- 国外数据保护法律选编
- 丁道勤,姜文等编译
- 44630字
- 2025-05-12 16:59:17
目录
第1条:标题
第2条:调查结果和声明
第3条:目的和意图
A.消费者权利
B.企业责任
C.法律的实施
第4条:收集个人信息的企业的一般责任
第5条:消费者删除个人信息的权利
第6条:消费者更正不准确个人信息的权利
第7条:消费者有权知晓正在收集的个人信息。个人信息查阅权
第8条:消费者有权知道出售或共享的个人信息以及向谁出售或共享
第9条:消费者选择退出出售或共享个人信息的权利
第10条:消费者限制使用和披露敏感个人信息的权利
第11条:消费者选择退出或者行使其他权利后免于报复的权利
第12条:通知、披露、更正和删除要求
第13条:出售、共享和使用个人信息以及使用敏感个人信息的限制方法
第14条:定义
第15条:豁免
第16条:个人信息安全泄露
第17条:行政执法
第18条:消费者隐私基金
第19条:冲突条款
第20条:优先
第21条:细则
第22条:防止规避
第23条:弃权
第24条:建立加利福尼亚州隐私保护局
第25条:修改
第26条:可分割性
第27条:相互冲突的倡议
第28条:诉讼资格
第29条:解释
第30条:保留条款
第31节:生效和执行日期
第1条 标题
本措施应被称为并可被引用为《2020年加利福尼亚州隐私权法》。
第2条 调查结果和声明
加利福尼亚州居民特此发现并宣布以下全部内容:
A.1972年,加州选民修改《加州宪法》,将隐私权列入所有人“不可剥夺”的权利之列。当代社会数据收集和使用行为不断增长,导致个人自由和安全侵权现象加剧,为此,加州选民采取行动。该修正案为每位加州居民确立了一项合法且可执行的宪法性隐私权。这项隐私权的基础是个人具有控制其个人信息使用(包括出售)的能力。
B.加州选民批准宪法性隐私权以来,加州立法机关引入了多项保护加州选民隐私的具体机制,包括《在线隐私保护法》《数字世界下的加州未成年人隐私权法》和《照亮》(“Shine the Light”)。但是,消费者仍然无权了解企业收集了哪些关于他们的个人信息以及其是如何使用这些信息的,也无权指挥企业不要出售消费者的个人信息。
C.改变发生在2018年。当时,超过62.9万名加州选民签署请愿书,为《2018年加州消费者隐私法》争取投票资格。争取投票资格的回应是,立法机关随即将《2018年加州消费者隐私法》 (CCPA)上升为法律。CCPA赋予加州消费者了解企业收集到的消费者信息的权利,要求企业删除消费者的个人信息,阻止企业出售消费者的个人信息,包括阻止企业追踪并利用消费者网站间的浏览行为信息并向消费者定向投放广告,以及追究没有采取个人信息保护措施的企业的责任。
D.立法机关甚至还在2019年CCPA生效之前审议了诸多CCPA修改法案,其中一些法案将显著削弱CCPA。如果加州选民不采取行动,未来立法可能会破坏消费者得之不易的权利。
E.加利福尼亚州应逐步加强隐私权,而非淡化隐私权。许多企业收集、使用消费者个人信息,很多时候,消费者并不知道企业在使用和留存其个人信息。实践中,消费者经常签订此类合同协议,消费者以其关注或个人信息为交换,获得某种商品或服务,而无须支付金钱。消费者用来交换商品或服务的个人信息的价值往往是不透明的,其价值取决于企业实践,因此,消费者往往不具备良好的交易价值评估办法。同时,合同约定或政策条款中列明的安排往往是复杂而不明确的,导致大多数消费者缺乏阅读或理解时间。
F.这种信息不对称导致消费者难以理解他们交换出去的是什么,从而难以与企业进行有效谈判。不同于消费者可以进行比较购物或一眼就能判断某项商品或服务是昂贵的还是负担得起的其他经济领域,消费者很难知道消费者信息在某个特定企业那里的价值,因为各个企业的数据使用实践差别很大。
G.因此,国家有必要制定法律,使消费者能够更充分地了解他们的信息是如何被使用的以及被用于何种目的。就像食品包装上的原材料标签能帮助消费者更有效地购物一样,数据管理实践的相关披露也可以帮助消费者在数字经济中获得更多信息,从而促进竞争。此外,如果消费者可以直接告诉企业不得出售数据,那么消费者就不必在隐私政策中费力查找企业有无出售数据(事实上,企业都会这么做),因此节省下来的时间总体上是非常可观的。
H.消费者需要更强有力的法律,使他们在与企业谈判时能够获得更平等的地位,以保护他们的权利。消费者应有权得到关于其个人信息用途的明细解释包括信息是如何用于广告的,有权控制、纠正或删除这些信息包括允许消费者限制企业使用其敏感个人信息以助于防范身份盗窃,有权选择不出售、不分享其个人信息,并有权要求企业纠正与他们有关的不准确信息。
I.加州在许多重塑人类社会的新技术上引领世界。一个没有互联网这一最重大的人类发明以及基于互联网而产生的新型服务和新型业务的世界是无法想象的,而其中有许多就是在加州这里被发明的。互联网最成功的商业模式之一就是依靠广告赚钱的服务,和向消费者收取费用的服务形成鲜明对比。以广告为支撑的服务已经存在了好几代,对消费者和企业来说都是一个很好的模式。然而,如今有一些广告企业利用对消费者不透明的技术和工具,大量收集和交易个人信息,全网追踪消费者,对消费者个人兴趣建立详细档案。一些不向消费者收取费用的公司,将消费者的个人信息商业化,以贴补企业服务。消费者应该具备必要的信息和工具,将他们的信息使用限制在非侵入性的隐私广告中,意即消费者可以选择他们的个人信息不被出售或分享给数百家他们从未听说过的企业。如果没有这些工具,消费者基本不可能真正理解他们在与形形色色的企业互动时所签订的合同。
J.从谈判来看,儿童的隐私权尤其脆弱。家长应具备能够控制其年幼子女的哪些相关信息被收集和出售或分享的能力,并有权要求公司删除收集其子女的相关信息。
K.企业还应该就数据安全泄露向消费者承担直接责任,还应在牵涉到消费者最敏感的信息时通知消费者。
L.一个以保护消费者隐私为使命的独立监察机构,应该确保企业和消费者充分了解自己的权利和义务,并对侵犯消费者隐私权的企业严格执法。
第3条 目的和意图
出于进一步保护消费者权利包括宪法规定的隐私权的目的和意图,加利福尼亚州居民制定本法。本法的实施应遵循以下原则:
A.消费者权利
1.消费者应该知道谁在收集他们及其子女的个人信息、这些信息是如何被使用的以及这些信息的披露对象是谁,掌握必要的信息之后,消费者方可对企业使用他们及其子女的个人信息进行有意义的控制。
2.消费者应该能够控制其个人信息的使用,包括限制其敏感个人信息的使用,未经授权使用或披露敏感个人信息给消费者带来伤害的风险更大,消费者应有权对如何收集、使用和披露这些信息做出有意义的选择。
3.消费者应该能够查阅自己的个人信息,并且应该能够更正、删除这些信息,并且能够把这些信息从一个企业带到另一个企业。
4.消费者或其授权代理人应能通过易于获取的自助工具行使上述选择权。
5.消费者行使这些权利时,不应受到惩罚。
6.消费者应该能够要求没有对黑客侵犯和安全泄露采取合理防范措施以保护消费者最敏感的个人信息的企业承担责任。
7.消费者应该从企业对其个人信息的使用中获益。
8.考虑到雇员或独立承包商与企业的关系不同于消费者与企业的关系,雇员和独立承包商的隐私利益也应得到保护。此外,本法无意干涉《国家劳动关系法》规定的组织和集体谈判权。该法的目的和意图是将本标题关于雇员和企业的通信的豁免延长至2023年1月1日。
B.企业责任
1.企业应具体、明确告知消费者其如何收集和使用个人信息,以及消费者如何行使权利和选择。
2.企业收集消费者个人信息只能出于具体的、明确的、合法披露的目的,不得以与这些目的不兼容的理由进一步收集、使用或披露消费者的个人信息。
3.企业应仅限在与收集、使用和共享个人信息的目的相关的必要限度内,收集消费者的个人信息。
4.企业应向消费者或其授权代理人提供易于获取的方式,使消费者及其子女能够获取其个人信息,能够删除或更正其个人信息,能够选择不在商业平台、服务、业务和设备之间出售和共享其个人信息,并限制其敏感个人信息的使用。
5.企业不得因消费者行使这些权利而对其进行惩罚。
6.企业应采取合理的防范措施,保护消费者的个人信息免于安全漏洞。
7.当企业侵犯消费者的隐私权时,应追究其责任;当侵权行为影响到儿童时,应加重处罚。
C.法律的实施
1.应以强化消费者隐私保护为目标,落实消费者权利和企业责任,同时对企业和创新产生的影响给予关注。消费者隐私保护与有益新产品和服务的开发二者目标并不必然互斥。强有力的消费者隐私权会激发创新和开发的隐私保护新产品的动力。
2.企业和消费者应该能够获得关于其责任和权利的明确指导。
3.法律应该能够让消费者在与企业就消费者个人信息的商业使用的谈判中处于知情、自由的地位。
4.法律应根据技术变化进行调整,帮助消费者行使权利,并协助企业遵守加强消费者隐私保护这一持续性目标。
5.法律应使消费者能够获得新的产品和服务,并提升企业的执行有效性,但前提是修正案不损害或削弱消费者隐私。
6.如有必要,应修改法律以改善其运作,但前提是修改后的法律不损害或削弱消费者隐私,同时对商业和创新产生的影响给予关注。
7.应通过严格的行政与民事执法,追究企业的违法责任。
8.在促进消费者隐私和企业合规的限度内,本法应与其他司法辖区内的隐私法保持一致。
第4条 《民法典》第1798.100节修订如下:
1798.100.收集个人信息的企业的一般责任
1798.100.(a)消费者有权要求收集消费者个人信息的企业向消费者披露该企业收集的个人信息的类别和具体内容。
(a)控制消费者个人信息收集的企业应在收集时或在收集前告知消费者以下内容:
(1)拟收集的个人信息的类别和收集或使用该类个人信息的目的,以及该信息是否被出售或共享。在未向消费者提供符合本条规定的通知之前,企业不得收集其他类别的个人信息,或将收集到的个人信息用于与披露的个人信息的收集目的不一致的其他目的。
(2)如果企业收集敏感个人信息,应说明拟收集的敏感个人信息的类别和收集或使用该类敏感个人信息的目的,以及是否出售或共享该信息。在未向消费者提供符合本条规定的通知之前,企业不得收集其他类别的敏感个人信息,或将收集的敏感个人信息用于与披露的敏感个人信息的收集目的不一致的其他目的。
(3)企业对各类个人信息(包括敏感个人信息)的拟保留时限,如无法告知拟保留时限,则告知保留时限的确定标准,前提是消费者个人信息或敏感个人信息的保留时限不得超过披露的各收集目的的合理必要时间。
(b)控制消费者个人信息收集的第三方企业,可通过在其互联网网站主页上以显著、醒目的方式提供规定信息,履行(a)项规定义务。此外,如果第三方企业控制在其场所(包括在车辆中)消费者个人信息的收集行为,那么该企业应在收集时或收集前,以明确、醒目的方式,在该地点向消费者告知拟收集的个人信息的类别和使用该类个人信息的目的,以及是否出售该个人信息。
(c)企业对消费者个人信息的收集、使用、保留和共享,应是为实现收集或处理个人信息的目的或是为实现与个人信息收集场景相一致的其他披露目的所合理必要且相称的,且不以与上述目的不一致的方式进一步处理个人信息。
(d)收集消费者个人信息并将其出售给第三方或与第三方共享,或出于商业目的将其披露给服务提供商或承包商的企业,应与第三方、服务提供商或承包商签订协议,该协议应:
(1)明确该企业只得为有限且指定目的出售或披露个人信息。
(2)要求第三方、服务提供者或承包商遵守本标题下的适用义务,并要求其提供与本标题要求的同等程度的隐私保护。
(3)授权该企业采取合理、适当步骤,以帮助确保第三方、服务提供者或承包商以符合该企业在本标题下的义务的方式使用传输的个人信息。
(4)要求第三方、服务提供者或承包商在确定其不能再履行本标题下的义务时,通知该企业。
(5)授权该企业在接到第(4)款规定的通知后,有权采取合理、适当步骤,停止和纠正未经授权使用个人信息的行为。
(e)收集消费者个人信息的企业应根据第1798.81.5节规定,实施与个人信息性质相适应的、合理的安全程序和做法,以保护个人信息不被未经授权的方式或非法获取、破坏、使用、修改或披露。
(f)本条中的任何内容都不得要求企业披露根据第1798.185节第(a)条第(3)款通过的条例中规定的商业秘密。
(c)企业只有在收到可核实的消费者请求时,才应向消费者提供(a)项规定的信息。
(d)企业收到消费者提出的可核实的查阅个人信息的请求后,应立即采取措施,向消费者免费披露和交付本条所要求的个人信息。该信息可通过邮寄或电子方式交付,如果以电子方式提供的信息,其格式应是可移植的,并在技术可行的情况下,使消费者能够不受阻碍地将该信息传送给另一实体。企业可在任何时候向消费者提供个人信息,但不得要求企业在12个月内向消费者提供个人信息超过两次。
(e)本条不应要求企业保留任何为单一、一次性交易而收集的个人信息,如果这些信息没有被企业出售或保留,也不应要求企业重新识别或以其他方式链接那些没有以被视为个人信息的方式保存的信息。
第5条 《民法典》第1798.105节修订如下:
1798.105.消费者删除个人信息的权利
1798.105.(a)消费者有权要求企业删除从该消费者处收集的个人信息。
(b)收集消费者个人信息的企业应根据第1798.130节的要求,告知消费者有权要求删除其个人信息。
(c)(1)根据本节第(a)条规定,收到消费者要求删除其个人信息的可验证请求的企业应当从其记录中删除消费者个人信息,并指示通知所有服务提供商或承包商从其记录中删除消费者个人信息,并通知其出售或分享个人信息的所有第三方删除该消费者的个人信息,被证实不可行或须付出不相称的努力的除外。
(2)该企业可以在本标题允许范围内对删除请求进行保密记录,但仅出于防止提出删除请求的消费者的个人信息被出售、遵守法律或其他目的。
(3)服务提供者或承包商应配合该企业对可核实的消费者请求作出答复,并根据企业指示,删除或使该企业能够删除并通知自己的所有服务提供者或承包商删除服务提供者或承包商收集、使用、处理或保留的与该消费者有关的个人信息。服务提供者或承包商应通知服务提供者或承包商或通过服务提供者或承包商获取个人信息的第三方,删除消费者的个人信息,依照该企业指示获得的信息除外,被证实不可行或须付出不相称的努力的除外。如果服务提供者或承包商以该企业的服务提供者或承包商的身份收集、使用、处理或保留消费者的个人信息,则不应要求服务提供者或承包商遵守消费者直接向服务提供者或承包商提出的删除请求。
(d)如果该企业、服务提供者或承包商基于与该企业、另一服务提供者或另一承包商按合同行事,且该企业、服务提供者或承包商保留该消费者的个人信息是实现下列目的之合理必要的,则其不应被要求遵守消费者请求删除其个人信息的规定:
(1)完成收集个人信息的交易,履行根据联邦法律进行的书面保证或产品召回的条款,提供消费者要求的或消费者基于企业与消费者持续的业务关系所合理预期的商品或服务,或以其他方式履行企业与消费者之间的合同。
(2)检测安全事件,防范恶意行为、欺骗、欺诈或非法活动,或起诉该活动负责人。帮助确保消费者个人信息的安全性和完整性,且对该个人信息的使用是实现该目的之合理必要且相适应的。
(3)调试以识别和修复因损害现有预期功能而产生的错误。
(4)行使言论自由,确保其他消费者行使言论自由的权利,或行使法律规定的其他权利。
(5)遵守《刑法》第2部分第12标题项下第3.6章(从第1546节开始)《加州电子通信隐私法》。
(6)出于公共利益之目的,参与遵守或符合其他全部适用道德和隐私法律的、公开的或有同行评审的科学、历史或统计研究,且企业删除该信息很可能导致研究无法进行或导致完成研究的能力遭到严重损害的,前提是消费者已提供了知情同意。
(7)符合消费者合理预期的企业内部使用,该预期的依据是消费者与企业的关系且与消费者提供该信息的场景相一致。
(8)遵守法定义务。
(9)以其他方式在内部合法使用消费者的个人信息,并与消费者提供信息的背景相符。
第6条 《民法典》第1798.106节增设如下:
1798.106.消费者更正不准确个人信息的权利
(a)消费者有权根据个人信息的性质和处理个人信息的目的,要求保存消费者不准确个人信息的企业更正该不准确的个人信息。
(b)收集消费者个人信息的企业应根据第1798.130节规定,告知消费者具有要求更正不准确的个人信息的权利。
(c)收到可核实的消费者要求更正不准确的个人信息的企业,应根据第1798.130节和基于第1798.185节第(a)条第(8)款通过的条例,按照消费者的指示,作出商业上合理的努力,更正不准确的个人信息。
第7条 《民法典》第1798.110节修订如下:
1798.110.消费者有权知晓正在收集的个人信息。个人信息查阅权
1798.110.(a)消费者有权要求收集消费者个人信息的企业向该消费者披露如下信息:
(1)企业收集的关于该消费者的个人信息类型。
(2)收集的个人信息来源的类型。
(3)收集、出售或共享个人信息的业务或商业目的。
(4)企业向其共享披露个人信息的第三方的类型。
(5)企业收集的关于消费者个人信息的具体条目。
(b)在收到消费者提出的可核实的消费者请求时,收集消费者个人信息的企业应根据第1798.130节第(a)条第(3)款第(B)项向消费者披露第(a)条规定的信息,但前提是企业应被视为符合第(a)条第(1)至(4)款全部规定,只要其根据第(a)条第(1)至(4)款全部规定对消费者披露的信息类别和收集、出售和共享信息的业务或商业目的与企业根据第(c)条第(1)至(4)款全部规定披露的信息相同。
(c)收集消费者个人信息的企业应当根据第1798.130节第(a)条第(5)款第(B)项披露:
(1)企业收集的关于该消费者的个人信息的类型。
(2)收集的个人信息来源的类型。
(3)收集、出售或共享个人信息的业务或商业目的。
(4)企业向其共享披露个人信息的第三方的类型。
(5)消费者有权请求获取企业收集的关于该消费者的个人信息的具体条目。
(d)本条并不要求企业实施下列行为:
(1)保留任何为一次性交易而收集的消费者的个人信息,如果在正常业务过程中,没有保留该消费者的信息。
(2)重新识别或以其他方式连结任何在正常业务过程中没有以会被视为个人资料的方式保存的资料。第8条 《民法典》第1798.115节修订如下:
1798.115.消费者有权知道出售或共享的个人信息以及向谁出售或共享
1798.115.(a)消费者有权要求出售、共享消费者个人信息或者为商业目的披露消费者信息的企业向消费者披露:
(1)该企业收集的关于该消费者的个人信息类型。
(2)企业出售或共享的消费者个人信息类型以及该等个人信息所出售或共享到的第三方的类型,通过该等个人信息所出售或共享到的第三方类型的个人信息类型。
(3)企业出于商业目的而披露的消费者个人信息的类型,以及出于商业目的而向其披露的人员类别。
(b)出售或共享消费者个人信息或为商业目的披露消费者个人信息的企业在收到经核实的来自消费者的请求后,应当依据第1798.130节第(a)条第(4)款向该消费者披露第(a)条规定信息。
(c)出售或共享消费者个人信息或为商业目的披露消费者个人信息的企业应当依据第1798.130节第(a)条第(5)款第(C)项披露:
(1)该企业所出售或共享的消费者个人信息的类型,或者如果该企业尚未出售或共享消费者个人信息的,则其应当披露该等事实。
(2)该企业为商业目的披露的消费者个人信息的类型,或者如果该企业尚未为商业目的披露消费者个人信息的,则其应当披露该等事实。
(d)第三方不得出售或共享由企业出售或共享给该第三方的消费者个人信息,除非该消费者收到了明示通知并且被提供了依据第1798.120节行使“选择退出”权的机会。
第9条 《民法典》第1798.120节修订如下:
1798.120.消费者选择退出出售或共享个人信息的权利
1798.120.(a)消费者有权在任何时间指示出售或共享消费者个人信息给第三方的企业不得出售或共享该消费者的个人信息。本项权利可被称作“选择退出出售或共享”权。
(b)向第三方出售或共享消费者个人信息的企业应依据第1798.135节第(a)条通知消费者该等信息可能会被出售或共享并且消费者对于出售或共享其个人信息拥有“选择退出”权。
(c)尽管有第(a)条规定,如果企业实际知悉消费者年龄低于16岁,企业不应出售或共享该消费者的个人信息,除非消费者的年龄是不低于13岁但低于16岁,或父母或监护人已明确授权企业可以出售或共享年龄低于13岁的消费者的个人信息。故意忽视消费者年龄的企业应被视为其已实际知悉该消费者年龄。该项权利被称为“选择进入”权。
(d)收到消费者不得出售或共享其个人信息指示的企业,或是未获得未成年人同意而出售或共享未成年消费者个人信息的企业,根据第1798.135节第(c)条第(4)款规定,收到该消费者的指示后,不得出售或共享该消费者的个人信息,除非该消费者随后同意明确授权出售或共享其个人信息。
第10条 《民法典》第1798.121节增设如下:
1798.121.消费者限制使用和披露敏感个人信息的权利
1798.121.(a)消费者有权在任何时候指示收集消费者敏感个人信息的企业,将其对消费者敏感个人信息的使用限制在为履行或提供要求这类商品或服务的一般消费者合理预期内,以履行第1798.140节第(e)条第(2)、(4)、(5)和(8)款以及根据第1798.185节第(a)条第(19)款第(C)项通过的法规授权的服务。为本小节规定以外的目的使用或披露消费者敏感个人信息的企业,应根据第1798.135节第(a)条向消费者发出通知,说明该信息可能会出于其他特定目的,被使用或向服务提供商或承包商披露,并且告知消费者有权限制其敏感个人信息的使用或披露。
(b)根据第1798.135节第(c)条第(4)款规定,除第(a)条授权外,收到消费者不得使用或披露消费者敏感个人信息指示的企业,在收到消费者指示后不得为任何其他目的使用或披露消费者敏感个人信息,除非消费者随后同意为其他目的使用或披露消费者敏感个人信息。
(c)协助企业履行第(a)条授权目的的服务提供者或承包商,在收到企业指示后,在其实际知悉该个人信息是敏感个人信息后,不得将敏感个人信息用于任何其他目的。按照要求,服务提供者或承包商只需对其基于与该企业签订的书面合同收到的敏感个人信息限制使用,以回应企业指示,且仅限于与该企业的关系范围内。
(d)根据第1798.185节第(a)条第(19)款第(C)项通过的条例的进一步规定,不以推断消费者特征为目的而收集或处理的敏感个人信息不受本条约束,并应被作为实现本法其他所有条款(包括第1798.100节)之目的的个人信息进行处理。
第11条 《民法典》第1798.125节修订如下:
1798.125.消费者选择退出或者行使其他权利后免于报复的权利
1798.125.(a)(1)企业不得因为消费者行使本标题下的消费者权利而歧视消费者,包括但不限于:
(A)拒绝向消费者提供商品或服务。
(B)对商品或服务收取不同的价格或费率,包括给予不同的折扣、其他福利或处罚。
(C)向消费者提供不同等级或质量的商品或服务。
(D)暗示消费者将获得不同价格或费率的商品或服务,或者暗示将向消费者提供不同级别或质量的商品或服务。
(E)对第1798.145节第(m)条第(2)款第(A)项所定义的雇员、就业申请人或独立承包人行使本标题下的权利进行报复。
(2)根据第(B)项规定,本款并不禁止企业向消费者收取不同的价格或费率,或向消费者提供不同级别或质量的商品或服务,如果此种差异与消费者向企业提供的数据的价值有合理相关性。
(3)本款不禁止企业提供符合本标题的忠诚折扣、奖励、高级功能、折扣或俱乐部卡计划。
(b)(1)企业可以为个人信息的收集、出售、共享或删除保存提供财务激励,包括向消费者支付赔偿金。企业还可以以不同的价格、费率、级别或质量向消费者提供商品或服务,如果价格或差异与消费者向企业提供的数据的价值有直接合理相关性。
(2)企业根据本款规定向消费者提供财务激励的,应根据第1798.130节规定通知消费者。
(3)只有当消费者根据第1798.130节规定对企业给予事先选择进入同意的情况下,企业才可以将消费者纳入财务激励计划中,企业应在同意中明确列明财务激励计划的实质性条款,并且消费者可以随时撤销同意。如果消费者拒绝提供选择进入同意,企业应至少等待12个月后方可再次请求消费者提供选择进入同意,或遵照第1798.185节通过的条例的规定。
(4)企业不得采用任何不正当、不合理、强制性或有高利贷性质的财务激励措施。
第12条 《民法典》第1798.130节修订如下:
1798.130.通知、披露、更正和删除要求
1798.130.(a)为遵守第1798.100、1798.105、1798.110、1798.115和1798.125节规定,企业应该以一种消费者可以合理获得的形式:
(1)(A)向消费者提供两种或更多种指定方法,用于提交根据第1798.110、1798.115节要求披露信息的请求,或者是根据第1798.105、1798.106节要求删除或更正的请求,至少有一个可以免费拨打的电话号码。仅开展在线运营业务且与其收集个人信息的消费者有直接关系的企业仅需提供一个电子邮箱地址,用于提交根据第1798.110、1798.115节要求披露信息的请求,或者是根据第1798.105、1798.106节要求删除或更正的请求。
(B)如果企业有互联网网站的,确保该网站可供消费者提交根据第1798.110、1798.115节要求披露信息的请求,或者是分别根据第1798.105、1798.106节要求删除或更正的请求。
(2)(A)在收到消费者的请求且经核实后45日内向消费者免费披露并向其提供所需信息、更正不准确的个人信息或者删除消费者个人信息。企业应立即采取措施确定该请求是否可验证,但企业在收到消费者请求后45日内披露和交付信息、更正不准确的个人信息或删除消费者个人信息的义务的履行期限不因此而延长。只有在合理必要的情况下,企业提供消费者所需信息、更正不准确的个人信息或者删除个人信息的履行期限可再延长45日,但前提是企业在第一个45日期限内向消费者发出了延期通知。披露应涵盖企业收到可核实的消费者请求之前的12个月期间,并且应以书面形式提交,如果消费者持有该企业的用户账户,则应通过消费者的用户账户来交付,如果消费者未开设该企业的用户账户的,则通过邮件或其他消费者自行选择的电子方式来交付,但无论如何都应有一种便捷有效的方式允许消费者在不受阻碍的情况下将这些信息从一个实体传输到另一个实体。企业可根据所请求的个人信息的性质在合理范围内要求消费者进行身份鉴定,但不得要求消费者为提出需经核实的消费者请求而创建该企业的用户账户。企业可要求消费者通过使用用户账户提交可核实的消费者请求,如果前提是消费者已经有该企业的用户账户。
(B)所需信息的披露应涵盖企业收到可核实的消费者请求之前的12个月期间,但根据第1798.185节第(a)条第(9)款通过的条例,消费者可要求企业披露12个月期间更早之前的所需信息,企业应按要求提供该信息,被证实不可行或须付出不相称的努力的除外。消费者要求提供12个月期间更早之前所需信息的权利和企业提供该信息的义务,只适用于2022年1月1日或之后收集的个人信息。本项中的任何内容均不得要求企业无期限地保存个人信息。
(3)(A)根据第1798.110节或第1798.115节收到可核实的消费者请求的企业,应直接或间接,包括通过或凭借服务提供者或承包商,向消费者披露其收集的有关消费者的任何个人信息。根据第1798.110节或第1798.115节,服务提供者或承包商以服务提供者或承包商身份收集有关消费者的个人信息时,服务提供者或承包商无须遵守直接从消费者或消费者的授权代理人那里收到的可核实的消费者请求。服务提供者或承包商应向与其有合同关系的企业提供协助,协助该企业对可核实的消费者请求作出回应,包括但不限于向该企业提供服务提供者或承包商所掌握的、因向该企业提供服务而获得的消费者个人信息,以及更正不准确的信息或使该企业也能更正不准确的信息。服务提供商或承包商基于与企业签订的书面合同收集个人信息的,应考虑到处理的性质,通过适当的技术和组织措施协助企业遵守第1798.100节第(d)至(f)条全部要求。
(B)为第1798.110节第(b)条之目的:
(A)(i)将消费者在其经核实的消费者请求中提供的信息与企业先前收集的有关该消费者的任何个人信息相结合,以识别该消费者。
(B)(ii)通过适用时间内收集的12个月期间内的与消费者相关的某一类或多个类型个人信息[参考描述收集个人信息最详细的第(c)条];消费者个人信息收集来源的类别;收集、出售或共享消费者个人信息的商业或商业目的;以及企业向其披露消费者个人信息的第三方的类别,进行识别。
(iii)以一般消费者容易理解的格式,并在技术可行的情况下,以结构化的、常用的、机器可读的格式,提供从该消费者处获得的特定个人信息,并可应消费者请求将该特定个人信息不受阻碍地传送给另一个实体。“特定信息”不包括为帮助确保安全性和完整性而产生的数据,或法规规定的数据。当消费者为切换服务而指示企业将其个人信息从一家企业转移到另一家企业时,不视为企业披露个人信息。
(4)为第1798.115节第(b)条之目的:
(A)将消费者在其经核实的消费者请求中提供的信息与企业先前收集的有关该消费者的任何个人信息相结合,以识别该消费者。
(B)通过在适用时间内12个月期间内的出售或共享的与消费者相关的某一类或多个类型个人信息[参考描述收集个人信息最详细的第(c)条]识别,并提供企业在适用时间内12个月期间内的出售或共享消费者的个人信息的第三方的类型[参考描述出售和共享个人信息最详细的第(c)条]。企业应将所披露的信息生成一个清单,该清单与因第(C)项之目的而生成的清单不同。
(C)通过企业在适用时间内12个月期间内的为商业目的而披露的消费者个人信息的一类或多个类型[参考描述收集个人信息最详细的第(c)条列举的一类或多个类型]识别,并提供企业在适用时间内12个月期间内的为商业目的而将消费者个人信息披露给他人的人员第三方类别。企业应将所披露的信息生成一个清单,该清单与因第(B)项之目的而生成的清单不同。
(5)如果企业有在线隐私政策或政策,在其互联网网站上的在线隐私政策或政策中披露以下信息;如果企业没有这些政策,则在任何加州特定的消费者隐私权利描述中披露以下信息,并至少每12个月更新一次:
(A)关于第1798.100、1798.105、1798.110、1798.115和1798.125节规定的消费者权利以及两种或更多种指定的提交请求的方法的描述,但第(a)条第(1)款第(A)项规定情形除外。
(B)为第1798.110节第(c)条之目的:
(i)关于企业在过去12个月内收集的有关消费者个人信息的类型的清单[参考描述已收集的个人信息最详细的第(c)条]。
(ii)已收集的消费者个人信息的来源的类型。
(iii)收集、出售或分享消费者个人信息的企业或商业目的。
(iv)企业披露消费者个人信息的第三方的类别。
(C)为第1798.115节第(c)条第(1)和(2)款之目的,列出的两个独立清单:
(i)关于企业在过去12个月内所出售或共享的消费者个人信息的类型[参考描述出售或共享个人信息最详细的第(c)条列出的一种或多种类型]的清单,或者如果该企业在过去12个月内没有出售或共享消费者个人信息的,企业应立即在隐私政策中披露该事实。
(ii)关于企业在过去12个月中出于商业目的而披露的有关消费者个人信息的类型[参考描述披露的个人信息最详细的第(c)条]的清单,或者如果企业在过去12个月内未出于商业目的而披露消费者个人信息的,则企业应披露该事实。
(6)确保所有处理消费者针对企业隐私做法或企业遵守本标题的询问的负责人员知晓第1798.100、1798.105、1798.106、1798.110、1798.115、1798.125节和本节的所有要求,以及知晓如何指导消费者行使这些条款规定的权利。
(7)企业为核实消费者的请求而从消费者处收集到的任何个人信息只得用于核实之目的,不得进一步披露个人信息,为核实之目的保留个人信息不得超过必要时间,不得用于无关目的。
(b)企业没有义务在12个月内向同一消费者提供第1798.110和1798.115节规定信息超过两次。
(c)根据第1798.100、1798.110和1798.115节要求披露的个人信息类别应遵循第1798.140条中关于个人信息和敏感个人信息的定义,使用第1798.140节第(v)条第(1)款第(A)至(K)项规定的具体术语来描述个人信息的类型,使用第1798.140节第(ae)项第(1)至(9)款规定的具体术语来描述敏感个人信息的类型。
第13条 《民法典》第1798.135节修订如下:
1798.135.出售、分享和使用个人信息以及使用敏感个人信息的限制方法
1798.135.(a)为第1798.121节第(a)条授权以外的目的,出售或分享消费者个人信息被要求遵守1798.120节规定的,或使用或披露消费者敏感个人信息的企业,应采取消费者可合理获取的形式:
(1)在企业的互联网主页上提供一个清晰、醒目的链接,标题为“不得出售或共享我的个人信息”,使消费者或经消费者授权的人可以选择退出出售或共享消费者的个人信息。
(2)在企业的互联网主页上提供一个清晰、醒目的链接,标题为“限制使用我的敏感个人信息”,使消费者或经消费者授权的人能够将消费者的敏感个人信息的使用或披露限制在第1798.121节第(a)条授权的使用范围内。
(3)企业可自行决定在企业的互联网主页上使用单一的、有明确标签的链接,以代替遵守第(1)和(2)款的规定,如果该链接能让消费者轻易地选择退出出售或分享消费者的个人信息并限制使用或披露消费者的敏感个人信息。
(4)如果企业对根据第(1)、(2)或(3)款收到的选择退出请求的答复是消费者使用任一产品或服务的收费情况,则企业应介绍根据第1798.125节第(b)条关于为保留、使用、出售或分享该消费者的个人信息而提供经济奖励的条款。
(b)(1)如果企业允许消费者通过平台、技术或机制[基于第1798.185节第(a)条第(20)款通过的法规所规定的技术规范]向企业发送附有消费者同意的选择退出偏好信号,表明其有意选择退出出售或分享个人信息或/和限制使用或披露敏感个人信息,则该企业无须遵守第(a)条。
(2)允许消费者根据第(1)款选择退出出售或分享其个人信息并限制其敏感个人信息的使用的企业,可提供链接跳转至某个网页,该网页使消费者能够同意该企业不理会针对该企业出售或分享消费者个人信息或为其他目的使用消费者敏感个人信息的选择退出偏好信号,条件是:
(A)该同意网页还允许消费者或消费者授权的人撤回同意,且撤回应与提供同意一样容易。
(B)该网页链接不会降低消费者在打算访问网页上的体验,而且相对于同一网页上的其他链接,其外观、感觉和大小相似。
(C)该同意网页符合根据第1798.185节第(a)条第(20)款通过的条例规定的技术规格。
(3)遵守第(a)条的企业无须遵守第(b)条。为明确起见,企业可选择遵守第(a)条还是第(b)条。
(c)受本节约束的企业应:
(1)为指示企业不出售或分享消费者的个人信息,或限制使用或披露消费者的敏感个人信息,企业不得要求消费者创建账户,也不要求消费者提供非必要的额外信息。
(2)在下列位置,提供对消费者根据第1798.120和1798.121节享有的权利的描述,包括“不出售或分享我的个人信息”互联网网页和“限制使用我的敏感个人信息”互联网网页的单独链接(如适用),或同时选择上述两项的单一链接,或企业响应并遵守平台、技术或机制根据第(b)条发送的选择退出偏好信号的声明:
(A)在线隐私政策或政策,如有。
(B)任何针对加州的消费者隐私权的描述。
(3)确保所有处理消费者关于企业隐私做法或企业遵守本标题的询问的负责人员知晓第1798.120、1798.121节和本节规定的所有要求,以及知晓如何指导消费者行使这些条款规定的权利。
(4)对于行使选择不出售或分享其个人信息或限制使用或披露其敏感个人信息权利的消费者,不得出售或分享企业收集的关于该消费者的个人信息,也不得使用或披露该消费者的敏感个人信息,并至少须等待12个月后方可再次请求消费者授权出售或分享其个人信息,或为其他目的使用和披露消费者的敏感个人信息,或获得法规授权。
(5)对于已经选择不出售消费者个人信息的消费者,在要求消费者授权出售其个人信息之前,尊重消费者选择不出售的决定至少12个月不同意出售或共享其个人信息的16岁以下的消费者,不得出售或共享该16岁以下消费者的个人信息,并且至少须等12个月后方可再次征求消费者的同意,或获得法规授权,或直到该消费者年满16岁。
(6)从消费者那里收集到的、与提交选择退出请求有关的任何个人信息只得用于遵守选择退出请求之目的。
(b)(d)如果企业提供一个专门针对加利福尼亚消费者的单独、额外的主页来提供本节要求的链接和文字,并且该企业采取合理步骤来确保加利福尼亚消费者被引导至上述主页,而不是向一般公众开放的主页时,本标题中的任何内容不得被解释为要求企业必须通过在其向一般公众开放的主页上按照要求提供链接和文字来遵守本标题规定。
(c)(e)消费者可授权他人代表该消费者选择退出出售或共享其个人信息,并限制使用消费者的敏感个人信息,包括通过第(b)条第(1)款规定的选择退出偏好信号的方式,示明该消费者选择退出的意愿。无论该企业是否选择遵守第(a)或(b)条规定,企业都应根据总检察长通过的条例,遵守消费者授权代表消费者行事的人提出的选择退出请求。为明确起见,选择遵守第(a)条规定的企业可根据第1798.125节对消费者的退出请求作出答复。
(f)如果企业将消费者的选择退出请求转达给该企业授权收集个人信息的人,该人只能将该消费者的个人信息用于企业指定的商业目的或本标题允许的其他目的,并不得:
(1)出售或共享该个人信息。
(2)保留、使用或披露该消费者的个人信息。
(A)为履行向该企业提供的服务之特定目的以外的其他任何目的。
(B)该人与该企业直接业务关系以外。
(C)向该企业提供服务之外的商业目的。
(g)根据第(f)条将消费者的选择退出请求转达给某人的企业,如果收到选择退出请求的人违反了本标题中规定的限制,则该企业不应承担本标题下的责任,但条件是在转达退出请求时,该企业实际并不知道或有理由相信该人打算实施这种违规行为。任何类型的合同或协议中旨在以任何方式放弃或限制本条规定的任何条款都是无效且不可执行的。
第14条 《民法典》第1798.140节修订如下:
1798.140.定义
1798.140就本标题而言:
(a)“广告和营销”是指企业或代表企业行事的人以任何媒介进行的旨在诱导消费者获取商品、服务或就业的交流。
(b)“聚合消费者信息”是指与一组或一类与消费者有关的、消费者身份信息已被移除的信息,这些信息与任何消费者或家庭不存在联系或无法产生合理联系,即使借助设备。聚合消费者信息并不意味着一个或多个去身份标识的个人消费者记录。
(c)“生物识别信息”是指包括个人的脱氧核糖核酸(DNA)在内的个人生理、生物或行为特征,可单独或与其他识别数据结合(或意图)使用以建立个人身份的信息。生物识别信息包括但不限于从识别模板中生成的且可以被提取的虹膜、视网膜、指纹、面部、手部、手掌、静脉模式和语音记录的图像如脸纹、细节点模板或声纹,击键模式或节奏、步态模式或节奏,以及包含识别信息的睡眠、健康数据。
(d)“企业”是指:
(1)满足如下一项或多项门槛标准的个人独资企业、合伙企业、有限责任公司、公司、协会或其他法律实体:为其股东或为收集消费者个人信息的其他所有者的利益或经济利益而组织或经营的,或代表其收集信息,并单独或与他人共同确定处理消费者个人信息的目的和方法的,在加利福尼亚州开展业务的公司:
(A)根据第1798.185节第(a)条第(5)款进行调整后,截至该公历年1月1日,上一公历年年收入总额超过2500万美元。
(B)每年单独或联合购买、为商业目的接收、出售或为商业目的共享10万条5万条以上消费者、家庭、设备的个人信息。
(C)年收入的50%或以上为出售或共享消费者个人信息所得。
(2)任何控制或被第(1)款所界定的业务所控制并与该业务有共同品牌且共享消费者个人信息的实体。“控制”或“受控”是指享有企业50%以上任何类别表决权证券的发行股票的所有权或表决权;以任何方式对企业过半数董事或行使类似职能的个人的选举享有控制权;或对企业管理层具有控制性影响力。“共同品牌”是指一般消费者理解的由两个或两个以上实体共有的、共享名称、服务标志或商标。
(3)由企业组成的合资企业或合伙企业,每个企业至少拥有40%的权益。就本标题而言,合资企业、合伙企业、组成合资企业或合伙企业的各个企业应分别被视为单独一个企业,但每个企业拥有并向合资企业或合伙企业披露的个人信息不得与其他企业共享。
(4)第(1)、(2)或(3)款规定以外的、自愿向加州隐私保护局证明其遵守并同意受本标题约束的加州经商者。
(e)“商业目的”是指将个人信息用于商业目的,或用于服务提供商的、运营目的、或其他已通告的目的,或为根据第1798.185节第(a)条第(11)款通过的条例定义的服务提供商或承包商运营的运营目的,但前提是个人信息的使用是为了实现收集或处理个人信息的目的者为了实现与个人信息收集场景相适应的其他运营目的之合理必要且相称的。商业目的是:
(1)与当前与消费者的互动和同时进行的交易有关的审计,包括但不限于统计对与计算独特访问用户的广告曝光率、验证广告曝光率的定位和质量有关的审计,以及审计本规范和其他标准的遵守情况。
(2)检测安全事件,防止恶意的、欺骗性的、欺诈性的或非法的活动,并起诉这些活动的责任人。帮助确保消费者个人信息的安全和完整性,为这些目的在合理必要和相称的范围内使用消费者个人信息。
(3)调试以识别和修复损害现有预期功能的错误。
(4)短期、暂时性使用,包括但不限于消费者当前与企业互动的非个性化广告,前提是个人信息未披露给另一个第三方,且不用于创建消费者用户画像或在当前与企业的互动之外改变个人消费者的体验,包括但不限于,作为同一互动部分而显示的广告的场景化定制。
(5)代表企业或服务提供商提供服务,包括维护或者提供账户服务、提供客户服务、处理或者履行订单和交易、核实客户信息、处理付款、提供融资、提供广告或营销服务、提供分析服务、提供存储,或代表企业或服务提供商提供类似服务。
(6)向消费者提供广告和营销服务,但跨语境行为广告除外,前提是服务提供者或承包商不得为广告和营销目的,将从企业或代表企业收集到的选择退出的消费者的个人信息与其自己或代表他人从消费者处收集到的个人信息或自己与消费者互动时收集到的个人信息相结合。
(6)(7)从事技术开发和验证的内部研究。
(7)(8)对本企业拥有的、自己制造的、为他人制造或控制的服务或设备进行质量或安全方面的验证或者维护,对本企业拥有的、自己制造的、为他人制造或控制的服务或设备进行改进、升级或者改进的活动。
(f)“收集”“已收集”或“集合物”是指以任何方式购买、出租、收集、获取、接收或查阅与消费者有关的任何个人信息。这包括主动或被动地从消费者那里接收信息,或者通过观察消费者的行为来接收信息。
(e)(g)“商业目的”是指增进某人的商业或经济利益,如通过劝说另一人购买、出租、租赁、加入、认购、提供或交换产品、货物、财产、信息或服务,或直接或间接促成或实施商业交易。“商业目的”不包括从事州或联邦法院承认为非商业性的言论的目的,包括政治言论和新闻报道。
(g)(h)“同意”是指消费者或消费者的法定监护人、拥有授权书的人或作为消费者监护人的人,通过声明或明确的肯定行动等方式,自由作出的、具体的、知情的、毫不含糊的意思表示,对为狭义的特定目的处理与消费者有关的个人信息表示同意。对包含个人信息处理描述以及其他无关信息的一般或宽泛的使用条款或类似文件的接受,并不构成同意。悬停、静音、暂停或关闭特定内容不构成同意。同样,通过使用黑暗模式获得的同意也不构成同意。
(i)“消费者”是指可通过各种方式识别到的(包括通过任何唯一标识符识别)、身为加利福尼亚州居民的自然人;加利福尼亚州居民的定义参照《加利福尼亚州法规法典》第18编第17014节(以2017年9月1日规定为准)。
(j)(1)“承包商”是指,基于与企业的书面合同,获得企业为商业目的向其提供的消费者个人信息的人,但该合同:
(A)禁止承包商:
(i)出售或共享该个人信息。
(ii)为合同约定的商业目的以外的任何目的保留、使用或披露个人信息,包括为合同约定的商业目的以外的商业目的或本标题允许目的以外的其他目的保留、使用或披露个人信息。
(iii)保留、使用或披露承包商与企业直接业务关系之外的信息。
(iv)将承包商根据与企业签订的书面合同收到的个人信息与它从另一人或多人处收到的或代表另一人或多人收集的个人信息结合起来,但承包商可以将个人信息结合起来,以实现根据第1798.185节第(a)条第(10)款通过的条例所定义的任何商业目的,但第(e)条第(6)款和加州隐私保护局通过的条例所规定的除外。
(B)提供承包者出具的证明,证明承包者了解第(A)项中的限制并将遵守这些限制。
(C)在与承包商达成协议的前提下,允许企业通过各种措施监测承包商遵守合同的情况,这些措施包括但不限于持续的人工审查和自动扫描以及至少每12个月一次的定期评估、审计或其他技术和业务测试。
(2)如果承包人聘请任何其他人协助其代表企业为商业目的处理个人信息,或承包人聘请的任何其他人为该商业目的聘请他人协助处理个人信息,承包人应将该聘请通知该企业,且该聘请应以书面合同方式约束该他人遵守第(1)款规定的所有要求。
(k)“跨语境行为广告”是指根据消费者在跨企业、知名品牌网站、应用程序或服务(而非消费者有意与之互动的企业、知名品牌网站、应用程序或服务)的活动中获得的个人信息,向消费者定向投放的广告。
(l)“黑暗模式”是指在设计或操纵上具有颠覆或损害用户自主权、决策或选择的实质性效果的用户界面,将由法规进一步定义。
(h)(m)“身份识别”是指不能合理地用于推断某位消费者的信息或以其他方式与之关联的信息,前提是拥有该信息的企业:
(1)采取合理措施,以确保该信息不能与消费者或家庭相结合。
(2)公开承诺以去标识的形式维护和使用信息,不试图对信息进行再识别,但该企业可以尝试仅基于确定其去标识程序是否满足本条要求之目的对该信息进行再识别。
(3)规定任何信息接收者有义务遵守本条所有规定。
识别、涉及、描述、能够直接或间接地与特定消费者相关联,或与特定消费者相关联,但使用去身份化信息的企业必须:
(1)已实施技术保障措施,禁止重新识别可能与该信息有关的消费者的身份。
(2)已实施明确禁止重新识别信息的业务流程。
(3)已经实施了防止无意中发布已识别信息的业务流程。
(4)不试图重新识别信息。
(i)(n)“提交请求的指定方法”是指邮寄地址、电子邮件地址、互联网网页、互联网门户网站、免费电话号码或其他适用的联系信息,消费者可以根据本标题提交请求或指示,以及经总检察长根据第1798.185节批准的任何新的、方便消费者的联系企业的方式。
(j)(o)“设备”是指所有能够直接或间接连接到互联网或另一设备的物体。
(k)“健康保险信息”是指消费者的保险单号或订阅者识别号、健康保险公司用于识别消费者身份的任何独特标识符,或消费者申请和索赔历史中的任何信息,包括任何申诉记录,如果该信息与消费者或家庭有关联或可合理关联,包括通过企业或服务提供商的设备。
(l)(p)“主页”是指互联网网站的介绍页和收集个人信息的任何互联网网页。对于在线服务,如移动应用程序,主页是指应用程序的平台页面或下载页面、应用程序内的链接,如来自应用程序配置的“关于”“信息”或设置页面,以及允许消费者审查本标题第1798.135节第(a)条要求的通知的任何其他位置,包括但不限于下载该应用程序前。
(q)“家庭”是指在同一居住地址同居并分享共同装置或服务的消费者群体,不论其身份以何种方式被识别。
(m)(r)“推断”或“推断结论”是指从事实、证据或其他信息或数据来源衍生出的信息、数据、假设或结论。
(s)“有意互动”是指消费者有意与他人进行互动或向他人披露个人信息,通过一次或多次经过思考后的互动,包括访问该人的网站或向该人购买商品或服务。悬停、静音、暂停或关闭某个内容并不构成消费者与他人互动的意图。
(t)“非个性化广告”是指仅基于消费者当前与企业的互动所获得的个人信息进行的广告和营销,消费者的精确地理位置除外。
(n)(u)“人”是指个人、独资企业、商号、合伙企业、合资企业、财团、商业信托、公司、集团公司、有限责任公司、协会、委员会和任何其他一致行动的组织或团体。
(o)(v)(1)“个人信息”是指识别、关联、描述、能够合理地与某一特定消费者或家庭相关联或可以直接或间接合理地与之相联系的信息。个人信息包括但不限于以下识别、关联、描述、能够合理地与某一特定消费者或家庭相关联或可以直接或间接合理地与之相联系的信息:
(A)识别码,如实名、别名、邮政地址、唯一个人识别码、在线识别码、互联网IP地址、电子邮件地址、账户名称、社会保险号码、驾驶执照号码、护照号码或其他类似识别码。
(B)第1798.80节第(e)条描述的所有类型的个人信息。
(C)加州法律或联邦法律下受保护类群的特征。
(D)商业信息,包括个人财产记录,购买、获取或曾考虑过的产品或服务的记录,或其他购买或消费历史或趋势。
(E)生物识别信息。
(F)互联网或其他电子网络活动信息,包括但不限于浏览历史、搜索历史和关于消费者与互联网网站应用程序或广告的互动信息。
(G)地理位置数据。
(H)音频、电子、视觉、热量、嗅觉或类似信息。
(I)职业或就业相关信息。
(J)教育信息,即《家庭教育权利和隐私法》 (20U.S.C.Sec.1232g;34C.F.R.Part 99)定义的无法公开获取的个人可识别信息。
(K)基于本条确认的任何信息获得的推断而创建的关于某位消费者的用户画像,该用户画像反映消费者的偏好、特征、心理趋势、倾向、行为、态度、智力、能力和才能。
(L)敏感个人信息。
(2)“个人信息”不包括公开可获得的信息,也不包括公众关注的、合法获取的真实信息。就本款而言,“公开可获得”是指:联邦、州或地方政府记录中被合法获得的信息,或企业有合理依据相信该信息是由该消费者或通过广泛传播的媒体以合法方式向公众公开的信息,或消费者提供的信息;或接受消费者披露信息的人提供的信息,如果消费者没有限制信息的特定受众。“公开可获得”不包括企业在消费者不知情的情况下收集的、关于该消费者的生物识别信息。
(3)“个人信息”不包括去标识化的消费者信息或聚合消费者信息。
(w)“精确地理定位”是指从装置中得出的、用于或意图用于在半径为1850英尺的圆圈内对消费者进行定位的数据,条例规定情形除外。
(p)(x)“概率性识别符”是指对消费者或消费者设备的识别,其确定程度高于不基于个人信息定义列举的或类似的、任何类型的个人信息。
(q)(y)“处理”是指对个人数据信息或对一组个人数据信息执行的任何操作或一组操作,不论是否通过自动化方式。
(z)“画像”是指对个人信息的任何形式的自动化处理[由第1798.185节第(a)条第(16)款规定进一步界定],以评估与自然人有关的某些个人方面,特别是分析或预测与该自然人的工作表现、经济状况、健康状况、个人喜好、兴趣、可靠性、行为、位置或行动有关的方面。
(r)(aa)“假名化”或“假名化处理”是指达到如下效果的个人信息处理方式:在不使用附加信息的情况下,该个人信息不能再被归到某特定消费者,但前提是该附加信息应单独保存,并应采取技术和组织措施确保该个人信息不能再被归为已识别或可识别的消费者。
(ab)“研究”是指科学分析、系统钻研和观察,包括出于公共利益目的被设计用于提高或促进公共或科学知识并遵守或符合所有其他可适用伦理和隐私法的基础研究或应用研究,包括但不限于在公共卫生领域为公共利益进行的研究。针对消费者因为其他目的与企业服务或设备进行互动的过程中收集到的个人信息的研究应:
(1)与收集个人信息的商业目的相符。
(2)随后进行假名化和去标识化,或者去标识化和将信息聚合,使得该信息不能合理地被企业用于识别、关联、描述、能够与某一特定消费者相联系,或直接或间接与该消费者相关联。
(3)遵守技术保障措施,禁止对可能与信息有关的消费者进行再识别,除支持研究之必需。
(4)遵守禁止信息再识别的特定业务流程,除支持研究之必需。
(5)遵守业务流程,防止去标识化信息被无意泄露。
(6)保护个人信息以防止任何再识别之企图。
(7)仅用于与个人信息收集语境相一致的研究目的。
(8)不得用于任何商业用途。
(9)(8)接受研究企业的额外安全控制,即只有为执行研究目的所必需的企业内的个人才可以访问这些研究数据。
(ac)“安全性和完整性”是指以下方面的能力:
(1)检测危及所存储或传输的个人信息的可用性、真实性、完整性和保密性的安全事件的网络或信息系统。
(2)检测安全事故,抵制恶意的、欺骗性的、欺诈性的、违法性的行为,并协助起诉上述行为责任人的企业们。
(3)确保自然人人身安全的企业们。
(ad)(1)“出售”“出售中”“售卖”或“已出售”是指企业以金钱或其他有价物,通过口头、书面、电子或其他方式,向另一企业或第三方出售、出租、发布、披露、传播、提供、转移消费者个人信息。
(2)就本标题而言,下列情形不构成企业出售个人信息:
(A)消费者利用或指使商家故意:
(i)披露个人信息。
(ii)与一个或多个第三方互动。利用该业务与一个或多个第三方当事人进行有意互动,但该第三方不得同时出售个人信息,除非该披露符合本标题的规定。当消费者有意与第三方进行互动时,通过一个或多个有意的互动,就发生了有意的互动。悬停、静音、暂停或关闭某项内容,不构成消费者与第三方互动的意图。
(B)企业使用或共享已选择不出售消费者个人信息或限制使用消费者敏感个人信息的消费者的标识符,以提醒第三方人员注意该消费者已选择不出售消费者个人信息或限制使用消费者敏感个人信息。
(C)企业使用或与服务提供者共享为实现商业目的所必需的消费者个人信息,且符合以下两个条件:
(i)该企业已在其条款和条件中提供了符合第1798.135条的使用或共享信息的通知。
(ii)服务提供者没有进一步收集、出售或使用消费者的个人信息,除非是为了实现商业目的所必需的。
(C)企业将消费者的个人信息作为资产转让给第三方,作为合并、收购、破产或第三方接管全部或部分业务的其他交易的一部分,前提是该信息的使用或共享符合本标题第1798.110节和第1798.115节的规定。第三方对消费者个人信息的使用、共享方式发生重大改变,与收集时的承诺具有严重不符时,第三方应当事先将新做法或变更后的做法通知消费者。通知应足够醒目、有力,以确保现有消费者可以方便地行使本标题第1798.120节规定的选择权。本款并不授权企业以可能违反《不公平与欺骗实践法案》[《商业和职业法》第7分编第2部分第5章(从第17200节开始)]的方式对其隐私政策进行实质性、追溯性的更改或其他更改。
(ae)“敏感个人信息”是指:
(1)透露如下内容的个人信息:
(A)消费者的社会保险号码、驾驶执照号码、国家身份证号码或护照号码。
(B)消费者的账户登录、金融账户、借记卡或信用卡号码,以及任何所需的安全或访问代码、密码或允许访问账户的凭证。
(C)消费者的精确地理位置。
(D)消费者的种族或民族血统、宗教或哲学信仰或工会成员身份。
(E)消费者的邮件、电子邮件及文字讯息的内容,除非该企业是通信预期收件人。
(F)消费者的基因数据。
(2)(A)为识别消费者的唯一身份,对生物识别信息进行的处理。
(B)有关消费者健康的个人信息的收集和分析。
(C)有关消费者的性生活或性取向的个人信息的收集和分析。
(3)根据第(v)条第(2)款“公开可获得”的敏感个人信息不应视为敏感个人信息或个人信息。
(u)(af)“服务”或“多项服务”是指工作、劳动和服务,包括与销售或维修物品有关的服务。
(u)(ag)(1)“服务提供商”是指代表企业处理个人信息且出于书面合同写明的商业目的从企业或代表企业接收披露消费者个人信息的人独资企业、合伙企业、有限责任公司、公司、协会或其他为其股东或其他所有者的利润或财务利益而组织或经营的法律实体,前提是合同禁止该人信息接收者:
(A)出售或共享个人信息。
(B)除与企业签订的合同中规定的履行服务之特定目的商业目的或本标题允许的其他目的外,为任何目的保留、使用或披露个人信息,包括为与企业签订的合同中规定的业务目的为提供服务以外的商业目的或本标题允许的其他目的保留、使用或披露个人信息。
(C)保留、使用或披露服务提供者与企业之间直接业务关系之外的信息。
(D)将服务提供商从企业收到的或代表企业收到的个人信息与从另一人或多人那里收到的或代表另一人或多人收集的个人信息或从自己与消费者的互动中收集的个人信息相结合,前提是该服务提供商可能会为执行根据第1798.185节第(a)条第(10)款通过的条例所定义的任何商业目的而结合个人信息,但本节第(e)条第(6)款和加州隐私保护局通过的条例规定情形除外。在与服务提供商达成协议的前提下,合同可允许企业通过各种措施监督服务提供商的合同遵守情况,包括但不限于持续的人工审查和自动扫描,以及至少每12个月一次的定期评估、审计或其他技术和操作测试。
(2)如果服务提供者聘请任何其他人协助其代表企业为商业目的处理个人信息,或者如果服务提供者聘请的任何其他人为该商业目的聘请另一人协助处理个人信息,则服务提供者应将该聘请通知企业,且该聘请应以书面合同方式约束该他人遵守第(1)款规定的所有要求。
(ah)(1)“共享”“已共享”或“正在共享”是指企业为跨语境行为广告向第三方共享、出租、发布、披露、传播、提供、转让,或以口头、书面、电子或其他方式沟通个人信息,无论对价是金钱还是其他有价物,包括企业与第三方之间为企业利益而进行的不涉及金钱交换的跨语境本行为广告交易。
(2)为本标题之目的,下列情形不构成企业共享个人信息:
(A)消费者利用或引导企业故意披露个人信息或故意与一个或多个第三方进行互动。
(B)对于已选择不共享消费者个人信息或限制使用消费者敏感个人信息的消费者,企业使用或共享标识符,以提醒他人该消费者已选择不共享消费者个人信息或限制使用消费者敏感个人信息。
(C)企业在兼并、收购、破产或其他交易中,将消费者的个人信息作为资产转让给第三方,使第三方获得该企业的全部或部分控制权,前提是该信息的使用或共享必须符合本标题规定。如果第三方实质性地改变了消费者个人信息的使用或共享方式,与收集时的承诺严重不符,则第三方应事先将新做法或变更后的做法通知消费者。该通知应足够醒目和有力,以确保现有的消费者能够方便地行使符合本标题规定的选择权。本项并不授权企业以违反《不公平和欺骗行为法》[《商业和职业法典》第7分编第2部分第5章(从第17200条开始)]的方式对其隐私政策进行实质性的、追溯性的改变,或对其隐私政策进行其他改变。
(w)(ai)“第三方”是指不属于下列任何一种情形的人:
(1)消费者有意与之互动的企业,且该企业从消费者处收集个人信息,该收集行为属于本标题下的消费者当前互动交流的一部分。
(2)企业的服务提供商。
(3)承包商。
(A)企业根据书面合同为商业目的向其披露消费者个人信息的人,前提是该合同:
(i)禁止个人信息的接收者:
(I)出售个人信息。
(II)为履行合同规定的服务的特定目的以外的任何目的保留、使用或披露个人信息,包括为提供合同规定的服务以外的商业目的保留、使用或披露个人信息。
(III)在个人与企业的直接业务关系之外保留、使用或披露信息。
(ii)提供个人信息接收者作出的证明,证明该人理解第(A)项的限制并将遵守这些限制。
(B)本款所涵盖的人员违反本标题规定的任何限制的,应当对其违法行为负责。按照本款规定向本款所涵盖的人披露个人信息的企业,如果接收个人信息的人违反本款规定的限制使用个人信息,则不承担本标题下的责任,但前提是在披露个人信息时,该企业并不实际知道或有理由相信该人打算实施这种违规行为。
(x)(aj)“唯一标识符”或“唯一个人标识符”是指可用于识别消费者、家庭,或与消费者或家庭相连的设备的持久性标识符,设备标识符可随时间和设备变更而变更,包括但不限于一个设备标识符;互联网协议地址(IP地址);cookie、信号标、像素标签,移动广告标识符或类似技术;客户号码、唯一假名或用户别名;电话号码,或可用于识别特定消费者或与消费者或家庭相连的设备的其他形式的持久性或概率性标识符。为本条之目的,“家人”是指监护父母或监护人,以及父母或监护人监护的未成年人任何未满18岁的子女。
(y)(ak)“可核实的消费者请求”是指消费者、代表其未成年子女的消费者、经消费者授权代表消费者行事的自然人或州务卿登记法人提出的请求,或由拥有授权书的人或作为消费者的监护人的人提出的请求,且该企业能够使用合理的商业方式[该方式由总检察长根据第1798.185节第(a)条第(7)款通过的法规规定]合理核实提出该请求的消费者是该被企业收集个人信息的消费者。如果企业依据本小节和总检察长根据第1798.185节第(a)条第(7)款通过的法规无法核实提出请求的消费者是被该企业收集个人信息的消费者,或者是消费者授权代表消费者行事的人,则企业没有义务根据第1798.100和1798.115节向消费者提供个人信息,根据第1798.105节删除个人信息,根据第1798.106节更正不准确的个人信息。
第15条 《民法典》第1798.150节修订如下:
1798.145.豁免
1798.145.(a)本标题对企业施加的义务不应限制企业的如下能力:
(1)遵守联邦、州或地方法律,或遵守法院命令或传票以提供信息。
(2)遵守联邦、州或地方当局的民事、刑事或监管查询、调查、传票或传唤。执法机构,包括警察和治安部门,可以根据执法机构签发的、带有有效案号的调查,指示企业不得删除消费者的个人信息。收到该指示后,企业在90日内不得删除个人信息,以便执法机构获得法院签发的传票、命令或授权令来获取消费者的个人信息。如有充分理由,且仅在调查目的所需范围内,执法机构可指示企业在额外90日内不删除消费者的个人信息。收到执法机构指示不得删除请求删除其个人信息的消费者的个人信息的企业,不得将该消费者的个人信息用于任何目的,除非该消费者的删除请求属于本标题规定的免于删除的范围,但保留该消费者的个人信息以便为回应法院签发的传票、命令或授权令而向执法机构提供的除外。
(3)就企业、服务提供商或第三方合理且善意地认为可能违反联邦、州或地方法律的行为或活动,与执法机构进行的合作。
(4)在自然人面临死亡或严重身体伤害的风险或危险时,配合政府机构紧急获取消费者个人信息的请求,但条件是:
(A)该请求得到机构高级官员的批准,批准紧急获取消费者的个人信息。
(B)该请求是基于该机构善意的决定,即该机构有合法基础在非紧急情况下获取信息。
(C)该机构同意在3日内向法院申请适当命令,如果该命令未获批准,则销毁该信息。
(4)(5)提起法律请求或抗辩他人提起的请求。
(5)(6)收集、使用、保留、出售、共享或者披露去标识化的或者聚合消费者的个人信息。
(6)(7)收集、出售或共享消费者的个人信息,如果该商业行为的所有要素完全发生在加利福尼亚州以外。就本标题而言,如果该公司在消费者位于加利福尼亚州以外的时候收集信息,消费者个人信息的所有售卖都不在加州,且消费者在加利福尼亚州时收集的个人信息没有被出售,那么商业行为完全发生在加利福尼亚州以外。本款不允许禁止企业在消费者位于加州时,存储该消费者的个人信息,包括存储在设备上,然后在该消费者和存储的个人信息位于加州之外时,收集该个人信息。
(b)如果企业遵守本标题规定会违反加州法律规定的证据特权,则该企业不适用第1798.110、1798.115、1798.120、1798.121和1798.135节全部小节规定的企业义务,上述规定不得阻止企业向享有证据特权(该特权属于加利福尼亚州法律规定的通信特权)的人提供消费者个人信息。
(c)(1)本标题不适用于下列情形:
(A)受《医疗信息保密法》[第1分编第2.6部分(从第56节开始)]管辖的医疗信息,或受美国卫生和人类服务部颁布的《联邦条例法》第45分编第160、164部分的隐私、安全和违规通知规则[这些规则是根据《1996年健康保险可携性和问责制法》(第104-191号公法)和《健康信息技术促进经济和临床健康法》 (第111-5号公法)制定的]管辖的受保护的健康信息。
(B)受《医疗信息保密法》[第1分编第2.6部分(从第56节开始)]管辖的医疗服务提供商,或受美国卫生和人类服务部根据《联邦条例法》第45分编第160、164部分颁布的隐私、安全和违约通知规则[这些规则是根据《1996年医疗保险可携性和责任制法》(第104-191号公法)制定的]管辖的适用实体,但仅限于以与本节第(A)项所述的医疗信息或受保护健康信息相同的方式维护病人信息的提供者或适用实体。
(C)作为临床试验或其他生物医学研究的一部分而收集的个人信息,须遵守《联邦保护人类主体政策》 (又称《共同规则》)、国际协调理事会颁布的良好临床实践准则或美国食品和药物管理局的人类主体保护要求,或其开展应符合以上规定,前提是不得以本款禁止的方式出售或分享该信息,如果方式与本款不一致,则须告知参与者该方式并获得同意。
(2)就本条而言,“医疗信息”和“医疗保健提供者”应适用第56.05节中的定义,“商业伙伴”“适用实体”和“受保护的健康信息”应适用《联邦法规》第45分编第160.103节中的定义。
(d)(1)本标题不适用于涉及消费者报告机构、提供用于消费者报告信息的信息提供者,以及消费者报告使用者所收集、维护、披露、出售、交流或使用任何与消费者的信誉、信用状况、信用能力、性格、一般声誉、个人特征或生活方式有关的个人信息的活动;消费者报告机构由《美国法典》第15分编第1681a节第(f)条规定,提供用于消费者报告信息由《美国法典》第15分编第1681a节第(d)条规定的信息提供者提供,消费者报告的使用者由《美国法典》第15分编第1681b节规定。
(2)第(1)款规定仅适用于涉及该机构、提供者或用户收集、维护、披露、出售、交流或使用此类信息的、受《美国法典》第15分编《公平信用报告法》第1681节及其后规定监管的活动,且此类信息不得使用、传达、披露或出售,除非获得《公平信用报告法》授权。
(3)本条不适用于第1798.150节。
(e)本标题不适用于根据《联邦格莱姆-里奇-布莱利法案》(公法106-102)及其实施条例,或《加州金融信息隐私法》[《金融法典》第1.4节(从第4050节开始)]而收集、处理、出售或披露的个人信息。本条不适用于第1798.150节。
(f)本标题不适用于根据《1994年驾驶员隐私保护法》(《美国法典》第18分编第2721节及以下)收集、处理、出售或披露的个人信息。本条不适用于第1798.150节。
(g)(1)第1798.120节不适用于车辆法规第426节中定义的新机动车经销商和车辆法规第672节中定义的车辆制造商之间保留或共享的车辆信息或所有权信息,如果共享车辆或所有权信息是为了实现或试图实现根据《美国法典》第49分编第30118至30120节(含)进行的车辆保修或召回所涵盖的车辆维修,但与该车辆信息或所有权信息共享的新机动车经销商或车辆制造商不得将该信息出售、共享或用于任何其他目的。
(2)就本条而言:
(A)“车辆信息”是指车辆信息编号、铭牌、型号、年份和里程表读数。
(B)“所有权信息”是指登记所有权人的姓名以及所有权人的联系信息。
(h) (1)本标题不适用于以下任何一项:
(A)在自然人作为企业的应聘者、雇员、所有者、董事、高级职员、医务人员或承包商的工作过程中被收集到的个人信息,仅限于该信息在该自然人作为或曾作为该企业的雇员、所有者、董事、高级职员、求职者时的范围内被企业收集和使用时。
(B)企业收集的作为求职者的自然人、该企业的员工、所有者、董事、官员、医务人员或承包商的个人紧急联络信息,仅限于配备紧急联络人档案场景下的收集和使用。
(C)该企业为管理另一自然人的福利而保留的必要的个人信息,该自然人是该企业的求职者、雇员、所有者、董事、高级职员、医务人员或承包商,但仅限于管理以上福利范围内收集和使用该个人信息。
(2)就本条而言:
(A)“承包人”是指根据书面合同向企业提供任何服务的自然人。
(B)“董事”是指在公司章程中被指定为董事或由公司注册人选举的自然人,以及被指定、选举或以任何其他名称或头衔被任命为董事的自然人及其继任者。
(C)“医务人员”是指根据《商业及专业守则》第2部分(从第500条开始)持有牌照的医生及外科医生、牙医或足科医生,以及《健康及安全守则》第1316.5节界定的临床心理学家。
(D)“高级职员”是指由董事会选举或任命的负责管理公司日常运营的自然人,如首席执行官、总裁、秘书或财务主管。
(E)“所有者”是指符合下列条件之一的自然人:
(i)拥有企业50%以上有表决权证券的任何类别的公开发行股的所有权或表决权。
(ii)以任何方式控制多数董事或行使类似职能的个人的选举。
(iii)有权对公司的管理层施加控制性影响。
(3)本条规定不适用于第1798.100节或第1798.150节的第(b)条。
(4)本条规定将于2021年1月1日失效。
(i)(h)尽管企业有义务根据本标题回应和尊重消费者的权利请求,但是:
(1)考虑到请求的复杂性和数量,企业回应任何可核实的消费者请求的时间可以在必要时最多延长90日。企业应在收到请求后45日内将任何此类延期告知消费者,并说明延期原因。
(2)如果企业没有根据消费者的请求采取行动,则该企业应立即将不采取行动的理由及消费者可能对该企业的决定提出申诉的任何权利告知消费者,最晚不迟于本条准许的答复期限内。
(3)如果消费者的请求明显没有根据、超出合理程度或高度重复,企业可以收取合理费用。考虑到提供信息或通信或采取消费者所请求的行动的管理费用,企业也可以拒绝按照消费者的请求采取行动,并通知消费者拒绝请求的原因。企业应承担举证责任,证明任何经可核实的消费者请求明显没有根据或超出合理程度。
(j)(i)(1)按照本标题向服务提供者或承包商披露个人信息的企业,如果收到个人信息的服务提供者或承包商违反本标题规定的限制使用个人信息,则该企业不承担本标题下的责任,前提是在披露个人信息时,该企业并不实际知道或有理由相信服务提供者或承包商打算实施这种违规行为。同样,服务提供者或承包商也不应对其为之提供服务的企业承担本标题中规定的义务,但前提是服务提供者或承包商应对其自身违反本标题的行为负责。
(2)披露消费者(已行使选择退出出售或共享个人信息权利的消费者、限制使用或披露其敏感个人信息的消费者、未选择收集或出售其个人信息的未成年消费者除外)个人信息的企业,根据书面合同将个人信息提供给第三方,要求第三方对消费者在本标题下的权利提供与企业提供的相同程度的保护,如果接收个人信息的第三方在使用个人信息时违反了本标题规定的限制,则该企业不承担本标题下的责任,但前提是企业在披露个人信息时并不实际知道或有理由相信第三方打算实施这种违规行为。
(k)(j)本标题不得解释为要求企业、服务提供者或承包商收集其在正常业务过程中不会收集的个人信息,保留个人信息的时间超过其在正常业务过程中保留该信息的时间,或:
(1)再识别或以其他方式关联在其正常业务过程中未被视为个人信息进行维护的信息。
(2)保留在正常业务过程中不会保留的消费者的任何个人信息。
(3)以可识别、可连接或可关联的形式保存信息,或收集、获取、保留或访问任何数据或技术,以便能够将可核实的消费者请求与个人信息连接或关联。
(l)(k)本标题赋予消费者的权利和规定的企业义务不得对其他自然人的权利和自由产生不利影响。消费者根据第1798.110节要求提供特定的个人信息,根据第1798.105节要求删除消费者的个人信息,或根据第1798.106节要求更正不准确的个人信息的可核实请求,不得延伸至属于另一自然人或企业代表另一自然人保存的消费者个人信息。企业可以依靠可核实的消费者请求中关于个人信息权利的陈述,法律不要求企业寻找其他可能拥有或声称拥有个人信息权利的人,本标题或任何其他法律没有规定企业有义务在其所拥有的个人信息的权利主张者之间发生争议时采取行动。
(m)(l)本标题赋予消费者的权利和向企业施加的义务,如侵犯《加利福尼亚州宪法》第2节第(b)条所述的个人或实体的非商业活动,则不适用。
(m) (1)本标题不适用于下列任一情形:
(A)企业在自然人身为该企业的求职者、雇员、所有人、董事、高级职员、医务人员或独立承包人的过程中收集的该自然人的个人信息,但仅限于该自然人身为或曾经身为该企业的求职者、雇员、业主、董事、高级职员、医务人员或独立承包人时企业收集和使用的该自然人的个人信息。
(B)企业在自然人身为该企业的求职者、雇员、所有人、董事、高级职员、医务人员或独立承包人的过程中收集的该自然人紧急联络信息的个人信息,但仅限于配有紧急联络人档案场景时收集和使用的个人信息。
(C)企业为管理另一个自然人的福利而必须保留的个人信息,这些信息与自然人身为该企业的求职者、雇员、所有人、董事、高级职员、医务人员或独立承包人有关,但仅限于管理这些福利收集和使用个人信息。
(2)为本条之目的:
(A)“独立承包人”是指根据书面合同向企业提供任何服务的自然人。
(B)“董事”是指在公司章程中被指定为董事的自然人,或由公司注册人选举的自然人,以及以任何其他名称或头衔被指定、选举或任命为董事的自然人及其继任者。
(C)“医务人员”是指根据《商业和职业法》第2部分(从第500条开始)获得执照的持牌医生和外科医生、牙医或足科医生,以及《健康和安全法》第1316.5条所定义的临床心理学家。
(D)“高级职员”是指由董事会选举或任命的负责管理公司日常运作的自然人,包括首席执行官、总裁、秘书或财务主管。
(E)“所有者”是指符合下列标准之一的自然人:
(i)拥有企业50%以上有表决权证券的任何类别的发行股的所有权或表决权。
(ii)以任何方式控制多数董事或行使类似职能的个人的选举。
(iii)有权对公司管理层施加控制性影响。
(3)本条规定不适用于第1798.100节第(a)条或第1798.150节。
(4)本条规定自2023年1月1日起失效。
(n) (1)第1798.100、1798.105、1798.110、1798.115、1798.130、1798.135节向企业施加的义务不适用于反映企业与消费者之间书面或口头沟通或交易的个人信息,即当该自然人消费者是公司、合伙企业、独资企业、非营利组织或政府机构的雇员、所有人、董事、高级职员或承包商,且其与企业的交流或交易仅发生在该企业对上述公司、合伙企业、独资企业、非营利组织或政府机构进行尽职调查或向其提供或接收其提供的产品或服务的场景中。
(2)就本条规定而言:
(A)“承包商独立承包人”是指根据书面合同向企业提供任何服务的自然人。
(B)“董事”是指在公司章程中被指定为董事的自然人,或由公司创办人选举的自然人,以及被指定、选举或以任何其他名称或头衔任命为董事的自然人及其继任者。
(C)“高级职员”是指由董事会选举或任命的负责管理公司日常运作的自然人,包括首席执行官、总裁、秘书或财务主管。
(D)“所有者”是指符合下列标准之一的自然人:
(i)拥有企业50%以上有表决权证券的任何类别的发行股的所有权或表决权。
(ii)以任何方式控制多数董事或行使类似职能的个人的选举。
(iii)有权对公司管理层施加控制性影响。
(3)本条于 20232021年1月1日失效。
(o)(1)第1798.105和1798.120节不适用于商业信用报告机构收集、处理、出售或披露商业控制人信息的行为,即当商业信用报告机构仅为识别消费者与该消费者拥有的企业之间的关系使用商业控制人信息,或仅当该消费者身为该企业的所有者、董事、官员或管理雇员时联系该消费者。
(2)就本条规定而言:
(A)“商业控制人信息”是指企业所有者、董事、高管或管理员工的姓名,以及所有者、董事、高管或管理人员的联系信息,包括公司职衔。
(B)“商业信用报告机构”的含义见第1785.42节第(b)条规定。
(C)“所有者”是指符合下列条件之一的自然人:
(i)拥有企业50%以上有表决权证券的任何类别的发行股的所有权或表决权。
(ii)以任何方式控制多数董事或行使类似职能的个人的选举。
(iii)有权对公司管理层施加控制性影响。
(D)“董事”是指在公司章程中被指定为董事的自然人,或由公司创办人选举的自然人,以及被指定、选举或以任何其他名称或头衔任命为董事的自然人及其继任者。
(E)“高级职员”是指由董事会选举或任命的负责管理公司日常运作的自然人,包括首席执行官、总裁、秘书或财务主管。
(F)“管理人员”是指作为企业的主要管理者,向商业信用报告机构报告或由商业信用报告机构收集其姓名和联系信息的自然人,且仅在该自然人作为企业主要管理者时使用其信息。
(p)第1798.105、1798.106、1798.110、1798.115节对企业施加的义务不适用于家庭数据。
(q)(1)当可核实的消费者请求是针对企业代表《教育法》第49073.1节第(d)条所定义的地方教育机构而持有的学生(该学生目前就读于该机构)成绩、教育分数或教育测试结果时提出时,本标题不要求该企业遵守根据第1798.105条规定可核实的消费者提出的要求删除消费者的个人信息的义务。如果企业基于本条规定不遵守消费者提出的要求,企业应通知消费者其根据这一例外情形行事。
(2)如果消费者获取、拥有或控制该教育标准化评估或教育评估会危及该教育标准化评估或教育评估的有效性和可靠性,则本标题不要求企业回应根据第1798.110节提出的要求披露教育标准化评估或教育评估或消费者对该教育标准化评估或教育评估的具体反应的请求。如果企业基于本条规定不遵守消费者提出的要求,企业应通知消费者其根据这一例外情形行事。
(3)为本条规定之目的:
(A)“教育标准化评估或教育评估”是指标准化或非标准化的测验、测试或其他评估,用于评估加州或美国教育部认可的认证机构或组织认可的幼儿园和一年级至十二年级、学校、高等教育机构、职业课程项目和研究生课程项目的学生或拟入学学生,以及用于确定能力和资格以获得政府机关或政府认证机构颁发的证书或执照的证书或执照考试。
(B)“危害该教育标准化评估或教育评估的有效性和可靠性”是指公布会给提出可核实请求的消费者或其他自然人带来好处的信息。
(r)如果消费者已同意企业使用、披露或出售消费者的特定个人信息以制作实物物品包括载有消费者照片的学校年鉴,则企业对该消费者个人信息的使用、披露或出售不适用第1798.105、1798.120节,但前提是:
(1)企业基于对消费者同意的信赖,已支出大量费用。
(2)遵从消费者选择退出出售或删除其个人信息的请求不具有商业合理性。
(3)企业在商业合理范围内,尽快满足消费者的请求。
第16条 《民法典》第1798.150节修订如下:
1798.150.个人信息安全泄露
1798.150.(a)(1)因企业违反采取和维护与信息性质相适应的、合理的个人信息保护的安全程序和做法的义务,导致第1798.81.5节第(d)条第(1)款第(A)项所定义的未加密和未校正的个人信息或其电子邮件地址结合账户登录密码或安全问题及答案,遭遇未经授权的访问和泄露、盗窃或披露的消费者可以提起如下民事诉讼:
(A)主张100美元到750美元的损害赔偿金或实际损害赔偿金,以数额较大者为准。
(B)发布禁止令或确认赔偿请求。
(C)法院认为适当的其他救济。
(2)法院在评估法定损害赔偿额时,须考虑案件各方提出的任何一项或多项有关情况,包括但不限于不当行为的性质及严重程度、违法行为的数量、不当行为的持续性、不当行为发生所持续的时间长短、被告不当行为的主观故意,以及被告的资产、负债和净值。
(b)在对企业提起个人或集体的法定损害赔偿诉讼之前,消费者须提前30日向企业提出书面通知,说明其所主张的已经或正在违反本标题的具体规定,方可根据本节提起诉讼。如补救措施可行,且企业在30日内实际补救了通知所述违规行为并向消费者提供明确的书面声明,说明违法行为已被修复且不再发生违法行为,消费者不得再对企业提起个人或集体的法定损害赔偿诉讼。发生泄露事件后,根据第1798.81.5节执行和维持合理的安全程序和做法不构成针对该泄露事件的补救。个人消费者仅就因涉嫌违反本标题而遭受的实际金钱损失提起诉讼的,无须提前发出任何通知。如果企业违反本条规定的其向消费者提供的明示书面声明,继续违反本标题规定,则消费者可以对该企业提起诉讼,要求强制执行该书面声明,并就违反明示书面声明的各行为以及在书面声明发出后的任何其他违反本标题的行为,追究法定损害赔偿金。
(c)本条规定的诉讼事由仅适用于第(a)条中定义的违法行为,不构成违反本标题其他任何章节的行为的诉由。本标题的任何内容均不得解释为其他法律规定的私人诉讼权的依据,这不应解释为免除任何一方根据其他法律或美国或加利福尼亚州宪法所施加的任何责任或义务。
第17条 《民法典》第1798.155节修订如下:
1798.155.行政执法
1798.155.(a)任何企业或第三方都可以就如何遵守本标题的规定寻求总检察长的指导意见。如果一个企业在接到指称的违法通知后30日内没有纠正指称的违法行为,则该企业违反了本标题规定。任何违反本标题规定的企业、服务提供商、承包商或其他人,在加州隐私保护局提起的行政执法行动中,须就每次违法行为被发布禁令和承担不超过2500美元的行政罚款,就每次故意违法行为或涉及企业、服务提供商、承包商或其他人实际知道的16岁以下消费者个人信息的违法行为承担不超过7500美元的行政罚款,罚款数额根据第1798.185节第(a)条第(5)款进行调整。对每次违规行为处以不超过2500美元的行政罚款,对每次故意违规行为处以不超过7500美元的行政罚款,由总检察长以加利福尼亚州人民的名义提起民事诉讼进行评估和索赔。本条规定的行政罚款应由总检察长以加利福尼亚州人民的名义提起民事诉讼进行评估和追偿。
(c)(b)因违反本标题而被征收的任何行政罚款以及根据第(a)条提起的诉讼的全部和解所得,应存入根据第1798.160节第(a)条在一般基金(General Fund)内设立的消费者隐私基金,以支付州法院、总检察长和加利福尼亚州隐私保护机构所支出的与本标题有关的所有费用。
第18条 《民法典》第1798.160节修订如下:
1798.160.消费者隐私基金
1798.160.(a)即此在国库普通基金内设立一个称为“消费者隐私基金”的特别基金,在立法机关拨款后,可用于支付州法院因执行本编提起诉讼而产生的所有费用,以及总检察长在履行本编规定的职责时所产生的费用,然后用于在国库中设立一个投资基金,基金的任何收益或利息将存入普通基金,并提供赠款,以促进和保护消费者隐私,对儿童进行网上隐私教育,并为与国际执法组织的合作方案提供资金,以打击与消费者数据泄露有关的欺诈活动。
兹在国库一般基金内设立一项名为“消费者隐私基金”的特别基金,经立法机关拨款后,一是用于抵销州法院为执行本标题而采取的行动所产生的任何费用以及总检察长根据本标题履行职责所产生的任何费用;二是建立国库投资基金并将基金的所有收益或利息存入一般基金;三是提供拨款,以促进和保护消费者隐私,对儿童进行网上隐私教育,并为与国际执法组织的合作项目提供资金以打击与消费者数据泄露有关的欺诈活动。
(b)转移到消费者隐私基金的资金,应专门用于:
(1)支付州法院和司法部长支出的与本标题有关的所有费用。
(2)在完成第(1)款规定的义务后,应按照以下方式分配每财年的剩余资金:
(A)财政部长应将91%的资金投资于金融资产,其目标是在符合审慎风险水平前提下获得最大的长期收益。本金不得转让或挪用,但前提是所有利息和收益应按年度转入一般基金,由立法机构为一般基金之目的进行拨款。
(B)9%的资金将提供给加州隐私保护局,用于在加州内提供资助,其中3%的资金将分配给下列各资助对象:
(i)促进和保护消费者隐私的非营利组织。
(ii)非营利组织和公共机构包括学区,以对儿童进行网络隐私方面的教育。
(iii)资助州和地方执法机构与国际执法组织开展的合作项目,以打击与消费者数据泄露有关的欺诈活动。
(c)立法机关不得为任何其他目的拨款或转移消费者隐私基金的资金。除非财政部长确定这些资金超过了充分抵销州法院和总检察长与本标题有关的费用所需的资金,在这种情况下,立法机构可将多余的资金用于其他目的。
第19条 《民法典》第1798.175节修订如下:
1798.175.冲突条款
1798.175.本标题旨在进一步加强宪法性隐私权,并补充有关消费者个人信息的现行法律,包括但不限于第8分部第22章(从第22575节开始)和第1.81章(从第1798.80节开始)。本标题的规定不限于以电子方式或通过互联网收集的信息,适用于企业从消费者处收集和出售的所有个人信息。与消费者个人信息有关的法律都应尽最大可能解释为与本标题规定相一致,如果其他法律与本标题规定发生冲突,应以对消费者隐私权提供最大保护的法律规定为准。
第20条 《民法典》第1798.180节修订如下:
1798.180.优先
1798.180.本标题规定的问题关系整个加利福尼亚州,本标题规定取代并优先于市、县、市和县、自治体或地方机构就企业收集和出售消费者个人信息制定的所有规则、条例、法规、条例和其他法律。
第21条 《民法典》第1798.185节修订如下:
1798.185.细则
1798.185.(a)在2020年7月1日或之前,为深化本标题之目的,总检察长应动员公众参与并制定条例,条例包括但不限于以下领域:
(1)根据需要,更新或增加第1798.130节第(c)条和第1798.140节第(v)条中列举的个人信息的类别,以及更新或增加第1798.140节第(ae)条列举的敏感个人信息的类别,以应对技术、数据收集做法、实施障碍和隐私关注的变化。
(2)根据需要,更新“去标识的”和“唯一标识符”的定义,以应对技术变化、数据收集、实施障碍和隐私关注,以及增加、修订或删除为方便消费者根据第1798.130节规定提交从企业获取信息的请求的指定方法定义的类别。更新“去标识的”定义的权力不适用于《联邦法规法典》第45编第164.514节规定的去标识标准,如果这些信息以前是《联邦法规》第45编第160.103节定义的“受保护的健康信息”。
(3)本标题规定通过后一年内以及日后需要,制定为遵守州或联邦法律所需的例外情形,包括但不限于与商业秘密和知识产权有关的例外,该例外的用意是回应可核实消费者请求不应披露商业秘密。
(4)为以下情形制定规则和程序:
(A)便利和管理消费者根据第1798.120节提出的选择退出出售或分享个人信息和根据第1798.121节限制使用消费者敏感个人信息的请求,以确保消费者能够在没有不当负担的情况下行使其选择权,并防止企业从事欺骗性或骚扰性行为包括报复行使权利的消费者,同时允许企业告知消费者决定选择退出出售或分享其个人信息或限制使用其敏感个人信息的后果。
(B)管理企业是否遵从消费者提出的选择退出请求。
(C)督促所有企业开发和使用统一的、可识别选择退出标志或按钮,以提高消费者对选择退出出售个人信息机会的意识。
(5)在每个奇数年的1月,根据消费物价指数增长情况,调整第1798.140节第(d)条第(1)段第(A)款、第1798.150节第(a)条第(1)段第(A)款、第1798.155节第(a)条、第1798.199.25以及1798.199.90节第(a)条中的最低金额标准。
(6)制定规则、程序和例外情形,以确保企业根据本标题规定,以普通消费者容易理解、残障消费者容易获取、与消费者互动的主要用语提供告知和信息,包括在本标题通过后一年内及日后,根据需要制定财务激励的相关规则和指南。
(7)制定规则和程序,以促进第1798.105、1798.106、1798.110和1798.115节之目的,并促进消费者或消费者的授权代理人根据第1798.106节删除个人信息、更正不正确个人信息、根据第1798.130节获取信息的能力,以尽量减轻消费者的管理负担;指导企业确定从消费者处收到的信息请求是可核实的消费者请求,考虑到现有技术、安全问题和企业负担,在本标题通过后一年内以及按此后需要,包括消费者登录账户时,通过消费者在该企业维护的受密码保护的账户提交的请求视为可核实的消费者请求,以及为没有受企业维护账户的消费者提供经企业认证消费者身份后获取请求信息的另一种机制。
(8)规定消费者何时可以根据第1798.106节请求更正,以及在何种情况下可以请求更正,包括以下事项的有关标准:
(A)企业如何对更正请求作出答复,请求包括对不可能作出答复或将涉及不相称努力的请求的例外情况,以及对准确信息的更正请求。
(B)如何解决有关信息准确性的担忧。
(C)企业可采取的防欺诈措施。
(D)如果企业拒绝了对其收集和分析的消费者健康相关个人信息进行更正的请求,消费者有权就其认为不完整或不正确的任何此类个人信息的任何项目或声明向企业提供书面补遗。每一指称的不完整或不正确的项目的补遗字数应限制在250字以内,企业应以书面形式明确标示消费者请求将该补遗作为消费者记录的一部分。
(9)建立标准,根据第1798.130节第(a)条第(2)款第(B)项,以界定企业在答复可核实的消费者请求时,不可能提供超过12个月的信息或需要作出不相称努力的情形。
(10)颁布条例,以进一步界定和增加企业、服务提供商和承包商可以根据消费者期待使用消费者个人信息的商业目的,包括其他通知目的,并进一步界定服务提供商和承包商可以合并从不同来源获得的消费者个人信息的商业目的,但第1798.140节第(e)条第(6)款规定的情形除外。
(11)颁布条例,以确定服务提供商和承包商可根据与企业签订的书面合同将其收到的消费者个人信息用于服务提供商或承包商自身的商业目的,包括其他通知目的,以最大限度保护消费者隐私。
(12)颁布条例,以进一步界定“有意互动”,以最大限度保护消费者隐私。
(13)颁布条例和法律,以进一步界定“精确地理位置”,包括在人口稀少地区或个人信息用于正常经营目的(包括计费)时,所界定的区域大小不足以保护消费者隐私。
(14)颁布条例,对“从消费者处获得的具体信息”进行定义,以最大限度地扩大消费者获取相关个人信息的权利,同时尽量减少向消费者提供对其无用的信息,包括系统日志信息和其他技术数据。对于最敏感的个人信息的传递,条例可以规定更高的认证标准,但机构应监测更高标准对消费者获取个人信息权利的影响,以确保核查要求不会过高以至于消费者可核实请求被不合理地拒绝。
(15)颁布条例,要求处理消费者个人信息将对消费者隐私或安全构成重大风险的企业:
(A)每年进行一次网络安全审计,包括界定审计范围和建立确保审计全面、独立的程序。在确定处理行为何时会对个人信息安全造成重大风险时,应考虑业务规模和复杂性以及处理活动的性质和范围等因素。
(B)定期向加州隐私保护局提交其处理个人信息的风险评估,包括处理是否涉及敏感个人信息,并确定和权衡处理对企业、消费者、其他利益相关者和公众带来的利益与处理对消费者权利造成的潜在风险,如果对消费者造成的隐私风险大于对消费者、企业、其他利益相关者和公众带来的利益,则限制或禁止处理。本条任何规定都不得要求企业泄露商业秘密。
(16)颁布条例,管理与企业使用自动决策技术有关的访问和选择退出权,包括用户画像,并要求企业对访问请求的回应中包含与决策过程逻辑相关的、有意义的信息,以及该决策对消费者可能影响的描述。
(17)颁布条例,进一步界定“执法机构批准的调查”,以实现第1798.145节第(a)条第(2)款规定的例外情形之目的。
(18)颁布条例,界定机构行使审计权的范围和程序,制定审计人员的选用标准,并确保消费者个人信息在没有法院命令、授权令或传票的情况下不向审计人员披露。
(19)(A)颁布条例,明确平台、技术或系统发送的选择退出偏好信号的要求和技术规范,以表明消费者选择退出出售或共享消费者个人信息的意图,并限制消费者敏感个人信息的使用或披露。对选择退出偏好信号的要求和规范应实时更新,以反映消费者与企业的互动方式,并应:
(i)确保发送选择退出偏好信号的平台或浏览器或设备的制造商不会使另一企业处于不利情形。
(ii)确保选择退出偏好信号对消费者友好,描述清晰,易于普通消费者使用,不要求消费者提供必要范围之外的额外信息。
(iii)清晰表达消费者的意图,并且不存在限制或预设该意图的默认情形。
(iv)确保选择退出偏好信号不与消费者可能采用的其他常用隐私设置或工具相冲突。
(v)提供一种机制,使得消费者能够有选择地同意企业出售其个人信息,或使用或披露其敏感个人信息的同时,消费者对其他企业的偏好不受影响或不影响其在全球范围内使用选择退出偏好信号。
(vi)在设置选择退出信号的进入页面或设置页面,说明消费者应看到最多三个选择,包括:
(I)全局选择退出出售和共享个人信息,包括限制使用敏感个人信息的指示。
(II)名为“限制使用我的敏感个人信息”的选项。
(III)名为“不出售/不分享我的个人信息用于跨语境行为广告”的选项。
(B)颁布条例,制定选择退出偏好信号的技术规范,允许消费者或消费者的父母或监护人说明消费者不满13周岁或满13周岁但不满16周岁。
(C)颁布条例,以管理消费者敏感个人信息的使用或披露,在加强消费者隐私的同时,考虑企业的合法经营利益,即便消费者指示限制消费者敏感个人信息的使用或披露,包括:
(i)确定企业可以使用或披露消费者敏感个人信息的任何其他目的。
(ii)确定第1798.140节第(e)条第(8)款所允许的、经第1798.121节第(a)条授权的活动范围,以确保这些活动不涉及健康的相关研究。
(iii)确保企业正常运转。
(iv)确保第1798.121节第(d)条中关于敏感个人信息的豁免适用于偶然收集或处理的信息或不以推断消费者特征为目的的信息,同时确保企业不会利用该豁免来规避消费者根据第1798.121节享有的限制使用和披露其敏感个人信息的权利。
(20)颁布条例,管理选择遵守第1798.135节第(b)条的企业如何回应选择退出偏好信号,并向消费者提供之后同意出售或分享其个人信息的机会,或为第1798.121节第(a)条授权以外的目的使用和披露其敏感个人信息。该条例应:
(A)努力促进竞争和提升消费者选择,做到技术中立。
(B)确保企业对选择退出的偏好信号作出回应时不采取以下方式:
(i)故意降低消费者体验的功能。
(ii)向消费者收取费用以回应消费者的选择退出偏好。
(iii)与不使用选择退出偏好信号的消费者相比,产品或服务对消费者不能正常或充分运行。
(iv)试图通过说明或暗示与不使用选择退出偏好信号的消费者相比,使用选择退出偏好信号将对消费者产生不利影响,包括说明或暗示消费者将无法使用企业的产品或服务,或这些产品或服务可能无法正常或充分运行,从而胁迫消费者选择出售或分享其个人信息,或使用或披露消费者的敏感个人信息。
(v)通过显示通知或弹窗的方式回应消费者的选择退出偏好信号。
(C)确保允许消费者同意选择进入的网页或其支持内容的任何链接:
(i)不属于弹出式窗口、通知、横幅或其他侵入性设计的一部分,这些设计会遮挡消费者打算访问的网页内容,或以任何方式干扰或妨碍消费者访问或浏览其打算访问的网页或网站的体验。
(ii)不要求或暗示消费者必须点击链接才能获得任何产品或服务(包括网站)的全部功能。
(iii)不使用任何暗色图案。
(iv)仅适用于消费者打算与之互动的企业。
(D)努力遏制针对选择退出偏好信号的胁迫性或欺骗性做法,但不应过度限制真诚努力地遵守第1798.135节的企业。
(21)审查与消费者隐私有关的现行《保险法》规定和条例,但与保险费率或定价有关的规定和条例除外,以确认《保险法》规定与本标题规定相比是否能为消费者提供更大保护。在完成审查后,该机构应通过一项法规,仅将本标题中保护力度更大的条款适用于保险公司。为明确起见,保险专员对保险费率和定价具有管辖权。
(22)统一本标题中关于选择退出机制、消费者通知和其他操作机制的规定,以提升本标题对消费者的明确性和可用性。
(b)总检察长可通过以下进一步深化本标题目标的其他必要条例。
(1)就如何处理和满足消费者对与家庭有关的具体个人信息的可核查要求制定规则和程序,以解决执行障碍和隐私问题。
(c)根据本节规定发布的最终条例公布后6个月或2020年7月1日(以较早者为准)之前,总检察长不得根据本编提起强制执行诉讼。
(d)尽管有第(a)条规定,但增加本法要求的最终条例的通过时限应是2022年7月1日。从2021年7月1日或该机构向总检察长通知准备根据本标题开始制定规则的6个月后(以较晚者为准)开始,分配给总检察长根据本节通过条例的权力将由加州隐私保护局行使。尽管有其他法律规定,本法新增或修订的法律条文,在2023年7月1日之前不适用民事和行政执法,并且只适用于在该日或之后发生的违法行为。经本法修订的《2018年加州消费者隐私法》中的法律条款的执行应继续有效,并应在本法相同条款可适用之前继续适用。
第22条 《民法典》第1798.190节修订如下:
1798.190.防止规避
1798.190.为实现本标题之目的,法院或机构应不考虑以下过渡步骤或交易:
(a)如果一系列步骤或交易是一项单一交易的组成部分,且该交易从一开始就有意规避本标题的适用范围,包括企业向第三方披露信息以回避出售或分享的定义。
(b)如果采取某一步骤或交易是为了通过消除任何货币或其他有价对价的方式有意回避出售或分享的定义,包括订立对货币或其他有价物没有提供交换物但一方当事人获得的是有价值的东西或用途的合同,法院应为了实现本标题的目的而不考虑中间步骤或交易。
第23条 《民法典》第1798.192节修订如下:
1798.192.弃权
1798.192.任何类型的合同或协议的任何条款,如意图以任何方式放弃或限制本标题项下的消费者权利,包括但不限于获得救济或强制执行的任何权利,应被视为违反公共政策,认定为无效和不可执行。本节不应妨碍消费者拒绝向企业索取信息,或拒绝和选择退出企业出售消费者个人信息,或授权企业在消费者先前选择退出后又重新出售或共享其个人信息。
第24条 建立加利福尼亚州隐私权保护局
第24.1条 《民法典》中增加第1798.199.10节:
1798.199.10.(a)在州政府层面设立加州隐私保护机构,该机构被赋予充分的行政权力、权威和管辖权,以实施和执行《2018年加州消费者隐私法》。该机构由包括主席在内的五人委员会管理。主席和委员会中的一名成员应由州长任命。总检察长、参议院规则委员会和议会议长应各任命一名成员。这些成员应从加州选民中任命,他们应具备隐私、技术和消费者权利方面的专业知识。
(b)该机构的首次任命应在增设本节的法案生效之日起90日内作出。
第24.2条 《民法典》中增加第1798.199.15节:
1798.199.15.该机构委员会的成员应:
(a)具有履行该机构职责和行使其权力所需的资格、经验和技能,特别是在隐私和技术领域。
(b)对在执行任务或行使权力过程中了解到的信息予以保密,但《公共记录法》要求披露的信息除外。
(c)不受外界直接或间接的影响,不得寻求或接受他人的指示。
(d)在任期内不采取任何与其职责不相称的行动,不从事任何不相称的职业,无论是否获取报酬。
(e)有权查阅机构向主席提供的所有资料。
(f)在离任后一年内,不得接受在该成员任职期间或在其任命前五年期间基于本标题遭受执法行动或民事诉讼的企业的雇用。
(g)在离任后两年内,不得有偿担任任何其他人的代理人或律师,或以其他方式代表任何其他人处理该机构的未决事项,如果其目的是影响该机构的行动。
第24.3条 《民法典》中增加第1798.199.20节:
1798.199.20.机构委员会成员(包括主席)的任期由其任命机构决定,但连续任职时间不得超过8年。
第24.4条 《民法典》中增加第1798.199.25节:
1798.199.25.机构委员会成员在执行公务时,应按每天100美元的标准获得补偿,标准每两年调整一次,以符合生活开销的变化,其执行公务期间的开销应获报销。
第24.5条 《民法典》中增加第1798.199.30节:
1798.199.30.该机构委员会应任命一名执行理事,执行理事应根据该机构的政策和条例以及适用法律行事。该机构应根据适用的公务员法任命和解雇官员、顾问和雇员,并应确定雇员的报酬并规定其职责。该机构可就其雇员无法提供的服务签订合同。
第24.6条 《民法典》中增加第1798.199.35节:
1798.199.35.机构委员会可授权主席或执行理事在机构闭会期间以机构名义行事,但应对执法行动和制定规则的权力除外。
第24.7条 《民法典》中增加第1798.199.40节:
1798.199.40.该机构应履行以下职能:
(a)通过行政行动管理、实施和执行本标题。
(b)在2021年7月1日及之后,或在该机构向总检察长通知其准备根据本标题承担规则制定职责6个月内,根据第1798.185节通过、修订和废除条例,以实施2018年加州消费者隐私法案的目的和规定,包括规定企业记录保存要求的条例,以确保遵守本标题。
(c)通过实施本标题,保护自然人在使用其个人信息方面的基本隐私权。
(d)促进公众认识和了解与收集、使用、出售和披露个人信息有关的风险、规则、责任、保障措施和权利,包括未成年人对其自身信息的权利,并提供一份该机构总结的根据第1798.185节第(a)条第(15)款向该机构提交的风险评估的公开报告,该报告应同时确保数据安全不受损害。
(e)就本标题下的权利向消费者提供指导。
(f)就本标题下的义务和责任向企业提供指导,并任命一名首席隐私审计师对企业进行审计,以确保根据第1798.185节第(a)条第(18)款通过的条例遵守本标题。
(g)应要求向立法机关提供与隐私相关的立法方面的技术援助和建议。
(h)监测与个人信息保护有关的发展,特别是信息和通信技术及商业惯例的发展。
(i)与对隐私法有管辖权的其他机构,以及加州、其他州、地区和国家的资料处理当局合作,以确保隐私保护的适用一致性。
(j)建立一个机制,允许不符合第1798.140节第(d)条第(1)、(2)或(3)款规定的企业定义的、在加州从事经营的人,可以自愿证明其符合第1798.140节第(d)条第(4)款的规定,并制定名单向公众公示上述经营者。
(k)根据第1798.160节第(b)条第(2)款,在可获得资金限度内,募集、审查和批准赠款申请。
(l)在行使其权力、权限和管辖权时,采取所有其他必要或适当的行动,并在加强消费者隐私保护目标与关注企业影响之间寻求平衡。
第24.8条 《民法典》中增加第1798.199.45节:
1798.199.45.(a)经任何人已宣誓投诉或主动投诉,该机构可对任何企业、服务提供商、承包商或个人可能违反本标题的行为进行调查。在作出不调查或给予更多时间纠正的决定时,该机构可以考虑以下因素:
(1)缺乏违反本标题的意图。
(2)企业、服务提供者、承包商或个人在接到投诉通知之前,为纠正被投诉违法行为而作出的自愿努力。
(b)该机构应以书面形式通知投诉人该机构已经或计划对投诉采取的任何行动,并说明采取行动或不采取行动的理由。
第24.9条 《民法典》中增加第1798.199.50节:
1798.199.50.除非在机构审议指称的违法行为之前至少30日,被指称违反本标题的企业、服务提供者、承包商或个人以传票送达或挂号信方式获得通知并给予回执,同时机构向其提供证据摘要并告知其有权亲自和由其律师代表出席机构为审议是否有合理理由相信其违反本标题而举行的任何程序,否则机构不得作出本标题已被违反的决定。向被指控的违法者发出的通知应在送达之日、挂号信签收之日视为已发出,如挂号信未签收则邮局退回之日视为已发出。审议可能的违法诉由而进行的程序应是不公开的,除非被指控的违法者向该机构提出书面请求,要求公开该程序。
第24.10条 《民法典》中增加第1798.199.55节:
1798.199.55.(a)当该机构确定有合理的理由认为存在违反本标题行为时,应举行听证会,以确定该违法行为是否发生。通知的发出及听证会的举行应遵守《行政程序法》[《政府法典》第2篇第3节第1部分第5章(从第11500节开始)]。该机构应拥有该章授予的所有权力。如果该机构基于根据本小节举行的听证会确定发生了违法行为,则应发出命令,要求违规者采取以下全部或任一措施:
(1)停止并终止违反本标题的行为。
(2)根据第1798.155节的规定,向本州普通基金下的消费者隐私基金缴纳行政罚款,每起违法行为罚款最高不超过2500美元,或每起故意违规行为和涉及未成年消费者个人信息的违法行为罚款最高不超过7500美元。当确定没有发生违法行为时,机构应发布声明说明情况。
(b)两人或两人以上对违法行为负有责任的,应承担连带责任。
第24.11条 《民法典》中增加第1798.199.60节:
1798.199.60.当机构拒绝行政法官根据《政府法典》第11517节作出的决定时,机构应以书面形式说明拒绝该决定的理由。
第24.12条 《民法典》中增加第1798.199.65节:
1798.199.65.机构可以传唤证人,强迫他们出庭作证,主持宣誓和誓词,获取证据,并通过传票要求出示任何书籍、文件、记录或其他对机构履行职责或行使权力有重要意义的物品,包括但不限于与企业遵守本标题有关的审计权。
第24.13条 《民法典》中增加第1798.199.70节:
1798.199.70.根据本标题提起的指控违反本标题任何规定的行政诉讼,不得在违法行为发生后5年之后提起。
(a)按照第1798.199.50节的要求,向被控违反本标题的人送达其可能违法的听证通知,即构成行政诉讼的开始。
(b)如果被指控违反本标题的人以欺诈方式隐瞒其行为或身份,则5年期限应根据隐瞒期间予以延长。就本款而言,“欺诈性隐瞒”是指该人知道与该人在本标题下的职责有关的重要事实,并在履行或不履行这些职责时故意隐瞒这些事实,以欺骗公众根据本标题有权获得的信息。
(c)如果上级法院命令在本标题下的任何行政程序中出示传票所要求的任何文件,被指控违反本标题的人未能在规定日期前出示文件以回应命令,则5年期限应在提出强制动议之日起至文件出示之日这段延迟时间上予以顺延。
第24.14条 《民法典》中增加第1798.199.75节:
1798.199.75.(a)在穷尽对该机构行动的司法审查后,除任何其他可用救济方式外,该机构还可向上级法院提起民事诉讼并获得判决,以收取根据本标题征收的任何未偿付的行政罚款。该诉讼可以作为小额索赔案、有限民事案或无限民事案提起,具体取决于管辖金额。本诉讼的审理地点应在该机构实施行政罚款的所在县。为了在根据本节进行的诉讼中获得判决,该机构应按照普通民事诉讼中适用的程序和证据规则,证明以下所有情况:
(1)行政罚款是按照本标题和实施细则规定的程序实施的。
(2)已通过实际或推定方式通知诉讼被告人实施行政罚款。
(3)该机构已提出支付要求,但尚未收到全部款项。
(b)根据第(a)条提起的民事诉讼应在行政罚款实施之日起四年内提起。
第24.15条 《民法典》中增加第1798.199.80节:
1798.199.80.(a)如果对机构最终命令或决定进行司法审查的时间已过,或对命令或决定进行司法审查的所有手段已经用尽,该机构可向法院书记员申请判决,以收取命令或决定或根据司法审查决定修改的命令所规定的行政罚款。
(b)申请书应包括命令或决定或根据司法审查决定修改的命令经核证后的副本,以及命令或决定的送达证明,以构成充分证据证明有理由发布收取行政罚款的判决。法院书记员应根据申请立即作出判决。
(c)根据本条提出的申请,应向该机构作出行政罚款决定所在县的上级法院的书记员提出。
(d)根据本条作出的判决与民事诉讼判决具有相同效力和效果,遵守民事诉讼有关所有法律规定,可以与法院作出的任何其他判决以相同方式执行。
(e)该机构只能在用尽对命令或决定的所有司法审查手段后的四年内,根据本条提出申请。
(f)本节规定的救济措施是对任何其他法律规定的救济措施的补充。
第24.16条 《民法典》中增加第1798.199.85节:
1798.199.85.该机构关于申诉或行政罚款的任何决定,在申诉或行政罚款的利害关系人提起的诉讼中应接受司法审查,并应遵守自由裁量权滥用标准。
第24.17条 《民法典》中增加第1798.199.90节:
1798.199.90.(a)任何违反本标题的企业、服务提供商、承包商或其他人应受到禁令约束,对每次违法行为处以不超过2500美元的民事罚款,或对每次故意违法行为和涉及未成年消费者个人信息的违法行为处以不超过7500美元的民事罚款,并根据第1798.185节第(a)条第(5)款进行调整,由总检察长以加利福尼亚州人民的名义提起民事诉讼进行评估和索赔。法院在确定民事罚款数额时,可考虑企业、服务提供者、承包商或其他人的配合意愿。
(b)总检察长因违反本标题而提起的诉讼所索赔的任何民事罚款,以及任何上述诉讼的和解收益,都应存入消费者隐私基金。
(c)在总检察长的要求下,机构应中止根据本标题进行的行政诉讼或调查,以允许总检察长进行调查或民事诉讼,除非总检察长随后决定不进行调查或民事诉讼,否则该机构不得继续进行行政诉讼或调查。机构不得限制总检察长执行本标题赋予的权力。
(d)在机构根据第1798.199.85节对违反本标题的人作出决定或根据第1798.199.55节发出命令后,总检察长不得根据本节对该人违反本标题的任何行为提起民事诉讼。
(e)本节不影响第1798.150节规定的私人诉讼权。
第24.18条 《民法典》中增加第1798.199.95节:
1798.199.95.(a)由国家普通基金向机构拨款,2020年至2021年财政年度总拨款数目为500万美元,此后每个财政年度,按生活开销变化调整,总拨款数目为1000万美元,用于支持该机构根据本标题开展业务。此项拨款下的资金支出应接受国家其他拨款的正常行政审查。立法机关应向委员会和其他机构划拨执行本标题规定所需的额外资金。
(b)财政部在编制国家预算和向议会提交预算法法案时,应纳入支持本标题的项目,项目应说明以下所有内容:
(1)为其他机构履行本标题下职责而拨付的款项,这些款项应是支持这些机构项目的补充款项。
(2)根据本节规定,立法机关向机构为履行本标题之目的划拨的必要额外款项。
(3)以括号方式注明每个财政年度的持续拨款1000万美元将根据本节规定的生活费变化进行调整,以供参考。
(c)在机构自行雇用工作人员之前,总检察长应向机构提供工作人员支持。机构应报销总检察长的服务费用支出。
第24.19条 《民法典》中增加第1798.199.100节:
1798.199.100.机构和任何法院在确定本标题违法行为的任何行政罚款或民事处罚的数额时,应酌情考虑企业、服务提供者、承包商或其他人的配合意愿。机构、法院或其他机构不得要求企业为同一违法行为同时支付行政罚款和民事处罚。
第25条 修改
(a)获选民批准后,经立法机关两院多数议员投票通过并由州长签署法令将本法规定补充进民法典,修正必须符合并促进第3条规定的本法目的和意图。修正包括对第1798.145节豁免情形的修正,如果对豁免所依据的法律的修订是为了加强隐私,并符合和促进本法目的和意图,以及针对州法院或联邦法院认为本法某项规定违宪或联邦法律预先制止而进行的修正,前提是针对法院裁决进行的进一步法律修订遵守本小节。
(b)尽管有第1798.199.25节规定,立法机关可经由两院多数成员投票通过并由州长签署法令批准向加州消费者隐私机构成员提供额外报酬,如果立法机关认为额外报酬为机构履行职能之必要。
(c)本节适用于作为本法一部分而修订或重新颁布的所有法令及其所有规定,不论本法是否对其作出任何实质性改变。
(d)本法规定应优先于2020年1月1日之后颁布的任何冲突立法。本法的任何修正案或与本法规定相冲突的任何立法,在本法获得选民通过后即无效,不论其位于哪部法典。就本小节而言,如不符合并促进本法第3条规定的立法目的和意图,该法律应被视为“冲突”。
第26条 可分割性
如果本措施的任何规定或本措施的一部分,或任何规定或部分对任何人或情况的适用因任何原因被认定为无效,则其余规定或规定的适用不应受到影响,而应保持完全的效力和作用,基于此,本措施的规定是可以分割的。如果法院通过一项不得再审查的最终判决,判定如果法案将一个或多个实体或活动排除在适用范围外将导致法案违宪,则这些例外情况应被分割开来并适用于法案之前豁免的实体或活动情形。选民的目的在于颁布本法,不论本法是否包含了任何无效规定或是否存在任何无效适用情形。
第27条 相互冲突的倡议
(a)如果本措施和涉及消费者隐私的另一项措施同时出现在加州公选上,则另一项或多项措施的规定应被视为与本措施相冲突。如果本措施获得的赞成票多于被视为与其冲突的措施,则本措施的规定应完全有效,其他措施应无效。
(b)如果本措施已获选民批准,但被选民在同一公选中批准的任何其他冲突措施依法取代,而该冲突的措施之后被认定为无效,则本措施应自动执行,并具有充分效力和执行力。
第28条 诉讼资格
虽然有其他法律规定,但是如果本州或其官员在本法经选民批准后未能捍卫本法的合宪性,本州任何其他政府机构应有权介入任何质疑本法合宪性的司法诉讼,以捍卫本法的合宪性,无论该诉讼是州法院或联邦法院初审还是上诉审,还是加利福尼亚最高法院或美国最高法院的自由裁量复审。诉讼辩护的合理费用和成本应从拨给司法部的资金中支付,并应立即支付。
第29条 解释
本法应作自由解释,以实现本法目的。
第30条 保留条款
本法的目的是在允许的情况下对联邦和州法律进行补充,但如果联邦法律或《加州宪法》禁止适用本法或与联邦法律或《加州宪法》相冲突,则本法不适用。本法中有关16岁以下儿童的规定仅在与联邦儿童在线隐私保护法不冲突的情况下适用。
第31条 生效和执行日期
(a)本法将根据《加州宪法》第2条第10节第(a)条的规定生效。除第(b)条规定外,本法案将于2023年1月1日生效,且仅适用于企业在2022年1月1日或之后收集的个人信息,但访问权除外。
(b)第1798.145节第(m)条和第(n)条、1798.160、1798.185、1798.199.10至1798.199.40(含)以及1798.199.95节自本法案生效之日起开始实施。
(c)经本法案修订后的《2018年加州消费者隐私法》规定,在本法案相同规定生效和强制执行之前仍应保持完全效力和作用并具有执行力。
(翻译:葛胜男
审校:姜文、丁道勤)
[1] 本法案将于2023年1月1日生效(更多生效时间参见本法第31条的规定)。加州CPRA基于加州CCPA进行修改,本翻译保留了原文的增删形式,其中,双划线表示删除,斜体表示新增。