当加州消费者隐私法案通过时,它很快就通过了,而且没有像许多立法者希望的那样多的审查。因此,法律中包含了专门要求加州司法部长举行公开论坛和发布有关CCPA解释和执行规则的语言。

具体来说,第1798.185条指示司法部长“征求广泛的公众参与,并通过法规来促进法案的目的”。为了回应这一指示,加州司法部长和加州司法部举办了一系列CCPA公开论坛,主题如下:

  • 个人信息类别;
  • 唯一标识符的定义;
  • CCPA的例外;
  • 提交和遵守请求;
  • 统一的退出标志/按钮;
  • 向消费者提供的通知和信息,包括财务激励产品;和
  • 验证消费者的请求。

虽然一些公众成员分享了独特的建议和担忧,但企业和消费者权益倡导者的许多意见在会议上被反复提出。其中一些关切反映在已经提交立法机构的修正案中,我们预计司法部长也将考虑这些问题。

下面是对在旧金山、圣地亚哥、河滨和洛杉矶论坛上提出的问题的简要探讨。(见公众论坛第二部分这篇文章是为萨克拉门托、弗雷斯诺和斯坦福论坛撰写的。)

1月8日论坛-旧金山

商业和贸易协会的代表们担心,企业可能需要收集更多的个人信息,以便日后能够核实访问请求。例如,不收集电子邮件地址的公司需要收集电子邮件地址来与消费者进行通信,以验证和响应请求。

许多发言者对中央政策协调委员会对个人信息的宽泛定义表示关注。根据法律规定,IP地址属于个人信息,但许多IP地址实际上可以与多个个人相关联。

商业倡导者担心,CCPA的目的是保护作为消费者的个人,它可以被更广泛地应用,使员工和人力资源信息容易受到CCPA的影响。

商业倡导者也担心合规时间不够明确——该法规并没有说明,最初不属于CCPA的企业在达到2500万美元的收入或5万名消费者标志时是否必须立即遵守,或者是否将被授予一个阶段性窗口。

发言者要求澄清补救措施的规定,特别询问补救措施在何种程度上可追溯补救安全漏洞。其他发言人也谈到了安全问题,要求司法部长考虑为已经符合欧洲全球数据保护条例(GDPR)或正在实施安全计划的公司创建安全港条款。
在消费者方面,有委员担心,由于个人选择不出售个人资料,CCPA会向他们提供不同的价格、商品或服务水平,可能会影响低收入消费者。

1月14日论坛-圣地亚哥

出席圣地亚哥论坛的主要是工商界代表。会议的大部分内容集中在CCPA定义的范围上。

“个人信息”的定义范围再次引起了众多评论。人们关注的焦点集中在宽泛的术语上,比如家庭(是否包括成年子女或室友?)和“能够与之关联”,评论者认为这使得定义过于宽泛,以至于不明确,甚至可能无法执行。

又有人建议对规约进行修正或解释,以确保消费者的定义不包括雇员和就业信息。

几位网络安全代表建议,司法部长应考虑将CCPA中的定义与美国国家标准与技术协会(NIST)的定义进行匹配。一位发言者特别提到,CCPA和NIST标准之间定义的差异可能导致责任标准不明确,这将影响保险承保人及其对某些业务风险进行评估和投保的能力。其他人建议采用与GDPR中使用的相同的定义,以便为在两种制度下运作的公司建立统一的隐私程序。

发言人还要求澄清CCPA的非歧视条款是如何影响忠诚度计划的,这一点在之前的论坛上已经提过。

发言人再次要求司法部长指导如何核实消费者的要求。有人建议,司法部长可以创建一份核准的核查表格。

消费者权益倡导者敦促司法部长广泛地解释CCPA,因为私人诉讼权仅限于安全违规。

一位评论人士建议,为了平衡消费者和企业的需求,那些没有网络安全计划的企业可能被认为对安全入侵事件负有责任,而那些有网络安全计划的企业可以利用该计划作为对责任的积极抗辩。

1月24日和25日论坛
河滨和洛杉矶

(合并是因为在河滨只有4条评论)

消费者权益保护组织要求,IP地址和指纹应明确包括在识别信息的定义中。业内人士在这次会议和其他会议上的评论表明,他们不希望IP地址被包括在内。

消费者权益组织还建议,“选择退出”选项和要求披露应该只需要点击一两次即可完成,“选择退出”标识应该出现在每个网页上,而不仅仅是公司的主页。行业倡导者要求,选择退出标志的要求仅限于主页。

行业倡导者要求澄清CCPA中豁免的含义。CCPA豁免了已经受到HIPPA、GLBA、COPPA、加州Shine The Light法和FERPA保护的个人信息。然而,尚不清楚这些语言对收集可能受这些法律保护的信息以及可能不受这些法律保护的信息的组织有何作用。

消费者权益倡导者担心,低收入消费者会因收费而不是共享数据而受到不成比例的影响;相反,商业倡导者表示,有必要澄清司法部长将如何确定收费是否合理。

代表小企业的评论人士指出,由于资源有限,他们将难以遵守规定,因此将受到不同程度的影响。一些人建议,执法应首先集中在从事个人数据业务的大型公司。

企业还要求澄清将如何评估数据安全措施,以确定它们是否符合CCPA的要求。

发言者要求澄清销售和家庭的定义。商业倡导者还想知道记录的电话(比如客户服务中心经常使用的电话)是否包括在个人信息的定义中。

其他评论要求司法部长:

  • 开发一个统一的“不要出售我的信息”日志,类似于在AdChoices程序中选择退出的日志;
  • 就业务在采取执法行动时,需要保存何种记录以显示符合CCPA规定,提供指引;
  • 当企业只有有限的消费者信息时,就如何进行消费者请求验证提供指导;
  • 免除员工数据,并为那些在合规过程中的员工创建安全港条款。

看到公众论坛第二部分为萨克拉门托,弗雷斯诺和斯坦福论坛的摘要。

免责声明:本出版物由SixFifty, LLC准备,提供我们的读者感兴趣的关于加州消费者隐私法案的信息。其目的不在于为特定情况提供法律建议或建立律师-客户关系。SixFifty有限责任公司不提供法律咨询。