18《消费者隐私法案》
April, 2019
- 2018年新的《消费者隐私法案》(下称“该法案”)并开始合规准备。
- 谁应该为该法案做准备?Who should prepare for the Act?
- i)在加利福尼亚州开展业务,(ii)收集加州消费者的“个人信息”,并(iii)满足以下一个或多个条件:(A)年度总收入超过2500万美元; (B)(出于商业目的)购买、接收、出售或分享50,000或更多加州消费者个人、家庭或设备的个人信息;或(C)通过出售加州消费者个人信息获得50%及以上年收入的。
- 企业什么时候开始为该法案做准备?When should companies start preparing for the Act?
- 12个月的回顾条款。该法案于2020年1月1日生效后,消费者将有权要求公司提供在过去12个月内(最早可追溯到2019年1月1日)收集的有关自己的所有数据。适用该法案的涵盖企业需要立即采取行动以准备合规。
- 如果公司不遵守该法案会怎样?What happens if a company fails to comply with the Act?
- 2,500美元至7,500美元间的民事罚款。该法案还规定,因企业未能实施与其所获得的消费者个人信息类型和敏感性相对应的合理安全保障措施,而导致个人信息数据泄露的消费者,法定损失赔偿金额为100至750美元,或赔偿实际损失金额,以两者中较大者为准。
- 公司应该如何准备符合该法案的合规?What should companies do to prepare for compliance with the Act?
- 消费者知情权和请求访问权的数据映射Data mapping for consumers’ right to know and to request for access
- 2019年初尽早开始进行数据映射、建立数据跟踪系统。如消费者根据该法案要求企业提供个人信息报告,企业有45天的时间为消费者准备一份有关其个人信息的综合报告,包括企业收集了何种信息,收集信息的目的,信息是否已被出售,若被出售则需提供信息购买方的信息(包括姓名和地址)等。消费者有权每年提出两次此类要求。该法案还要求公司制定验证消费者此类请求合法性的方法。
- 消费者有权“选择退出”或“删除个人信息”的隐私条款Consumer’s privacy choices to opt out or to delete
- 16岁以下的未成年人,该法案要求公司在向第三方出售其个人信息之前获得消费者的明确同意(如果未满13岁,则需要父母或法定监护人同意)。
- /她有权删除公司收集和维护的个人信息,并提供如何提交此类请求的信息。
- 确保信息安全符合法律规定Ensuring information security in line with the law
- 审查和更新第三方协议Review and Update of Third-Party Agreements
- 更新隐私政策Updating privacy policy
- 12个月更新一次。