国家立法者加入消费者隐私保护党:介绍了类似CCPA的账单

2018年,加州立法机构因其改变游戏规则的数据保护法——《2018年加州消费者隐私法》(California Consumer Privacy Act of 2018)登上头条。随着一连串类似ccpa的法案在美国各地陆续出台,全国其他州的立法委员似乎也在紧追不舍。虽然现在预测这些法案中的哪一个(如果有的话)将被颁布还为时过早,但州立法机构对隐私的日益关注显然是一个信号,表明隐私状况——以及随之而来的公司合规挑战——将变得更加复杂。

加州消费者隐私法案概述

2018年加州消费者隐私法案(“CCPA”),由加利福尼亚州参议院账单修订某人1121年该法案规定符合条件的企业收集、使用、出售和披露加州居民的个人信息。这项新颁布的法律将于2020年1月1日生效,由于其范围广泛、对个人信息的定义广泛、披露义务增加、消费者权利增强、非无关紧要的法定罚款及其为消费者在某些数据泄露方面创造的私人诉讼权利。你可以阅读更多关于CCPA及其修正案的内容在这里(讨论法律本身)和在这里(讨论修正案),以及对违规诉讼的影响在这里。CCPA还远未定稿。上个月,加州总检察长贝塞拉和州参议员杰克逊提出SB 561.提出进一步的修正案,其中包括将消费者扩大为违反规约的私人行动。此外,司法部长的办公室是预期2019年秋季发布实施细则草案,目前正在举办公众论坛并接受意见。

介绍的类似注册会计师的法案摘要

2019年州立法会议介绍了几个隐私和数据安全账单(类似于CCPA),在美国不少于十个州。最像CCPA的那些,如宽度和潜在的影响,总结如下。请参阅附图在这里与CCPA比较,总结这些国家倡议的关键条款。

1)夏威夷某人418年(状态:在参议院)

夏威夷的拟议法律将为夏威夷消费者提供类似的权利,并强加类似,虽然更有限,但在CCPA中发现的商业披露义务。但是,拟议的法律可能会比CCPA更广泛的影响,因为它可能适用于任何企业实体,无论大小,收集有关在夏威夷状态内与业务互动的人的识别信息。该法案不包括私人诉讼权吗并没有列举夏威夷消费者保护办公室可能施加的惩罚。

2)马里兰SB 613.(状态:在参议院)

马里兰州的拟议法律将为马里兰州消费者提供类似的权利,并强加类似,虽然更有限,但对企业的披露义务是在CCPA中发现的。然而退出权利根据拟议法律可能更广泛,因为它适用于向第三方的任何个人信息披露,而不是数据销售。此外,拟议的法律还包括一项完全禁止“了解”披露儿童个人信息(未满18岁)无提提。该法案不包括私人诉讼权吗对于消费者。

3)马萨诸塞州SD 341.(参议院)

马萨诸塞州的拟议法律将为马萨诸塞州消费者提供类似的权利,并强加类似,虽然更有限,但对企业的披露义务是CCPA中的那些。然而选择退出的权利可能更广泛因为它适用于任何向第三方披露个人信息的行为,而不仅仅是数据销售。此外,拟议的法律还包括一项完全禁止在知情的情况下泄露儿童的个人信息(未满18岁)无提提。该法案提供私人诉讼权利对于遭受任何侵犯拟议法律的消费者来说。除私人行动权外,马萨诸塞州的拟议法律与马里兰州的拟议法律非常相似。

4)密西西比HS 1253(死的)

密西西比州的提案几乎反映了CCPA中的消费者权利和个人信息义务。然而,该法案没有通过委员会的审议,州立法机关不再考虑该法案。

5)内华达州某人220年(参议院)

内华达州的拟议法律修改了该州现有的要求,即任何拥有或运营一个出于商业目的的互联网网站或在线服务的人,只要与内华达州有足够的联系,就运营商收集的涵盖信息向消费者提供通知。该修正案借用了注册会计师的权利,允许消费者向经营者提交通知,指示经营者不要出售其涵盖的信息。然而,它确实不扩大通知义务,包括CCPA下所需的所有组件,例如有关出售信息的通知,并没有提供《中国注册会计师条例》所赋予的其他消费者权利,例如删除的权利。拟议的法律规定任何受伤者的个人诉讼权利违反了新的选择退出权或现有的通知义务。

6)北达科他州HB 1485.(由立法管理研究取代)

北达科他州的提案与CCPA相差最远。与CCPA不同,它不包含一般通知义务,除了回应消费者的要求。然而,它通常未经明确书面同意,禁止将个人信息披露给第三方消费者。而且,它提供了巨额的罚款如果涵盖的实体违反了司法部长颁发的停止和停止订单(每次违规的10万美元或250,000美元,每次故意违反停止和停止订单)。拟议的法律也包括一个私人行动权针对违反该法案而购买、接收、出售或共享个人信息的消费者。不过,拟议的法律已被一项授权对消费者个人资料披露进行立法管理研究的法案所取代在这里修订后的法案)。

7)新墨西哥某人176年(参议院)

新墨西哥州提出的法律将为新墨西哥州的消费者提供类似的权利,并规定类似的、但更有限的披露义务,就像《CCPA》中规定的那样。然而,拟议的法律并没有狭义定义“企业”、“消费者”或“未成年人”,因此可能比CCPA的范围更广,可能适用于任何收集新墨西哥州消费者个人信息的企业实体。该法案没有明确每一次违规的处罚限额司法部长可能会强加,但确实如此故意违例的最高罚款额为每项10,000元

8)纽约SB S224.(参议院)

纽约的拟议法律着重于个人信息披露的透明度,而没有授予CCPA中其他重要的消费者权利(包括删除权)。企业需要向客户提供向第三方披露的个人信息类别,以及从企业接收客户个人信息的所有第三方的姓名和联系信息。这项提案比CCPA草案更广泛,因为它适用于纽约业务的任何人或实体。此外,拟议的法律允许商业,纽约律师将军,一个地区律师,城市律师或城市检察官的“客户”,以提起民事诉讼,以恢复违反票据的“处罚”。

9)罗德岛某人234年(参议院)

罗德岛州的拟议法律将为罗德岛州的消费者提供类似的权利,并像CCPA一样,强加类似但更有限的披露义务。尽管采用了CCPA对某些违约行为的私人诉讼权,拟议的法律并没有明确说明国际扶轮总检察长是否有权执行拟议的法律及可能施加的任何罚款。

10)华盛顿某人5376年(参议院、众议院通过)

华盛顿拟议的法律融入了欧盟一般数据保护规范的几种概念(“GDPR”)进入CCPA的一般框架(例如,控制器与处理器义务,风险评估义务)。拟议的法律适用于在华盛顿开展业务的实体,或者生产目的地瞄准华盛顿居民的产品或服务,并符合CCPA中包含的两个门槛之一。拟议的法律要求企业提供隐私声明,披露所收集的个人数据类别,所使用的个人数据的目的以及与个人数据的共享和销售有关的信息。为消费者提供的权利更加反映了GDPR下提供的权利:知识和获取个人数据的权利,纠正个人数据的权利,删除个人数据的权利,限制或对象的权利根据面部识别的分析,对个人数据和禁止进行个人资料和禁止的处理。

该法律授予华盛顿司法部长根据华盛顿消费者保护法使用其执法权力的权利,以及寻求禁令或每项违例或故意违例最高可被判民事罚款$2,500或$7,500。然而,它不授予任何私人诉权对于消费者。该法案通过了将于2019年3月6日在参议院举行。现在只剩下不到两个月了2019年常会那么有关这一拟议法律的额外新闻很可能会在未来几周内宣布。

外卖

虽然现在预测这些法律是否会生效还为时过早,但从这一连串的立法活动中,我们可以看到一些关键的收获:

  • CCPA不太可能成为唯一将在美国颁布的国家特定一般消费者隐私保护法。国家立法机构敏锐地对数据保护和隐私法规感兴趣,这在许多州立房屋中具有双层支援。各种国家提案中的一个共同的分母是提供的访问,选择退出和删除的GPR-和CCPA风格的消费权,但在申请的广度和这些权利的影响方面存在一些差异。此外,这些国家提案的适用性各不相同,包括可在拟议法范围之外带来业务的可用豁免。只有一个例子,虽然CCPA为格拉米尔 - 纬线行为所涵盖的数据提供了广泛的豁免,但仍未考虑的八个拟议条例中的三个具有类似的豁免。
  • 增加的国家级隐私监管活动导致联邦立法的重新推动。企业应致力于旨在旨在旨在抢占,协调或标准化国家消费者隐私法的某些方面的举措。
  • 企业目前受制于GDPR和/或将受到CCPA在2020年生效时应该考虑是否他们当前的隐私和数据安全提出合规程序是足够灵活,能够适应新的法律,有可能在不久的将来加入隐私景观。
  • 企业不受GDPR和可能不受CCPA应考虑他们是否有一个适当的隐私和数据安全治理结构预测的影响,任何新法律可能会对他们的业务操作和图表一条可信的合规事件他们成为主题这样的法律。

你准备好了CCPA吗?采取orrick的CCPA准备评估。

  • 根据CCPA条款评估你的公司。
  • 收到一份总结可能的关键影响的称赞报告。
  • 使用该报告开发开发CCPA项目计划。