企业出海数据合规:CCPA与CPRA的关系
2018年的《加州消费者隐私法》(CCPA)授予了消费者一系列关于企业如何收集他们个人信息的权利,并要求企业必须告知消费者有关信息的收集、使用和保留方式与期限等有关内容。
2020年,加利福尼亚选民批准了第24号提案,即《加利福尼亚隐私权法案》(CPRA)。CPRA为企业增加了额外的消费者隐私权利和义务来填补了CCPA的管辖漏洞。CPRA修正了CCPA,而不是创立一个独立的新法律。因此,通常将该法律称为“CCPA 2.0”或“经修订的CCPA”。CPRA对CCPA的修正于2023年1月1日生效。
虽然CPRA修改了CCPA,但它不会完全替代CCPA。CCPA仍然保留一些规定和要求,而CPRA添加了新的规定。因此,CPRA与CCPA之间存在一种补充关系,两者共同构成了加利福尼亚州的隐私法律框架。
CPRA与CCPA最明显的区别在于以下几点:
适用范围——CCPA和CPRA的区别在于,一方面CCPA适用于收集50,000名以上消费者个人信息的组织,而CPRA适用于收集100,000名以上消费者数据的组织。另一个方面,CCPA适用于年收入达到50%或以上的组织,而CPRA则还包含了共享个人信息,共享个人信息是指企业通过口头、书面或通过电子或其他方式向第三方披露个人信息,进行“跨语境行为广告”。
敏感个人信息——CPRA新增敏感个人信息,与《通用数据保护条例》(GDPR)涵盖的“特殊类别个人数据的处理”类似。GDPR的特殊类别数据(根据GDPR第9条)包括揭示一个人种族或民族起源、政治观点、宗教或哲学信仰、工会成员资格的信息;或有关个人健康、性生活或性取向的信息,以及出于身份识别目的而处理的遗传或生物特征数据。CPRA在其敏感个人信息规定中没有包括工会成员资格,但它包括了GDPR涵盖的所有其他类别,以及额外的类别,如政府颁发的标识符、财务账户信息、消费者通信和精确地理位置信息。
敏感个人信息包括消费者的社会保障、驾照、身份证、护照号码、登录账户、财务账户和凭证、精确地理位置、与出身和信仰相关的数据等。而在CCPA中,这些数据被归类为个人信息。
处罚——CPRA与CCPA的处罚标准是相同的,如果企业故意违规将罚款7500美元,非故意违规只处罚2500美元。不同之处在于,CPRA增加了对于未成年人(16 岁以下)个人信息的违规行为,处罚将增加三倍。
消费者请求——CPRA扩大了消费者可以向企业请求的信息范围,其中包括个人信息类别、收集来源类别、收集目的、第三方访问以及收集的具体信息。
消费者权利——CPRA增加了四项新的消费者权利,例如更正权、限制敏感个人信息的权利、访问和选择退出的权利以及数据可移植的权利。
删除权——第1798.105条包含删除权的关键条款,在保留CCPA建立的基本框架不变的情况下,CPRA为消费者提供了要求企业“删除企业从消费者那里收集的有关消费者的任何个人信息”的权利。另外收到消费者删除请求的企业必须通知并指示已购买或收到消费者个人信息的第三方删除该信息,而某些服务提供商和承包商也必须将删除请求传达给下游部门。
阅读更多:
深度分析-《数据视角下的隐私合规》
深度分析-《数据视角下的隐私合规 II》
深度分析-《数据视角下的隐私合规 III》
深度分析-EDPB个人数据泄漏通知指南摘要及合规建议
深度分析:EDPB数据主体权利-访问权指南摘要及合规建议
EDPB关于通过视频设备处理个人数据的指南摘要及合规建议
App隐私合规评估实务和要点
TikTok被罚3.5亿欧元,你应该知道以下几点
没错!非洲肯尼亚刚刚发布了3项隐私处罚
技术分享-动态脱敏
智能网联时代汽车行业数据合规挑战
隐私工程实践路径系列:PIA篇(上)
落地实践-数据分类分级实践难点
数据分类分级-敏感图片识别
深度解读-《个人信息保护合规审计管理办法(征求意见稿)》
隐私工程实践路径系列:PIA篇(下)技术助力
智能网联汽车如何做好用户告知
用九智汇分享:《数字经济合规实务》
数据分类分级-结构化数据识别与分类的算法实践
数据分类分级-隐私管理与保护
“Autosec 安全之星” 用九智汇再获殊荣!
汽车智能网联时代如何解决用户隐私问题?
数据分类分级-敏感数据识别工程实践
用九智汇参编《隐私工程白皮书》正式发布,附下载链接
喜讯!用九智汇入选IAPP中国区服务供应商
这家母公司位于中国的企业因数据问题遭到CNIL处罚!
垦丁律师事务所麻策律师一行到访用九智汇交流合作
用九智汇通过ISO 27001、ISO 27701双重认证
我撒过最多的谎:已阅读并同意相关协议
用九智汇受邀参加WELEGAL与六和律师事务所线下沙龙活动:《数据如何合规出境》
用九智汇入选《数据安全保护义务履行参考案例集》
数字水印在知识产权保护中的应用?
最新!H&M因隐私问题遭到瑞典IMY处罚
第三方SDK合规浅析
关于个人信息权利与响应,你知道多少?
深度分析:EDPB跨境数据合规指南-BCRs认证
深度分析:EDPB关于GDPR下行政罚款计算的指南V2.1
GDPR开发者指南
智能网联汽车行业数据合规解决方案(上)
企业出海数据合规:选择加入和选择退出
企业出海数据合规:CCPA与CPRA的关系
企业出海合规:GDPR和CCPA差异知多少
EDPB-关于在联网车辆和移动相关应用中处理个人数据的第01/2020号指南2.0版(全文翻译)
智能网联汽车行业数据合规解决方案(下)
企业出海如何做好网站Cookie合规
企业出海数据合规:“躲不了”的GDPR域外管辖