加利福尼亚州的数据隐私规则更加清晰

 
2月7日，星期五，加利福尼亚州总检察长办公室(CAG)发布了《加利福尼亚消费者隐私法》(CCPA)的“修改通知”，随后于2月10日星期一进行了更新。尽管CCPA现在是法律，法规制定过程仍在进行中，预计最终法律草案将于预计的2020年7月1日生效之前的某个时间。CAG现在正在接受公众对这些拟议修改的意见，直至2月25日星期二。
虽然最新的更新未提供最终法规，但在几个关键领域却需要非常明确的说明。
1.遵守CCPA流程的数据和业务范围更加清晰
去年12月CCPA听证会的重要教训之一是，该法律要求进一步澄清CCPA运作的必要条款。本月的更新通过提供定义，示例和其他澄清性语言，在减轻某些不确定性方面做得不错。一些重点包括：
澄清“个人信息”的定义。已创建一个标题为“关于CCPA定义解释的指南”(第999.302节)的新节。目前，只有一个小节(a)定义了CCPA下使用IP地址作为插图的符合个人信息(PI)的内容。关键要点在于，数据是否归类为PI取决于它是否(或可以)链接到消费者或家庭。给定本节的标题，以后可以用这种方式阐明其他术语。
指定了用于接受数据请求的新通信方法。第999.312节“提交知道请求和删除请求的方法”现在阐明，企业应该考虑通过“数据与消费者交互的主要方式”向消费者提出对数据的请求。 (a)小节规定，仅在线业务仅需提供电子邮件，供客户提交知道的请求。但是，有关如何接受删除请求的语言大致相同。
现在存在用于满足消费者要求知道的排除项。 §999.313的(c)小节中的新语言“响应了解的请求和删除的请求”排除了企业，如果满足多个条件，则无需搜索PI来满足消费者对数据的请求。企业不得以可搜索或合理可访问的格式维护PI，并且只能出于法律或合规目的维护PI。最后，企业不能出售PI或将其用于商业目的。如果企业将这些原因告知消费者，则可以免除必须将满足这些条件的PI包含在消费者的数据请求中。
现在，存在有关服务提供商如何使用PI的明确详细信息。第999.314节(服务提供者)详细介绍了任何定义为服务提供者的实体可以和不能使用PI做什么。具体而言，(c)节已被完全重写，以列出允许服务提供商保留，使用或披露个人信息的五个例外情况。例外之一允许服务提供商使用数据来改善其服务质量或清理和扩充数据。
除了这些要点外，建议的更改还详细说明了CCPA的范围，因为它适用于可以代表消费者提出请求的实体(如授权代理)以及数据经纪人和其他第三方。
2.现在，我们有更多关于退出请求和不跟踪的工作方式的详细信息
§999.315中的新语言“退出请求”表明，监管机构希望消费者的退出请求尽可能轻松。 (c)分节似乎措辞明确，旨在解决隐私控制中的UX“暗模式”问题，并指出“……企业不得使用旨在颠覆或损害消费者的决定的目的或实质影响而设计的方法。选择退出。”考虑到暗黑模式可能会帮助公司规避GDPR的某些部分，因此新的CCPA子部分很有意义，尽管目前尚不清楚如何执行。
此外，(d)(1)和(d)(2)小节讨论了全局隐私控件(例如不跟踪的浏览器设置)将在退出请求中扮演的角色。即使是在与消费者的业务特定设置冲突的情况下，根据CCPA起作用的隐私控制也应被视为退出请求。但是，企业可能会通知消费者有关冲突及其对服务的影响。
3.有关如何提供消费者通知的规则有新的细节
CCPA要求公司在与客户互动的特定时间告知消费者有关公司行为以及客户权利的信息。新的修改规定，在线CCPA所需的通知应遵循行业认可的可访问性标准，例如Web内容可访问性指南2.1版。
现在，关于特定通知的部分，例如收集个人信息时的通知(第999.305节)和选择退出销售权的通知(第999.306条)，都包含有关应在何处显示通知的详细信息。例如，第999.305(4)节中的修改规定，如果出于用户不合理预期的目的在移动应用程序中发生PI收集，则应提供“及时”通知，其中包含收集的PI的摘要。 §999.306中的修改说，可以通过应用程序设置菜单中的链接来提供移动应用程序中的退出通知。为了更全面地了解通知要求的更改方式，组织应更深入地研究这些部分。
隐私合规性下一步是什么?
从即日起至2月25日，CAG将通过电子邮件或邮件接受有关本轮CCPA修改的评论。从那里，我们可能会看到最终制定规则记录的过程。股份公司准备好最终规则制定记录和最终理由声明后，会将其提交给行政法办公室(OAL)批准。 30个工作日后，OAL将决定是否批准该记录。如果批准，最终记录将交给加利福尼亚州国务卿。所有这些都可能会在7月1日之前的某个时间发生，从而使所有散乱的人几乎没有时间进行重大更改。
尽管CCPA目前在每个人的脑海中，但加利福尼亚州法律只是在合规领域内正在发生的新变化的领头羊。除CCPA之外，组织还应注意被称为“ CCPA 2.0”的2020年《加利福尼亚州隐私权法案》(CalPRA)。加州消费者隐私小组希望在11月的投票中获得通过。内布拉斯加州，纽约以及其他一些州似乎也有意加入加利福尼亚州实施隐私法规。最后，其他国家(例如印度)的事态发展说明了对隐私法规的需求在国外如何增长。
遵守隐私权似乎确实是一个趋势。花费时间来全面确保CCPA遵从性的组织可能会拥有所需的系统，以确保遵守未来的法规。