时长)保留18个月。
此外,诉讼通知也被认为是一种法律义务,强制冻结与诉讼有关的记录的销毁/删除。您的公司应确保在根据消费者要求删除任何信息之前进行诉讼检查。
除联邦记录保留要求外,各国通常有自己的记录保留或其他影响组织遵守删除请求的法律能力的其他法律要求。CCPA专门指示组织如果有必要根据加利福尼亚州的电子通信隐私法案保持该信息,则不需要删除消费者个人信息,这对寻求非紧急情况中的政府实体(CCPA1798.105 (d) (5)).如果企业收到来自个人的删除请求,而政府也通过认股权证或其他合法的要求收到了信息请求,则企业不必删除该信息,而应遵从认股权证。
在根据CCPA消费者请求删除信息之前,必须考虑加州和其他适用管辖区的法律义务。熟悉这些义务将允许您的组织制定适当的规则,关于何时尊重消费者删除请求,何时基于法律义务拒绝用户删除请求。
安全性和现有功能
对于为“检测安全事件,防范恶意、欺诈、欺诈或非法活动;或者起诉那些对该活动负责的人”,并调试和修复损害现有(而不是新的)功能的错误(CCPA)1798.105 (d) (2)).
这保护的基本安全功能是组织保持和维护服务器日志和其他记录的能力,这些记录是检测和防止安全违规所必需的。对于运营物理设施的组织,这一例外也适用于人们实际进入或离开建筑物或建筑物的特定部分的记录。一些隐私专家表示,这一例外也可以被用来帮助组织维护面部识别软件存储的记录。
服务器日志和其他记录也可以用来识别和修复程序中的错误。此例外仅适用于为识别和修复现有错误而维护的信息,不适用于为软件创建新功能而维护的信息。然而,对于那些具有双重功能的信息,CCPA却只字未提——只要是必要的调试信息,CCPA就不会像目前所写的那样,阻止公司也使用未删除的个人信息来创建新的功能。
言论自由
在欧洲,“被遗忘的权利”需要像Google这样的搜索引擎从搜索请求中删除某些结果。例如,欧洲因犯罪而被逮捕,然后发布,可能会要求谷歌并没有指导人们将他的名字搜查他的逮捕旧新闻报道。采取不同的方法对隐私和言论之间的紧张局势,CCPA保护数据防止删除,以便允许自由言论,确保其他消费者的权利行使自由言论,或允许“行使法律规定的另一个权利”。“
虽然许多隐私倡导者鼓励各国或联邦政府采取“被遗忘的权利”或更广泛的删除权,但担心这种删除可以侵犯其他基本权利。显然,加州的立法机构正在发出信号传染性,即当它对彼此的权衡权重量时,删除个人信息是次要的。新闻自由可能有资格符合其他“法律规定的”,以否定CCPA下的消费者的删除请求。
研究
为同行评议、科学研究、历史研究或统计研究而收集和维护的个人信息,符合相关道德和隐私法律,也不受CCPA删除请求的限制。研究必须符合公共利益才能合格,即便如此,只有在删除会严重损害研究和消费者知情同意的情况下,个人信息才免于删除。
这一豁免的目的最明显地适用于医学背景;然而,sb1121(2018年8月通过)澄清,CCPA不适用于作为临床试验的一部分收集的信息。因此,这种豁免可能只对SB 1121所涵盖的临床试验中未以某种方式包括的医学研究特别重要。
内部,预期和合法用途
最后,企业免于纪念删除请求,以便“能够基于消费者与业务关系的期望合理地对准的内部用途”(1798.105 (d) (7)这种豁免通常被称为“合法利益”豁免,在许多方面反映在1798.105(d)(9)中,除非有司法部长或法院的指导,否则似乎涵盖了与第(d)(7)小节相同类型的用途。第(d)(9)款允许合法及与消费者提供资料的上下文相容的其他内部用途豁免被删除。
有人认为,这种豁免可能基本上是无效的,使企业能够找到避免删除消费者信息的方法。有些人希望这种豁免将删除规则更改为更多的使用限制规则。如果这种预测熊果,而不是删除数据,公司可能只会限制他们使用它的方式。例如,为一个目的收集信息的业务,例如在加入奖励计划的上下文中,可以继续发送那些奖励电子邮件,因此即使在收到删除请求之后,即使在接收到删除请求之后,也可以为此仅仅是内部目的的消费者数据。然而,使用不同目的的信息,例如发送时事通讯,可以说可以逐到原始收集的上下文之外,并且是个人信息的使用限制的示例。
结论
乍一看,CCPA似乎要求根据消费者的要求大规模删除加州消费者的个人信息。然而,每个受CCPA管辖的企业都应根据其自身的信息收集、存储、共享和使用实践,仔细审查豁免的细微差别。
2018年《加州消费者隐私法》是美国历史上最重要的隐私法律之一。它将以一种比任何诉讼中的隐私法规更深远的方式影响更多的企业。公司应该尽早开始准备,以满足新法律的要求。
要了解更多关于SixFifty如何帮助您的公司加快CCPA合规的信息,请访问//www.advancedpw.com/solutions/ccpa。要查看一个有助于将您的业务纳入合规的时间表,点击这里.
免责声明:本出版物由SixFifty, LLC准备,提供我们的读者感兴趣的关于加州消费者隐私法案的信息。其目的不在于为特定情况提供法律建议或建立律师-客户关系。SixFifty有限责任公司不提供法律咨询。
