2020年2月7日,加利福尼亚州总检察长发布了对他提出的法规的修改。虽然许多修改都是次要的,但其中一些是重大的,将产生严重的影响。

The Attorney General’s office will take comments on the proposed modifications until February 25. After the comment period closes, the AG will send the proposed regulations and its full record of the rulemaking process to California’s Office of Administrative Law (OAL), which has thirty days to approve or disapprove of it. If the process passes OAL review, the regulations will be sent to the Secretary of State for signature.

我们将审查这件作品的一些重大变化。你可以点击这里以查看拟议修改的全部红线文本。

退出按钮

拟议规定最新的更新是退出按钮。

CCPA呼吁司法部长办公室建立开发和使用统一选择退出销售按钮的规则,以便在其网站上使用。(CAL。CIV。代码§1798.185(4)(c))。We now have the AG’s proposal for what that opt-out button should look like — essentially a red background with a white button next to an ‘X’ that appears to the left of text that either reads “Do Not Sell My Personal Information” or “Do Not Sell My Info.” See拟议规定§999.306(f。)

AG的提案还澄清了如果他们在隐私声明中清楚地说明他们不销售信息,那么公司不需要这个按钮。销售个人信息的公司需要在通知中陈述他们在网站上需要这个按钮。

个人信息的定义

公司们要求修改CCPA对个人信息(PI)的宽泛定义,而AG似乎听取了他们的意见。CCPA对PI的定义如下:

“个人信息”指识别、涉及、描述、能够直接或间接与特定消费者或家庭关联或合理关联的信息。个人信息包括但不限于以下内容…如真实姓名、别名、邮政地址、唯一个人标识符、在线标识符等标识符互联网协议地址,电子邮件地址,帐户名称,社会安全号码,驾驶执照号码,护照号码或其他类似标识符。

(重点加了)

在新的改进的拟议条例中,AG对题为“关于解释CCPA定义的指导”的一节中的IP地址有关差别是否有资格。该提案根据该业务限制PI维护信息以“识别的方式涉及描述,合理能够与特定的消费者或家庭合理地或间接地或间接地连接或间接地连接。”以一种方式然后,IP地址用于解释示例。提案国家:

例如,如果业务将访问者的IP地址收集到其网站但不将IP地址链接到任何特定的消费者或家庭,并且无法与特定的消费者或家庭合理地将IP地址联系起来,则IP地址不会是“个人信息”。

这是一个重要的细微差别。它将定义的重点转移到信息维护的方式上——如果一个组织无法将UP地址连接到消费者或家庭,那么它就不必将IP地址视为PI。如果采用,这种细微差别可能会显著改变对CCPA的解释方式。

即时通知

在修改后的规定中,一个令人惊讶的变化是对“准时”通知的新要求。此前,企业通常采取的做法是,如果他们在每个网页上都张贴了隐私通知,那么他们就满足了CCPA的要求。

法令文本规定,“[a]收集消费者个人信息的企业应在收集点或之前,告知消费者收集的个人信息类别以及个人信息类别应使用。“1798.100 (b)。

然而,修改后的拟议法规规定,“在消费者将在收集点或之前遇到它的地方”应随时提供通知。该提案在其说明性例子中指出:当企业出于消费者不合理预期的目的从消费者的移动设备收集个人信息时,应提供即时通知,其中包含收集的个人信息类别摘要,并在收集时提供完整通知的链接。

例如,如果业务提供手电筒应用程序并且应用程序收集地理定位信息,则该业务将提供即时通知,例如当消费者打开应用程序时,通过弹出窗口,其中包含所需的信息这个小节。

该指南开始类似于gdp类型的注意方法。去年,在足球比赛期间,西班牙足球联赛(La Liga)被禁止违反GDPR的透明度条款,当时在足球比赛期间远程打开其应用程序的麦克风。La Liga听取了识别他们能听到被观看的游戏的位置,并且它将这些信息用于苏武器盗版游戏。在这种情况下,新的CCPA指导旨在提出一家公司必须有一个即时的弹出通知(可能在用户打开该应用程序时)通知用户将远程访问其麦克风和目的访问权限。

通知和“类别”

总检察长扩大了法定文本对“来源类别”的描述。根据该条例,受保护公司在接获消费者要求知情权时,必须披露其收集个人资料的来源类别。根据修改后的提案,“来源类别”指“企业从其中收集消费者个人信息的个人或实体的类型或分组,描述了足够的特殊性来为消费者提供有意义的人或实体的理解。“这里的重要变化是需要统治描述的语言。AG提供了例子,包括直接来自消费者,并从广告网络,互联网服务提供商,数据分析提供商,政府实体,操作系统和平台,社交网络和数据经纪人提供。

CCPA还对“第三方类别”有特殊要求。

在回应知情请求时,有涵盖的业务必须披露消费者信息被出售或披露业务目的的第三方类别。新的冥想解释了第三方类别“意味着商业股票个人信息的第三方的类型或分组,描述了足够的特殊性,为消费者提供有意义的对第三方类型的理解。“与来源的类别一样,AG提供了说明性示例,包括:广告网络,互联网服务提供商,数据分析提供商,政府实体,操作系统和平台,社交网络和数据经纪人。

第三方类别和来源在拟议的法规中比在CCPA文本中更为重要,因为AG将它们作为通知要求的组成部分(这一更改最初在原拟议的法规中作出,但在修改版本中得到了进一步澄清)。

根据修改的提案,隐私声明不仅必须确定12个月内收集的消费者个人信息的类别,而且还描​​述了类别以一种方式为消费者提供有意义的了解所收集的信息。Furthermore, the AG’s proposed regulation instructs covered businesses to use their privacy notices to identify the categories of personal information they have sold or disclosed for business or commercial purposes in the preceding 12 months and the categories of third parties to whom each category of PI was sold or disclosed.

可访问性

AG给出了第一次直接,明确指导就如何判断如何获得可访问性要求。在新的拟议法规中,他指导涵盖业务,了解2018年6月5日的Web内容可访问性指南,从全球Web联盟到判断他们的通知是否符合可访问性要求。

对知情权请求的新豁免

商业也将通过ag的提案建立了解请求的权利来欣赏新的豁免。AG的提案指出,如果满足以下所有条件,则不需要企业在其系统中搜索个人信息:

  1. 业务并未以可搜寻或合理查阅的格式保存个人资料;
  2. 企业仅出于法律或合规目的而保存个人信息;
  3. 该企业不出售个人信息,也不将其用于任何商业目的;和
  4. 该业务描述了消费者可能包含它没有搜索的个人信息的记录类别,因为它符合上述条件。

在回应知情权的要求时,总检察长还扩大了企业不应该公开的信息清单。这个列表现在包括:消费者的社会安全号码、驾驶执照号码或其他政府颁发的识别号码、金融账号、任何健康保险或医疗识别号码、账户密码、安全问题和答案,或通过测量或技术分析人类特征生成的独特生物特征数据。

总之

这些只是AG在改进的建议规则中所做的一些变化。其他修改与删除请求有关(如果企业无法验证消费者的身份,提出请求删除其信息的请求,则新的提案要求公司要求消费者如果他们想选择退出销售并包括内容或退出通知的链接);服务提供商(如果服务提供商收到要知道或从消费者删除请求的请求,则服务提供商应代表业务作出响应请求或通知消费者不能以此请求行为请求已发送给服务提供商);和授权代理人(要求公司可以施加概述)。

我们鼓励有助于国家审查深入的修改。CCPA合规性的实际方面受到拟议规例的严重影响。如果您想向AG提交评论,您需要在2月24日之前这样做。您可以通过电子邮件提交注释PrivacyRegulations@doj.ca.gov

*由于一个错误遗漏了对§999.317(g)的修改,AG在2020年2月10日重新发送了修改通知。