編集者注: WRAL TechWire は最近、データ プライバシー法に関する 5 部構成のシリーズを開始し、技術法の最も急速に成長し、最も複雑な分野の 3 つを明らかにしました。 これはパート XNUMX です。以前の投稿はこのストーリーに埋め込まれています。
Steve Britt は、サイバー、データ プライバシー & テクノロジー (CIPP/E、CIPM) の弁護士である Parker Poe です。Sarah Hutchins は、Parker Poe のサイバー、データ プライバシー & テクノロジー (CIPP/US) のパートナーです。
+ + + +
カリフォルニア州が 2002 年にデータ侵害通知法を制定した最初の州であったように (アラバマ州は 50th カリフォルニア州消費者プライバシー法 (CCPA) として知られる包括的なデータ プライバシー法を 2018 年に制定した最初の州でした。 ガイドとして GDPR を使用しますが、最終結果に独自の印を付けることで、カリフォルニア州は GDPR と共通する多くの要素を共有しました。
- の広い定義 個人情報、IP(インターネットプロトコル)アドレス、デバイスデータ、その他のオンライン識別子を含む、自然人に関連する、または個人を特定するために使用される可能性のある情報を含めるため、
- GDPR のデータ主体の権利のほとんど (すべてではない) を採用し、それらの権利がどのように行使されるかについての明確で透明性のある説明を条件として、
- どのようなデータが収集されるか、そのような収集の目的、およびそれが第三者と共有されるかどうかに関する詳細なプライバシー通知の要件
- データが共有される特定の種類の第三者に対する制限的な契約の要件、
- リスクベースのデータ セキュリティ基準の適用、
- 個人情報を取り扱うすべての担当者に対する包括的な従業員トレーニングの要件、
- 合理的なデータセキュリティを提供できなかったために発生したデータ侵害に対する限定的な私的訴訟原因で、そのような行為におけるインシデントごとに消費者あたり 100 ドルから 750 ドルの法定損害賠償金が発生し、最後に、
- 政府機関 (この場合はカリフォルニア州司法長官) による CCPA の施行。
制定当時、CCPA は次のように呼ばれていました。 GDPRライト、しかしそれは実際には概念的な意味でのみ真実であり、CCPAはいくつかの意味のある方法でGDPRと異なっていました. たとえば、CCPA:
- 非営利団体または政府機関、免除された従業員および企業間 (B2B) の連絡先には 3 年間適用されませんでした。
- カリフォルニア州でビジネスを行っている営利企業で、一般的にブランド化されたアフィリエイトと合わせて、世界の年間収益が 25,000,000 万ドル以上で、少なくとも 50,000 人の消費者 (デバイスを含む) のデータを処理しているか、販売から収益の 50% を受け取っている企業にのみ適用されます。個人情報の
- 適切なデータセキュリティを提供できなかったために生じたデータ侵害による損害について、私的訴因を認めました (現在、14 州がデータ侵害通知法で私的訴因を認めています)。
- Gramm-Leach-Bliley、公正信用報告法、ドライバーのプライバシー保護法、および医療保険の相互運用性と説明責任に関する法律 (HIPAA) によって規制されている情報は、除外されています。
- 会社のホームページに「」というラベルの付いた Web ボタンが必要です個人情報を販売しない「サービスプロバイダー」としての資格を持たない第三者に個人情報を転送するため、
- 広告技術およびマーケティング技術プロバイダーを獲得した「非金銭的対価」のためのあらゆる転送をデータの「販売」と定義し、
- マーケティング コミュニケーションに Cookie のポップアップや肯定的な同意を必要としませんでした。
しかし、CCPA と同じくらい広範囲に及ぶため、2020 年 1 月、カリフォルニア州は 2023 年 XNUMX 月 XNUMX 日に発効するカリフォルニア州プライバシー権法 (CPRA) を投票主導で制定しました。意味のある方法。 たとえば、CPRA:
- CCPA の管轄トリガーを (100,000 ではなく) 50,000 人の消費者に関するデータの収集に引き上げ、消費者の「デバイス」の適用範囲を削除しました。
- カリフォルニア州のビジネスが実際にカリフォルニア州民の個人情報をそのアフィリエイトと共有していない限り、一般的にブランド化されたアフィリエイトは対象ビジネスの定義から除外されます。
- 「機密情報」と呼ばれる新しいカテゴリの個人情報を含め、そのようなデータをカバーするためにオプトアウトの権利を拡大しました。
- 「共有」と呼ばれるデータの第三者開示のカテゴリを作成し、「販売しない」ボタンを「私の個人情報を販売または共有しない」に拡張しました。
- 企業の従業員と企業間 (B2B) の連絡先をカバーするようにデータの権利を拡大し、
- 新たな規制の可能性がある 22 の新しい領域を含む、幅広い規制権限を持つ、国内初の専用の州データ プライバシー規制機関 (California Privacy Protection Agency と呼ばれる) を作成しました。
カリフォルニア州プライバシー保護庁 (CPPA) の広範な権限を見逃してはなりません。特に、CCPA は既に XNUMX 回の司法長官規則の対象となっており、場合によっては、法律で規定されている以上の規則を課しているからです。 また、カリフォルニア州の私的な訴因、および他の特定の司法管轄区では、データ侵害法に基づく訴訟の可能性により、データ管理に関連するリスクが指数関数的に増加しています。
CPRA によって修正された CCPA の複雑さは、すでに GDPR に匹敵しますが、カリフォルニア州と欧州連合の両方が、国境を越えた転送制限やその他の一連の EU イニシアチブで協力するという目標を表明しています。 一方、次の記事で説明するように、米国の他の州はカリフォルニアからヒントを得ています。
スティーブブリット、CIPP/E、CIPM は、法律事務所 Parker Poe のサイバー、データ プライバシー、テクノロジーの弁護士です。 彼は自分の練習に焦点を当てています サイバーセキュリティとデータプライバシーに関する法律と規制. ブリットは、あらゆる範囲のデータ保護法についてクライアントに助言しています。 彼に到達する可能性があります stevebritt@parkerpoe.com.
サラ・ハッチンズ、CIPP/US は、法律事務所 Parker Poe のサイバー、データ プライバシー、テクノロジーの弁護士です。 彼女は、クライアントがビジネス訴訟、政府の調査、データのプライバシーとサイバーセキュリティをナビゲートするのを支援しています. ハッチンスへの連絡先は次のとおりです。 sarahhutchins@parkerpoe.com.