2020年2月7日,加利福尼亚州总检察长发布了对他提出的法规的修改。虽然许多修改都是次要的,但其中一些是重大的,将产生严重的影响。
The Attorney General’s office will take comments on the proposed modifications until February 25. After the comment period closes, the AG will send the proposed regulations and its full record of the rulemaking process to California’s Office of Administrative Law (OAL), which has thirty days to approve or disapprove of it. If the process passes OAL review, the regulations will be sent to the Secretary of State for signature.
我们将在这篇文章中回顾一些主要的变化。你可以点击这里以查看拟议修改的全部红线文本。
退出按钮
拟议规定最新的更新是退出按钮。
CCPA呼吁司法部长办公室建立开发和使用统一选择退出销售按钮的规则,以便在其网站上使用。(CAL。CIV。代码§1798.185(4)(c))。We now have the AG’s proposal for what that opt-out button should look like — essentially a red background with a white button next to an ‘X’ that appears to the left of text that either reads “Do Not Sell My Personal Information” or “Do Not Sell My Info.” See提出了监管§999.306(f。)
该公司的提案还澄清,如果公司在隐私通知中明确表示他们不出售信息,就不需要这个按钮。出售个人信息的公司需要在通知中声明和他们的网站上需要这个按钮。
个人信息的定义
公司们要求修改CCPA对个人信息(PI)的宽泛定义,而AG似乎听取了他们的意见。CCPA对PI的定义如下:
“个人信息”指识别、涉及、描述、能够直接或间接与特定消费者或家庭关联或合理关联的信息。个人信息包括但不限于以下内容…如真实姓名、别名、邮政地址、唯一个人标识符、在线标识符等标识符互联网协议地址,电子邮件地址,帐户名称,社会安全号码,驾驶执照号码,护照号码或其他类似标识符。
(重点加了)
在新修订的拟议法规中,在“关于CCPA定义解释的指南”一节中,AG对IP地址是否属于个人信息进行了细微的调整。该提案限制PI基于业务是否维护信息以“识别的方式涉及描述,合理能够与特定的消费者或家庭合理地或间接地或间接地连接或间接地连接。”以一种方式然后,IP地址用于解释示例。提案国家:
例如,如果企业收集其网站访问者的IP地址,但没有将该IP地址与任何特定消费者或家庭链接,且无法合理地将该IP地址与特定消费者或家庭链接,则该IP地址将不属于“个人信息”。
这是一个重要的细微差别。它将定义的重点转移到信息维护的方式上——如果一个组织无法将UP地址连接到消费者或家庭,那么它就不必将IP地址视为PI。如果采用,这种细微差别可能会显著改变对CCPA的解释方式。
及时通知
在修改后的规定中,一个令人惊讶的变化是对“准时”通知的新要求。此前,企业通常采取的做法是,如果他们在每个网页上都张贴了隐私通知,那么他们就满足了CCPA的要求。
法令文本规定,“[a]收集消费者个人信息的企业应在收集点或之前,告知消费者收集的个人信息类别以及个人信息类别应使用。“1798.100 (b)。
然而,修改后的拟议法规规定,“在消费者将在收集点或之前遇到它的地方”应随时提供通知。该提案在其说明性例子中指出:当企业出于消费者不合理预期的目的从消费者的移动设备收集个人信息时,应提供即时通知,其中包含收集的个人信息类别摘要,并在收集时提供完整通知的链接。
例如,如果业务提供手电筒应用程序并且应用程序收集地理定位信息,则该业务将提供即时通知,例如当消费者打开应用程序时,通过弹出窗口,其中包含所需的信息这个小节。
该指南开始类似于gdp类型的注意方法。去年,在足球比赛期间,西班牙足球联赛(La Liga)被禁止违反GDPR的透明度条款,当时在足球比赛期间远程打开其应用程序的麦克风。La Liga听取了识别他们能听到被观看的游戏的位置,并且它将这些信息用于苏武器盗版游戏。在这种情况下,新的CCPA指导旨在提出一家公司必须有一个即时的弹出通知(可能在用户打开该应用程序时)通知用户将远程访问其麦克风和目的访问权限。
通知和“类别”
总检察长扩大了法定文本对“来源类别”的描述。根据该条例,受保护公司在接获消费者要求知情权时,必须披露其收集个人资料的来源类别。根据修改后的提案,“来源类别”指“企业从其中收集消费者个人信息的个人或实体的类型或分组,描述足够的特殊性,使消费者对人或实体的类型有一个有意义的理解。“这里的重要变化是需要统治描述的语言。AG提供了例子,包括直接来自消费者,并从广告网络,互联网服务提供商,数据分析提供商,政府实体,操作系统和平台,社交网络和数据经纪人提供。
CCPA还对“第三方类别”有特殊要求。
在响应了解的请求时,受保护的企业必须披露为业务目的而向其出售或披露消费者信息的第三方的类别。新规定解释说,第三方的类别“是指企业与之共享个人信息的第三方的类型或组合,描述了足够的特殊性,为消费者提供有意义的对第三方类型的理解。“与来源的类别一样,AG提供了说明性示例,包括:广告网络,互联网服务提供商,数据分析提供商,政府实体,操作系统和平台,社交网络和数据经纪人。
第三方类别和来源在拟议的法规中比在CCPA文本中更为重要,因为AG将它们作为通知要求的组成部分(这一更改最初在原拟议的法规中作出,但在修改版本中得到了进一步澄清)。
根据修改后的建议,私隐通知不仅必须指明在过去12个月内收集的消费者个人资料的类别,而且必须描述这些类别以一种方式为消费者提供有意义的了解所收集的信息。Furthermore, the AG’s proposed regulation instructs covered businesses to use their privacy notices to identify the categories of personal information they have sold or disclosed for business or commercial purposes in the preceding 12 months and the categories of third parties to whom each category of PI was sold or disclosed.
可访问性
AG给出了第一次直接,明确指导就如何判断如何获得可访问性要求。在新的拟议法规中,他指导涵盖业务,了解2018年6月5日的Web内容可访问性指南,从全球Web联盟到判断他们的通知是否符合可访问性要求。
对知情权请求的新豁免
公司还将高兴地看到,AG的提议将一个新的豁免纳入知情权请求。在谘询委员会的建议中,商户如符合下列所有条件,便无须在其系统内搜寻个人资料:
- 业务并未以可搜寻或合理查阅的格式保存个人资料;
- 企业仅出于法律或合规目的而保存个人信息;
- 该企业不出售个人信息,也不将其用于任何商业目的;和
- 该业务描述了消费者可能包含它没有搜索的个人信息的记录类别,因为它符合上述条件。
在回应知情权的要求时,总检察长还扩大了企业不应该公开的信息清单。这个列表现在包括:消费者的社会安全号码、驾驶执照号码或其他政府颁发的识别号码、金融账号、任何健康保险或医疗识别号码、账户密码、安全问题和答案,或通过测量或技术分析人类特征生成的独特生物特征数据。
总之
这些只是总检察长在修改后的拟议法规中所做的一些改变。其他的修改与删除请求(如果业务不能验证消费者的身份请求删除他们的信息,新提案要求公司询问消费者是否愿意退出销售和包括的内容或链接退出通知);服务提供者(如果服务提供者接收请求知道或请求删除从消费者,服务提供者应代表业务在回应请求或告知消费者请求不能采取行动,因为请求被发送到服务提供者);以及授权代理(概述了公司可以实施的需求)。
我们鼓励相关业务对修改进行深入审查。实践方面CCPA合规性由拟议的规定受到严重影响。如果您想向AG提交评论,您需要在2月24日之前这样做。您可以通过电子邮件提交注释PrivacyRegulations@doj.ca.gov。
*由于一个错误遗漏了对§999.317(g)的修改,AG在2020年2月10日重新发送了修改通知。
