<output id="5zixi"></output>
<output id="5zixi"><legend id="5zixi"></legend></output>
<p id="5zixi"><del id="5zixi"><div id="5zixi"></div></del></p>

<tr id="5zixi"><label id="5zixi"></label></tr>
<p id="5zixi"></p>
  • <tr id="5zixi"><label id="5zixi"></label></tr><td id="5zixi"><ruby id="5zixi"></ruby></td><acronym id="5zixi"><meter id="5zixi"></meter></acronym><object id="5zixi"><strong id="5zixi"><address id="5zixi"></address></strong></object>

    丁曉東的個人空間

    博客

    加州消費者隱私法案及條例(條文及說明)

      加州消費者隱私法案

      第1798.100節
     
      (a)   對于收集消費者個人信息的企業,消費者有權要求該企業披露收集的其個人信息的類別和具體部分。
     
      (b)   收集消費者個人信息的企業應在收集時或收集之前告知消費者將要收集的個人信息類別和使用目的。如果企業未按照本節規定向消費者進行告知,企業不得收集其他類別的個人信息,或將收集的個人信息用于其他目的。
     
      (c)   企業只有在收到可核實的消費者請求時,才能向消費者提供(a)小節中規定的信息。
     
      (d)   企業在收到可核實的消費者要求查閱個人信息的請求時,須迅速免費向消費者披露及交付本節所規定的個人信息。個人信息可以通過郵件或電子方式提供,如果以電子方式提供,個人信息的格式應為可攜帶的、在技術可行的范圍內易于使用的、且允許消費者無障礙地將該信息傳遞給另一實體的。企業可以隨時向消費者提供個人信息,但不得應消費者請求12個月內向其提供兩次以上的個人信息。
     
      (e)   如果個人信息是為了一次性交易,而且此類信息不是由企業出售或維護的,也不是為了重新標識,或以其他方式關聯到未被以個人信息的方式保存的信息,則本節規定并不要求該企業對其進行保留。
     
      第1798.105節
     
      (a)   對于從消費者處收集的有關消費者的任何個人信息,消費者有權要求企業刪除。
     
      (b)   收集消費者個人信息的企業,應根據第1798.130節規定,告知消費者其具有要求刪除消費者個人信息的權利。
     
      (c)   根據本節第(a)小節的規定,收到消費者可核實的刪除其個人信息請求的企業,應刪除其記錄中的消費者個人信息,并指示所有服務提供商從其記錄中刪除消費者的個人信息。
     
      (d)   企業或服務提供者如出于以下目的而有必要保存消費者的個人信息,則無須應消費者請求刪除其個人信息:
     
      (1)為了完成交易而收集個人信息,履行根據聯邦法律進行的書面保        證或產品召回條款,提供消費者要求的或在企業與消費者的持續業務關系范圍內合理預期的商品或服務,或者履行企業與消費者之間的合同。
     
      (2)發現安全事件,為了防止惡意、欺騙、欺詐或非法活動;或為了起訴對這些活動有責任的人。
     
      (3)為了識別和修復損害已有預期功能的錯誤而進行的除錯調試。
     
      (4)為了行使言論自由權,保障其他消費者行使該消費者言論自由的權利,或者行使法律規定的其他權利。
     
      (5)根據《刑法》第2部分第12編第3.6章(從第1546節開始)的要求,為了遵守《加利福尼亞電子通信隱私法》。
     
      (6)從事符合所有其他適用道德和隱私法的公共或同行評審的科學、歷史或統計研究,如果企業刪除個人信息可能導致無法繼續進行或嚴重損害此類研究,且消費者已經在充分知情的情形下做出了同意。
     
      (7)為了企業內部使用,且根據消費者與企業的關系,該使用完全符合消費者的期望。
     
      (8)為了履行法定義務。
     
      (9) 以其他方式在企業內部合法使用消費者的個人信息,使用方式與消費者提供個人信息的語境相一致。
     
      第1798.110節
     
      (a)   對于收集消費者個人信息的企業,消費者有權要求其向消費者披露以下信息:
     
      (1)收集的消費者個人信息類別。
     
      (2)收集的消費者個人信息的來源類別。
     
      (3)收集、出售消費者個人信息的企業或者商業目的。
     
      (4)與企業共享消費者個人信息的第三方類別。
     
      (5)收集的有關該消費者個人信息的具體部分。
     
      (b)   根據第1798.130節第(a)小節第(3)段,收集消費者個人信息的企業應在收到消費者可核實的請求后,向消費者披露第(a)小節中規定的信息。
     
      (c)   收集消費者個人信息的企業應根據第1798.130節(a)小節第(5)段(B)款披露以下信息:
     
      (1)收集的消費者個人信息類別。
     
      (2)收集的消費者個人信息的來源類別。
     
      (3)收集、出售消費者個人信息的企業或者商業目的。
     
      (4)與企業共享消費者個人信息的第三方類別。
     
      (5)收集的有關該消費者個人信息的具體部分。
     
      (d)   本節并不要求任何企業做出以下事項:
     
      (1)     正常經營過程中未保留消費者的個人信息,保留的消費者的個人信息僅為一次性交易中所收集的消費者的個人信息。
     
      (2)     重新識別或以其他方式關聯到正常經營過程中未被以個人信息的方式保存的任何數據。
     
      第1798.115節
     
      (a)   對于出售消費者個人信息或為商業目的披露消費者個人信息的企業,消費者有權要求其向消費者披露以下信息:
     
      (1)     收集的個人信息類別。
     
      (2)     出售的個人信息類別,以及根據個人信息類別區分的出售個人信息的第三方類別。
     
      (3)     企業出于商業目的披露的消費者個人信息類別。
     
      (b)   根據第1798.130節第(a)小節第(4)段的規定,出售消費者個人信息或出于商業目的披露消費者個人信息的企業,應在收到消費者可核實的請求后,向消費者披露第(a)小節中規定的消費者個人信息。
     
      (c)   根據第1798.130節第(a)小節第(5)段第(C)款的規定,出售消費者個人信息或出于商業目的披露消費者個人信息的企業應披露:
     
      (1)     出售的消費者個人信息的種類,如果企業未出售消費者個人信息,應當披露這一事實。
     
      (2)     出于商業目的而披露的消費者個人信息的種類,如果企業沒有出于商業目的披露消費者個人信息,應當披露這一事實。
     
      (d)   第三方不得出售企業已經出售給第三方的消費者個人信息,除非消費者已收到明確通知,并有機會根據第1798.120節行使退出權。
     
      第1798.120節
     
      (a)   對于向第三方出售其個人信息的企業,消費者有權隨時要求其不得出售其個人信息。這項權利可以稱為選擇退出的權利。
     
      (b)   向第三方出售消費者個人信息的企業,應根據第1798.135節第(a)小節的規定,向消費者發出通知,說明該信息可能被出售,而且消費者有權“選擇退出”出售其個人信息的行為。
     
      (c)   盡管有(a)小節的規定,但如果企業實際知悉消費者未滿16歲,則企業不得出售消費者的個人信息,除非消費者已滿13歲且未滿16歲,或未滿13歲的父母或監護人已經明確授權銷售其個人信息。故意無視消費者年齡的企業,視為實際知悉消費者年齡。這項權利可以稱為“選擇加入的權利”
     
      (d)   若企業已收到消費者拒絕出售消費者個人信息的要求,或未收到出售未成年人個人信息的同意,應根據第1798.135節第(a)小節第(4)段的規定,在收到消費者的要求后應當禁止其出售消費者個人信息,除非消費者隨后明確授權出售消費者個人信息。
     
      第1798.125節
     
      (a)   (1)企業不得因消費者行使本編所規定的權利而使用包括但不限于如下的方式歧視消費者:
     
      (A)  拒絕向消費者提供商品或服務。
     
      (B)  對貨物或服務收取不同的價格或費率,包括通過使用折扣或其他好處或施加懲罰。
     
      (C)  向消費者提供不同水平或質量的商品或服務。
     
      (D)  暗示消費者將獲得不同的商品或服務價格或費率,或獲得不同水平或質量的商品或服務。
     
      (2)企業向消費者收取不同的價格或費率,或向消費者提供不同水平或質量的商品或服務時,如果該差值與消費者數據向企業提供的價值合理相關,本小節的任何規定均不禁止企業的此類行為。
     
      (b)   (1)企業可為收集個人信息、出售個人信息或刪除個人信息提供經濟激勵,包括向消費者支付補償金。如果商品或服務的價格或差異與消費者數據提供給企業的價值直接相關,企業也可以向消費者提供不同的價格、費率、水平或質量。
     
      (2)企業根據本小節提供任何經濟激勵,應根據第1798.130節的規定,將經濟激勵通知消費者。
     
      (3)只有企業根據第1798.130節在清楚地描述了經濟激勵計劃的實質性條款,消費者做出了選擇加入的同意,而且消費者可以隨時撤銷的情況下,企業才可以讓消費者加入經濟激勵計劃。
     
      (4)企業不得使用不公正、不合理、脅迫性或具有高利貸性質的經濟激勵措施。
     
      第1798.130節
     
      (a)   為符合第1798.100、1798.105、1798.110、1798.115及1798.125節的規定,企業須以消費者可訪問的形式進行如下行為:
     
      (1)     (A)根據第1798.110及1798.115節規定按消費者請求提供個人信息時,應向消費者提供兩種或兩種以上指定的提出請求的方式,其中須包括通過免費電話提出請求的方式;根據第1798.110及1798.115節規定按消費者請求提供個人信息時,如該企業僅在網上經營且與收集個人信息的消費者有直接關系,只需提供一個電子郵件地址。
     
      (B)根據第1798.110及1798.115節規定按消費者請求提供個人信息時,如該企業設有互聯網網站,須向消費者提供互聯網網站網址。
     
      (2)     企業在收到消費者可以核實的請求后45日內,應免費向消費者披露并提供所需信息。企業應立即采取措施確定該請求是否為可核實的消費者請求,但這不應延長企業在收到消費者請求后45天內披露和提供信息的期限。提供所需信息的期限可在合理必要時延長45天,但前提是消費者在前45天內收到延期通知。披露的信息范圍應涵蓋企業收到可核實的消費者請求之前的12個月,如果消費者在企業中開設賬戶,則應以書面形式作出并通過消費者在企業中的賬戶提供;如果消費者沒有在企業中開設賬戶,可以選擇通過郵件或電子方式提供,個人信息的格式應為易于使用的、且允許消費者無障礙地將該信息傳遞給另一實體的。企業可要求消費者根據所要求的個人信息的性質進行合理的認證,但不得要求消費者在企業中創建賬戶以核實消費者的請求。如果消費者在企業中開設賬戶,企業可以要求消費者通過該賬戶提交核實請求。
     
      (3)     就第1798.110節(b)小節而言:
     
      (E)  為了識別消費者,將消費者在可核實的消費者請求中提供的信息,與企業先前收集的關于消費者的任何個人信息相關聯。
     
      (F)   參照(c)小節中列舉的一個或多個最能準確描述收集的個人信息的類別,識別在過去12個月內收集的有關消費者個人信息。
     
      (4)     就第1798.115節(b)小節而言:
     
      (A)  為了識別消費者,將消費者在可核實的消費者請求中提供的信息,與企業先前收集的關于消費者的任何個人信息相關聯。
     
      (B)  參照(c)小節中列出的一個或多個最能準確描述出售的個人信息的類別,識別在過去12個月內出企業出售的消費者個人信息,并提供在在過去12個月內,參照(c)小節中列舉的一個或多個最能準確描述出售的個人信息的類別。企業應在一份與為(C)款的而編制的清單分開的清單中披露信息。
     
      (C)  參照(c)小節中列出的一個或多個最能準確描述為商業目的而披露的個人信息的類別,識別在過去12個月內出企業為商業目的而披露的個人信息,并提供在在過去12個月內,參照(c)小節中列舉的一個或多個最能準確描述所披露個人信息的類別。企業應在一份與為(B)款的而編制的清單分開的清單中披露信息。
     
      (5)     如果企業有在線隱私政策,企業應當在其隱私政策中披露以下信息;在任何對加州消費者隱私權的具體描述中,或者如果企業不遵守這些政策,企業應當在其網站上披露以下信息,并至少每12個月更新一次:
     
      (A)  根據第1798.100、1798.105、1798.110、1798.115和1798.125節對消費者權利的描述,以及一種或多種提交請求的指定方法。
     
      (B)  就第1798.110節第(c)小節而言,參照(c)小節中列舉的一個或多個最能準確描述過去12個月內收集的個人信息的類別清單。
     
      (C)  就第1798.115節(C)小節第(1)段和第(2)段而言,兩份單獨的清單:
     
      (i)              參照(c)小節中列舉的一個或多個最能準確描述過去12個月內收集的個人信息的類別清單。如果該企業在過去12個月內沒有出售消費者的個人信息,企業應披露這一事實。
     
      (ii)            參照(c)小節中列舉的一個或多個最能準確描述過去12個月內企業出于商業目的而披露的個人信息的類別清單。如果該企業在過去12個月內沒有披露消費者的個人信息,企業應披露這一事實。
     
      (6)     所有負責處理消費者咨詢企業隱私實踐或企業的本法合規情況的個人,需保證其熟悉第1798.100、1798.105、1798.110、1798.115和1798.125節以及本節中的要求,以及如何引導消費者行使其在這些條款下的權利。
     
      (7)     企業從消費者處收集的核實消費者要求的個人信息,只能用于核實目的。
     
      (b)   企業沒有義務在12個月內向同一消費者提供兩次以上第1798.110節和第1798.115節規定的信息。
     
      (c)   根據第1798.110及1798.115節須予披露的個人信息類別,須遵從第1798.140節對個人信息的定義。
     
      第1798.135節
     
      (a)   企業須按照第1798.120節,以消費者可合理訪問的形式:
     
      (1)     在企業的互聯網主頁上,提供標題為“請勿出售我的個人信息”的清晰、顯眼的網站鏈接,使消費者或消費者授權的人能夠選擇不出售消費者的個人信息。企業不得以不出售消費者的個人信息為條件要求消費者開立賬戶。
     
      (2)     包括根據第1798.120節對消費者權利的描述,以及“請勿出售我的個人信息”互聯網網頁的單獨鏈接:
     
      (A)  其在線隱私政策,如果企業有在線隱私政策。
     
      (B)  加州對消費者隱私權的所有具體描述。
     
      (3)     所有負責處理消費者咨詢企業隱私實踐或企業遵守本法規定的個人,需保證其熟悉第1798.120節以及本節中的要求,以及如何引導消費者行使其在這些條款下的權利。
     
      (4)     對于行使選擇退出權,選擇不出售消費者個人信息的消費者,企業不得銷售其收集的消費者個人信息。
     
      (5)     對于選擇不出售消費者個人信息的消費者,在請求消費者授權出售消費者個人信息之前,應理解為消費者選擇了至少12個月不出售的決定。
     
      (6)     使用從消費者處收集的與提交消費者選擇退出請求有關的任何個人信息,應僅用于遵從選擇退出請求的目的。
     
      (b)   如果公司維護一個包括所需鏈接和文本的單獨附加主頁,專門針對加利福尼亞州消費者,并且采取合理步驟,確保加利福尼亞州消費者直接指向加利福尼亞州消費者的主頁,而不是向一般公眾提供的主頁,那么遵守本條款中的內容,不得解釋為要求企業通過在其向一般公眾提供的主頁上包含所需的鏈接和文本,
     
      (c)   消費者可授權他人僅代表消費者選擇不出售其個人信息,企業應根據總檢察長所通過的規章,遵守消費者授權代表消費者行事的人提出的不出售請求。
     
      第1798.140節
     
      就本編而言:
     
      (a)    “匯總的消費者信息”是指與一組或一類消費者有關的信息,個人消費者身份已從這些信息中去標示,這些信息與任何消費者或家庭(包括通過設備)沒有聯系或合理聯系。聚合消費者信息并不意味著一個或多個已去標示的個人消費者記錄。
     
      (b)    “生物識別信息”是指包括個人的脫氧核糖核酸(DNA)在內的個人生理、生物或行為特征,可單獨使用或與其他識別數據結合使用以確定個人身份的信息。生物識別信息包括但不限于虹膜、視網膜、指紋、面部、手部、手掌、靜脈模式和語音記錄的圖像,從中可以提取識別模板,例如臉紋、細節模板或聲紋,以及擊鍵模式或節奏、步態模式或節奏、睡眠、健康,或包含識別信息的練習數據。
     
      (c)    “企業”是指:
     
      (1)     滿足如下條件的個人獨資企業、合伙企業、有限責任公司、公司、協會或其他法律實體:為其股東或收集消費者個人信息的其他所有者的利益或財務利益而組織或經營的,或代表其收集信息,并單獨或與他人共同確定處理消費者個人信息的目的和方法的,在加利福尼亞州開展業務的,并滿足以下一個或多個基本條件的公司:
     
      (A)  根據第1798.185節第(a)小節第(5)段調整后,年總收入超過2500萬美元。
     
      (B)  為商業目的,每年單獨或合并購買、接收、出售或共享50000條或更多消費者、家庭或設備的個人信息。
     
      (C)  年收入的50%或以上為銷售消費者個人信息所得。
     
      (2)     任何控制或被第(1)段所界定的業務所控制并與該業務有共同品牌的實體。“控制”或“受控”是指對企業任何類別有表決權證券的已發行股票享有50%以上的所有權或表決權;以任何方式對企業過半數董事或行使類似職能的個人的選舉享有控制權;或對企業管理層有控制性影響。“共同品牌”是指共享名稱、服務標志或商標。
     
      (d)    “商業目的”是指將個人信息用于商業目的,或用于服務提供商的運營目的,或其他已經告知的目的,但為了實現收集或處理個人信息的運營目的,或者為了實現與收集個人信息的語境相適應的其他運營目的,個人信息的使用應是合理必要和符合比例的。商業目的是:
     
      (1)     與當前與消費者的互動和并發交易相關的審計,包括但不限于向唯一訪問者計數廣告印象,驗證廣告印象的定位和質量,以及審計是否符合本規范和其他標準。
     
      (2)     發現安全事件,防止惡意、欺騙、欺詐或非法活動,并起訴活動負責人。
     
      (3)     調試以識別和修復損害現有預期功能的錯誤。
     
      (4)     短期、暫時性使用,前提是個人信息未披露給另一第三方,且不用于建立消費者的個人資料或在當前互動之外以其他方式改變個人消費者的體驗,包括但不限于,廣告的上下文定制顯示為同一交互的一部分。
     
      (5)     代表企業或者服務提供者提供服務,包括維護或者提供賬戶服務、提供客戶服務、處理或者履行訂單和交易、核實客戶信息、處理付款、提供融資、提供廣告或者營銷服務、提供分析服務,或代表企業或服務提供商提供類似服務。
     
      (6)     為了技術開發和示范的內部研究。
     
      (7)     對本企業擁有、自己制造、為他人制造或控制的服務或設備進行質量或者安全驗證或者維護,對本企業擁有、自己制造、為他人制造或控制的服務或設備進行改進、升級或者改進的活動。
     
      (e)    “收集”、“已收集”或“收集集合”是指以任何方式購買、出租、收集、獲取、接收或訪問與消費者有關的任何個人信息。這包括主動或被動地從消費者那里接收信息,或者通過觀察消費者的行為來接收信息。
     
      (f)      “商業目的”是指增進一人的商業或經濟利益,例如勸說另一人購買、出租、租賃、加入、認購、提供或交換產品、貨物、財產、信息或服務,或直接或間接促成或實施商業交易。“商業目的”不包括從事州或聯邦法院認定為非商業目的的演講,包括政治演講和新聞報道。
     
      (g)    “消費者”是指不論以何種方式識別的作為加利福尼亞州居民的自然人,包括以任何唯一標示符識別的,加利福尼亞州居民的定義參照《加利福尼亞州法規法典》第18編第17014節(按2017年9月1日的規定)。
     
      (h)    “去標示的”是指不能合理地確定、關聯、描述能夠與某一特定消費者相聯系,或直接或間接與該消費者相關聯的信息,如果企業使用的是去標示的信息,那么該企業:
     
      (1)     已經實施了技術保障措施,禁止對可能與信息關聯的消費者重新進行身份識別。
     
      (2)     已經實施了專門禁止重新識別信息的業務流程。
     
      (3)     已經實施了防止意外散布去標示信息的業務流程。
     
      (4)     不試圖重新確認信息。
     
      (i)      “提交請求的指定方法”是指郵寄地址、電子郵件地址、互聯網網頁、互聯網門戶網站、免費電話號碼或其他適用的聯系信息,消費者可以根據本條款提交請求或指示,以及經總檢察長根據第1798.185節批準的任何新的、方便消費者的商業聯系方式。
     
      (j)      “設備”是指所有能夠直接或間接連接到因特網或另一設備的物理對象。
     
      (k)    “醫療保險信息”是指消費者的保險單號或訂戶識別號、醫療保險人用于識別消費者的任何唯一標識符,或消費者的申請和索賠歷史記錄中的任何信息,包括任何申訴記錄,如果信息是由企業或服務提供商與消費者或家庭(包括通過設備)關聯或合理關聯的。
     
      (l)      “主頁”是指因特網網站的介紹頁和收集個人信息的任何因特網網頁。對于在線服務,例如移動應用程序,主頁是指應用程序的平臺頁面或下載頁面、應用程序內的鏈接,例如來自應用程序配置、“關于”、“信息”或設置頁面,以及允許消費者審查第1798.135節第(a)小節要求的告知的任何其他位置,這包括但不限于下載程序之前。
     
      (m)  “推斷”或“推斷結論”是指從事實、證據或其他信息或數據來源推導出信息、數據、假設或結論。
     
      (n)    “人”是指個人、獨資企業、商號、合伙企業、合資企業、財團、商業信托、公司、集團公司、有限責任公司、協會、委員會和任何其他一致行動的組織或團體。
     
      (o)   (1)“個人信息”是指直接或間接地識別、關聯、描述、能夠合理地與某一特定消費者或家庭相關聯或可以合理地與之相關聯的信息。個人信息包括但不限于以下直接或間接地識別、關聯、描述、能夠合理地與某一特定消費者或家庭相關聯或可以合理地與之相關聯的信息:
     
      (A)  識別碼,例如實名、別名、郵政地址、唯一個人識別碼、在線識別碼、互聯網協議地址、電子郵件地址、帳戶名稱、社會保險號碼、駕駛執照號碼、護照號碼或其他類似識別碼。
     
      (B)  第1798.80節(e)小節所描述的所有類別的個人信息。
     
      (C)  加州法律或聯邦法律下受保護類別的特征。
     
      (D)  商業信息,包括購買、獲取或考慮過的個人財產、產品或服務的記錄,或其他購買或消費歷史或趨勢。
     
      (E)  生物識別信息。
     
      (F)   因特網或其他電子網絡活動信息,包括但不限于瀏覽歷史、搜索歷史和關于消費者與因特網網站、應用程序或廣告的互動的信息。
     
      (G)  地理位置數據。
     
      (H)  音頻、電子、視覺、熱量、嗅覺或類似信息。
     
      (I)     專業或就業相關信息。
     
      (J)   教育信息,也就是《家庭教育權利和隱私法》(20 U.S.C. Sec. 1232g; 34 C.F.R. Part 99)中定義的不能公開獲取的個人可識別信息。
     
      (K)  從本小節確定的任何信息中得出的,以創建關于一位消費者的用戶畫像的推論,用戶畫像可能反映消費者的偏好、特征、心理趨勢、傾向、行為、態度、智力、能力和才能。
     
      (2)“個人信息”不包括可公開獲取的信息。在本款中,“可公開獲取”的信息是指從聯邦、州或地方政府記錄中合法獲得的信息。“可公開獲取”的信息不包括企業在消費者不知情的情況下收集的關于消費者的生物特征信息。
     
      (3)“個人信息”不包括去標示化的或者匯總的消費者信息。
     
      (p)    “概率性識別符”是指對消費者或設備的識別,其確定程度高于不基于個人信息定義中所列或類似的任何類別的個人信息。
     
      (q)    “處理”是指對個人數據或對一組個人數據執行的任何操作或一組操作,不論是否通過自動化手段。
     
      (r)     “假名處理”或“假名化”是指以如下這種方式處理個人信息:在不使用附加信息的情況下,個人信息不能再被關聯到特定消費者,但附加信息應單獨保存,并應采取技術和組織措施確保個人信息不能再被關聯到已識別或可識別的消費者。
     
      (s)    “研究”是指科學的、系統的研究和觀察,包括符合公共利益并遵守所有其他可適用倫理和隱私法的基礎研究或應用研究,或在公共衛生領域為公共利益進行的研究。在消費者因為其他目的與企業服務或設備進行互動的過程中,從消費者那里收集到的個人信息,對其的研究應:
     
      (1)     與收集個人信息的商業目的相符。
     
      (2)     其后假名化和去標示化,或者在匯總信息中去標示化,使得該信息不能合理地識別、關聯、描述、能夠與某一特定消費者相聯系,或直接或間接與該消費者相聯系。
     
      (3)     遵守技術保障措施,禁止對可能與信息有關的消費者進行重新識別。
     
      (4)     遵守專門的業務流程,禁止重新識別信息。
     
      (5)     遵守業務流程,防止不小心泄露去標示化的信息。
     
      (6)     防止任何再次識別。
     
      (7)     僅用于與個人信息收集語境相適應的研究目的。
     
      (8)     不得用于任何商業目的。
     
      (9)     受進行研究的企業的額外安全控制,只有企業中執行研究目的所必需的個人可以訪問這些研究數據。
     
      (t)     (1)“出售”、“出售中”、“銷售”或“已出售”是指企業以金錢或其他有價值的對價,通過口頭、書面、電子或其他方式,向一家企業或第三方出售、出租、發布、披露、傳播、提供、轉讓消費者的個人信息。
     
      (2)就本編而言,在下列情況下,企業并非出售個人信息:
     
      (A)  在第三方也不出售個人信息的前提下,消費者使用或指示企業有意披露個人信息,或借助企業有意與第三方互動,除非該披露符合本編的規定。當消費者試圖通過一次或多次有意互動與第三方交互時,就會發生有意互動。若消費者擱置、減少、暫停或停止提供給定內容,不構成消費者與第三方互動的意圖。
     
      (B)  對于已選擇不出售其個人信息的消費者,企業使用或共享其標識符以提醒第三方,消費者已選擇不出售其個人信息。
     
      (C)  企業使用或與服務提供商共享消費者的個人信息,如果滿足以下兩個條件,則這些信息是實現商業目的所必需的:
     
      (i)              該企業已提供符合第1798.135節的條款和條件中所規定的使用或共享該信息的告知。
     
      (ii)            服務供應商不進一步收集、出售或使用消費者的個人信息,除非為實現商業目的所必需的。
     
      (D)  企業將消費者的個人信息作為資產轉讓給第三方,作為合并、收購、破產或第三方接管全部或部分業務的其他交易的一部分,前提是信息的使用或共享符合第1798.110和1798.115節的規定。第三方對消費者個人信息的使用、共享方式發生重大改變,與收集時的承諾具有實質性不同時,應當事先將新的或者變更的實踐通知消費者。通知應充分突出和實用,以確保現有消費者可以方便地行使第1798.120節所規定的選擇權。本款并不授權企業以一種可能違反《不公平與欺騙實踐法案》(《商業和職業法》第7分編第2部分第5章(從第17200節開始))的方式對其隱私政策進行實質性、追溯性的更改或其他更改。
     
      (u)    “服務”或“多項服務”是指工作、勞動和服務,包括與銷售或維修商品有關的服務。
     
      (v)    “服務提供商”是指為股東或其他所有者的利益或財務利益而組織或經營的、代表企業處理信息并根據書面合同出于商業目的向其披露消費者個人信息的獨資企業、合伙企業、有限責任公司、公司、協會或其他法律實體,但前提是合同禁止接收信息的實體出于任何目的保留、使用或披露個人信息,除了業務履行合同中規定的服務的特定目的或本編允許的其他目的,包括出于商業目的而保留、使用或披露個人信息,但不包括提供與企業簽訂的合同中規定的服務。
     
      (w)   “第三方”是指下列主體以外的其他主體:
     
      (1)     根據本編向消費者收集個人信息的企業。
     
      (2)     (A)根據書面合同,企業出于商業目的向其披露消費者個人信息的人,但該合同:
     
      (i)              禁止接收個人信息的人:
     
      (I)              出售個人信息。
     
      (II)            為履行本合同規定的服務以外的任何目的保留、使用或披露個人信息,包括為提供本合同規定的服務以外的商業目的保留、使用或披露個人信息。
     
      (III)           保留、使用或披露該人與業務之間直接業務關系以外的信息。
     
      (ii)            包含一份由接收該個人信息的人作出的證明,證明該人明白(A)款的限制,并會遵從該等限制。
     
      (B)本段所涵蓋的任何人違反本編規定的任何限制,均應承擔違約責任。在以下情形中,依照本編規定向本段所涵蓋的人披露個人信息的業務,如果接收個人信息的人違反本編規定的限制使用該信息,不承擔本編規定的責任:披露個人信息時,該企業不知道或沒有理由相信該人打算實施此類違法行為。
     
      (x)    “唯一標識符”或“唯一個人標識符”是指可用于識別消費者、家庭或與消費者,或隨著時間推移和提供多種服務后可以關聯到消費者或家庭的設備,包括但不限于設備標識符;互聯網協議地址;cookie、信標、像素標簽,移動廣告標識符或類似技術;客戶號碼、唯一假名或用戶別名;可用于識別特定消費者或設備的電話號碼或其他形式的持久或概率標識符。在本小節中,“家庭”是指監護父母或監護人,以及父母或監護人監護的任何未成年子女。
     
      (y)    “可核實的消費者請求”是指消費者、代表其未成年子女的消費者、自然人或在州務卿登記的人提出的請求,經消費者授權代表消費者行事,且企業能夠依據總檢察長根據第1798.185節第(a)小節第(7)段通過的法規合理核實提出請求的消費者是企業收集個人信息的消費者。如果企業不能依據總檢察長根據第1798.185節第(a)小節第(7)段通過的法規合理核實提出請求的消費者是企業收集個人信息的消費者,或者是消費者授權代表消費者行事的人,則企業沒有義務根據第1798.100、1798.105、1798.110和1798.115節向消費者提供信息。
     
      第1798.145節
     
      (a)   本編賦予企業的義務不應限制企業的如下能力:
     
      (1)     遵守聯邦、州或地方法律。
     
      (2)     遵守聯邦、州或地方當局的民事、刑事或監管調查、調查、傳票或傳喚。
     
      (3)     就企業、服務提供商或第三方合理且善意地認為可能違反聯邦、州或地方法律的行為或活動,與執法機構進行的合作。
     
      (4)     行使或者辯護法律主張。
     
      (5)     收集、使用、保留、出售或者披露去標示化的或者匯總的消費者的個人信息。
     
      (6)     收集或出售消費者的個人信息,如果該商業行為的所有要素都完全發生在加利福尼亞州以外。就本編而言,如果該公司在消費者不在加州的時候收集了這些信息,所有消費者個人信息的銷售都不在加州,而且在消費者不在加利福尼亞州的情況下收集的個人信息沒有被出售,那么商業行為完全發生在加利福尼亞州以外。當消費者在加利福尼亞州境內時,本款不允許企業存儲(包括在設備上存儲)關于該消費者的個人信息;當消費者及存儲的個人信息在加利福尼亞州境外時,不允許收集該個人信息。
     
      (b)   第1798.110至1798.135節(含)對企業規定的義務,不適用于企業遵守所有權會違反加州法律規定的證據特權的情況,對于根據加利福尼亞州法律享有作為特權通信一部分的證據特權的人,也不得阻止企業向其提供消費者的個人信息。
     
      (c)   (1)本編不適用于下列情況:
     
      (A)  受《醫療信息保密法》(第1部分第2.6部分(從第56節開始)管轄的醫療信息,或受隱私、安全和違反通知規則管轄的受保護實體或商業伙伴收集的受保護的醫療信息,這些規則由美國衛生和公眾服務部根據1996年《健康保險可攜帶性和責任法案》(第104-191號公法)和《健康信息技術促進經濟和臨床健康法案》(第111-5號公法)制定的《聯邦法規》第45編第160和164部分發布。
     
      (B)  受《醫療信息保密法》(第1部分第2.6部分(從第56節開始)管轄的醫療服務提供商,或受美國衛生和公眾服務部發布的隱私、安全和違反通知規則、聯邦法典第45編第160和164部分管轄的受管轄實體,這些規則由美國衛生和公眾服務部根據1996年《健康保險可攜帶性和責任法案》(第104-191號公法)制定的《聯邦法規》第45編第160和164部分發布。如果提供者或受管轄實體以與本節(A)項所述醫療信息或受保護健康信息相同的方式維護患者信息。
     
      (C)  作為臨床試驗的一部分,根據《為了保護人類主體的聯邦政策》,也被稱為《共同規則》所收集的信息,符合國際協調理事會發布的良好臨床實踐指南,或美國食品和藥物管理局的人體受試者保護的信息。
     
      (2)就本小節而言,“醫療信息”和“醫療保健提供者”應適用第56.05節中的定義,“商業伙伴”、“適用實體”和“受保護健康信息”應適用《聯邦法規》第45編第160.103節中的定義。
     
      (d)   (1)本編不適用于涉及消費者報告機構、消費者報告、以及消費者報告使用者所收集、維護、披露、銷售、交流或使用任何與消費者的信譽、信用狀況、信用能力、性格、一般聲譽、個人特征或生活方式有關的個人信息的活動;消費者報告機構由《美國法典》第15編第1681a節第(f)小節規定,消費者報告的信息由《美國法典》第15編第1681s-2節所述的信息提供者提供《美國法典》第15編第1681a節第(d)小節規定,消費者報告的使用者由《美國法典》第15編第1681b節規定。
     
      (2)第(1)段的規定,只有涉及該機構、供應商或用戶收集、維護、披露、銷售、通信或使用此類信息的活動受《美國法典》第15編《公平信用報告法》第1681節及以下規定的約束,才能夠適用,而且此類信息除《公平信用報告法》授權外,不得使用、傳達、披露或出售信息。
     
      (3)本小節不適用于第1798.150節。
     
      (e)   本編不適用于根據《聯邦格萊姆-里奇-布萊利法案》(公法106-102)和實施條例,或《加州金融信息隱私法》(《金融法典》第1.4節(從第4050節開始))收集、處理、出售或披露的個人信息。本小節不適用于第1798.150節。
     
      (f)     本編不適用根據1994年《駕駛員隱私保護法》(《美國法典》第18編第2721節及以下)收集、處理、出售或披露的個人信息。本小節不適用于第1798.150節。
     
      (g)   (1)第1798.120節不適用于車輛法規第426節中定義的新機動車經銷商和車輛法規第672節中定義的車輛制造商之間保留或共享的車輛信息或所有權信息,如果共享車輛或所有權信息是為了實現或預期實現根據《美國法典》第49編第30118至30120節(含)進行的車輛保修或召回所涵蓋的車輛維修,但與該車輛信息或所有權信息共享的新機動車經銷商或車輛制造商不得將該信息出售、共享或用于任何其他目的。
     
      (2)就本小節而言:
     
      (A)   “車輛信息”指車輛信息編號、品牌、型號、年份和里程表讀數。
     
      (B)   “所有權信息”指登記所有人的姓名以及所有人的聯系信息。
     
      (h)    (1) 本編不適用于下列情況:
     
      (A)  企業在自然人作為該企業的求職者、雇員、所有者、董事、高級職員、醫務人員或承包商的過程中收集到的有關該自然人的個人信息,但前提是,該自然人的個人信息僅在該自然人作為或曾作為該企業的求職者、雇員、業主、董事、高級職員、醫務人員或承包商的作用的范圍內收集和使用。
     
      (B)  企業在自然人作為該企業的求職者、雇員、所有者、董事、高級職員、醫務人員或承包商的過程中收集到的有關該自然人的緊急聯系信息,但該個人信息的收集和使用僅限于有緊急聯系記錄。
     
      (C)  企業在自然人作為該企業的求職者、雇員、所有者、董事、高級職員、醫務人員或承包商的過程中為了另一自然人的利益而收集的有關該自然人的個人信息,且該個人信息僅在為了自然人的利益時使用。
     
      (2)就本小節而言:
     
      (A)   “承包商”是指根據書面合同向企業提供任何服務的自然人。
     
      (B)   “董事”是指在公司章程中被指定為董事的自然人,或由公司創辦人選舉的自然人,以及被指定、選舉或以任何其他名稱或頭銜任命為董事的自然人及其繼任者。
     
      (C)   “醫務人員”是指根據《商業和職業法典》第2節(從第500節開始)獲得執照的執業醫師和外科醫生、牙醫或足病醫師,以及《健康和安全法典》第1316.5節定義的臨床心理學家。
     
      (D)   “高級管理人員”是指董事會選舉或任命的管理公司日常運營的自然人,如首席執行官、總裁、秘書或財務官。
     
      (E)   “所有者”是指符合下列條件之一的自然人:
     
      (i)              對企業任何類別有表決權證券的已發行股票享有50%以上的所有權或表決權。
     
      (ii)            以任何方式對企業過半數董事或行使類似職能的個人的選舉享有控制權。
     
      (iii)           對企業管理層有控制性影響。
     
      (3)本小節不適用于第1798.100節第(b)小節或第1798.150節。
     
      (4)本小節將于2021年1月1日失效。
     
      (i)     企業有義務根據本編回應和履行消費者權利請求,但是:
     
      (1)     考慮到請求的復雜性和數量,企業回應任何已核實的消費者請求的時間可以在必要時延長90天。企業應在收到請求后45天內將任何此類延期通知消費者,并說明延期原因。
     
      (2)     如果企業沒有根據消費者的請求采取行動,則該企業應立即,并最遲在本節準許的答復期限內,將不采取行動的理由及消費者可能對該企業的決定提出上訴的任何權利,通知消費者。
     
      (3)     如果消費者的請求明顯沒有根據、非常過分或高度重復,企業可以收取合理的費用。考慮到提供信息或通信或采取消費者所請求的行動的管理費用,企業也可以拒絕按照消費者的請求采取行動,并通知消費者拒絕請求的原因。企業應承擔舉證責任,證明任何經核實的消費者請求明顯沒有根據或過分。
     
      (j)     根據本編,如果企業向服務提供商披露個人信息時確實不知情或無理由相信服務提供商有意實施此類違規行為,該企業對接收個人信息的服務提供商違反本編中規定使用該個人信息的行為不承擔責任。同理,服務提供商對企業的提供的服務同樣不用承擔本編所規定的責任。
     
      (k)   本編不得解釋為要求企業收集其在正常業務過程中不會收集的個人信息,保留個人信息的時間不得長于其在正常業務過程中保留此類信息的時間,或重新識別,或以其他方式關聯未被視為個人信息的信息。
     
      (l)     本編賦予消費者的權利和對企業規定的義務,不得對其他消費者的權利和自由產生不利影響。
     
      (m) 本編賦予消費者的權利和向企業施加的義務,不適用于《加利福尼亞州憲法》第一條第2節(b)小節所述的個人或實體的非商業活動的情況。
     
      (n)   (1)第1798.100、1798.105、1798.110、1798.115、1798.130及1798.135節向企業施加的義務,不適用于反映企業與消費者之間的書面或口頭溝通或交易的個人信息,如果消費者是作為公司、合伙企業、獨資企業、非營利組織或政府機構的雇員、所有人、董事、高級職員或承包商的自然人,而且其與企業的交流或交易僅發生在對該公司、合伙企業、獨資企業、非營利組織或政府機構進行盡職調查的業務范圍內,或向它們提供或接收產品或服務的業務范圍內。
     
      (2)就本小節而言:
     
      (A)   “承包商”是指根據書面合同向企業提供任何服務的自然人。
     
      (B)   “董事”是指在公司章程中被指定為董事的自然人,或由公司創辦人選舉的自然人,以及被指定、選舉或以任何其他名稱或頭銜任命為董事的自然人及其繼任者。
     
      (C)   “高級管理人員”是指董事會選舉或任命的管理公司日常運營的自然人,如首席執行官、總裁、秘書或財務官。
     
      (D)   “所有人”是指符合下列條件之一的自然人:
     
      (i)              對企業任何類別有表決權證券的已發行股票享有50%以上的所有權或表決權。
     
      (ii)            以任何方式對企業過半數董事或行使類似職能的個人的選舉享有控制權。
     
      (iii)           對企業管理層有控制性影響。
     
      (3)本小節于2021年1月1日失效。
     
      第1798.150節
     
      (a)   (1)第1798.81.5節第(d)小節第(1)段(a)款所定義的未加密和未編校的個人信息,因企業違反執行和維護與信息性質相適應的合理安全程序和做法以保護個人信息義務,而致使消費者的個人信息受到未經授權的訪問和泄漏、盜竊,或披露的,消費者可以提起如下民事訴訟:
     
      (A)  主張100美元到750美元的損害賠償金或實際損害賠償金,以數額較大者為準。
     
      (B)  主張法院發布禁止令或確認賠償請求。
     
      (C)  法院認為適當的任何其他救濟。
     
      (2)法院在評估法定損害賠償額時,須考慮案件各方提出的任何一項或多項有關情況,包括但不限于不當行為的性質及嚴重程度、違法行為的數目、不當行為的持續性、不當行為發生所持續的時間長短,被告不當行為的有意性,以及被告的資產、負債和凈值。
     
      (b)   如果消費者在以個人或集體為基礎對企業提起任何法定損害賠償訴訟之前,提前30天向企業發出書面通知,說明消費者聲稱已經或正在違反本編的具體規定,則消費者可根據本節提起訴訟。在可以補救的情形中,如果在30天內,企業實際補救了所發現的違規行為,并向消費者提供了一份明確的書面聲明,說明違規行為已得到補救,不再發生違規行為,那就不得對企業提起個人或集體的法定損害賠償訴訟。個人消費者僅就因涉嫌違反本編而遭受的實際金錢損失提起訴訟,無需在此之前發出任何通知。如果企業違反本條款規定的向消費者提供的明示書面聲明,繼續違反本編規定,消費者可以對該企業提起訴訟,強制執行該書面聲明,并可以對每一次違反明示書面聲明的行為,以及在書面聲明后的任何其他違反本編的行為,追究法定賠償金。
     
      (c)   本節確定的訴訟事由僅適用于(a)小節中定義的違法行為,不得基于違反本編任何其他章節的行為。本編的任何內容均不得解釋為任何其他法律規定的私人訴訟權的依據。這不應解釋為免除任何一方根據其他法律或美國或加利福尼亞州憲法所施加的任何責任或義務。
     
      第1798.155節
     
      (a)   任何企業或第三方都可征求總檢察長的意見,就如何遵守本編的規定尋求指導。
     
      (b)   如果一家企業在接到被指控的不合規通知后30天內,未能糾正任何被指控的違反行為,則該企業違反本編規定。任何企業、服務提供商或其他違反本編的人應受到禁令的約束,并應承擔每次違規不超過2500美元、每次故意違規不超過7500美元的民事罰款,由總檢察長以加利福尼亞州人民的名義提起的民事訴訟中予以評估和追償。本節規定的民事處罰應在總檢察長以加利福尼亞州人民的名義提起的民事訴訟中單獨評估和追繳。
     
      (c)   因違反本編而被評估的任何民事處罰,以及根據(b)小節提起的訴訟的任何和解所得,應存入根據第1798.160節第(a)小節在普通基金內設立的消費者隱私基金,以支付州法院和總檢察長所花費的與本編有關的所有費用。
     
      第1798.160節
     
      (a)   即此在國庫普通基金內設立一個稱為“消費者隱私基金”的特別基金,在立法機關撥款后,可用于支付州法院因執行本編提訴訟而產生的所有費用,以及總檢察長在履行本編規定的職責時所產生的所有費用。
     
      (b)   轉移到消費者隱私基金的資金,應專門用于支付州法院和司法部長與本編有關的任何費用。這些資金不得由立法機關為任何其他目的撥款或轉移,除非財政部長確定這些資金超過了充分支付州法院和總檢察長與本編有關的費用所需的資金,在這種情況下,立法機關可以將多余的資金用于其他目的。
     
      第1798.175節
     
      本編旨在進一步加強憲法性隱私權,并補充有關消費者個人信息的現行法律,包括但不限于第22章(從第22575節開始)的《商業和行業法規》第8節1.81編(從第1798.80節開始)。本編的規定不限于以電子方式或通過互聯網收集的信息,適用于所有企業從消費者處收集和出售的個人信息。只要有可能,與消費者個人信息有關的法律,都應解釋為符合本編的規定,如果其他法律與本編的規定發生沖突,應以對消費者隱私權提供最大保護的法律規定為準。
     
      第1798.180節
     
      本編規定的問題關系整個加利福尼亞州,本編取代并優先于市、縣、郡、自治區、或地方機構就企業收集和銷售消費者個人信息所采用的所有規則、規章、法規、條例和城市所通過的其他法律。
     
      第1798.185節
     
      (a)   在2020年7月1日或之前,總檢察長應廣泛征求公眾的意見,通過法規來深化本編的意義,這包括但不限于以下領域:
     
      (1)     根據需要,更新第1798.130節第(c)小節和第1798.140節第(o)小節中列舉的其他類別的個人信息,以解決技術、數據收集實踐、實施障礙和隱私問題方面的變化。
     
      (2)     根據需要,更新唯一標識符的定義,以解決技術變化、數據收集、實施障礙和隱私關注,以及根據第1798.130節,為方便消費者從企業獲取信息而提交請求的指定方法定義的附加類別。
     
      (3)     根據需要,在本編通過后的一年內以及此后,確立遵守州或聯邦法律所需的任何例外,包括但不限于與商業秘密和知識產權有關的例外。
     
      (4)     制定下列規則和程序:
     
      (A)  協助及管理消費者提出的,根據第1798.120節規定的要求其選擇不出售個人資料的意見。
     
      (B)  管理企業是否遵守消費者的退出請求。
     
      (C)  促進企業開發和使用一個可識別和統一的選擇退出標志或按鈕,以提高消費者對選擇退出出售個人信息機會的意識。
     
      (5)     在每個奇數年的1月,調整第1798.140節(c)小節第(1)段(A)款中的最低金額,以反映消費物價指數的增長。
     
      (6)     制定規則、程序和所有必要的例外,以確保企業根據本編要求提供的告知和信息,以普通消費者容易理解,殘障消費者容易獲取、并主要以與消費者互動的語言的方式提供;這包括在本編通過后的一年內以及之后,根據需要制定有關財務激勵產品的規則和指南。
     
      (7)     制定規則和程序,以促進第1798.110和1798.115節的目的,并促進消費者或消費者的授權代理人根據第1798.130節獲取信息的能力,以盡量減輕消費者的管理負擔,同時考慮到現有技術、安全關注點和企業負擔,在本編通過后一年內以及按此后的需要,將通過客戶在企業中維護的受密碼保護的賬戶提交的請求視為可驗證的客戶請求,同時提供一種機制,使不在企業中維護賬戶的消費者通過企業對消費者身份的認證來請求信息。
     
      (b)   總檢察長可通過下列附加規章:
     
      (1)     制定規則和程序,說明如何處理和遵守可核實的消費者對與家庭有關的特定個人信息的要求,以解決實施障礙和隱私問題。
     
      (2)     為深化本編的意義所必須。
     
      (c)   根據本節發布的最終條例公布后6個月或2020年7月1日(以較早者為準)之前,總檢察長不得根據本編提起強制執行訴訟。
     
      第1798.190節
     
      如果一系列步驟或交易是一項交易的組成部分,而該項交易從一開始就旨在規避本編的規定,包括企業向第三方披露信息以規避銷售的定義范圍,為了實現本編的目的,法院應忽略中間步驟或交易。
     
      第1798.192節
     
      任何類型的合同或協議的任何條款,如意圖以任何方式放棄或限制消費者在本編下的權利,包括但不限于獲得補救或強制執行手段的任何權利,應被視為違反公共政策,認定為無效和不可執行。本節不應妨礙消費者拒絕向企業索取信息,或拒絕和選擇退出企業出售消費者個人信息,或授權企業在消費者先前選擇退出后出售其個人信息。
     
      第1798.194節
     
      本編應寬泛地解釋,以實現其目的。
     
      第1798.196節
     
      本編旨在允許的范圍內補充聯邦法律和州法律,但如果聯邦法律或美國或加利福尼亞州憲法已有規定或本編與之沖突,則本編不適用。
     
      第1798.198節
     
      (a)   除了第(b)小節和第1798.199節規定的限制,本編應于2020年1月1日生效。
     
      (b)   本編將會生效,除非根據《選舉法》第9604節從投票中撤回第17-0039號倡議措施(2018年《消費者隱私權法案》)。
     
      第1798.199節
     
      盡管有1798.198節的規定,但1798.180節應在本法案添加該節的生效之日一并生效。
     
      加州消費者隱私法案條例

      第11編 法律
     
      第一部分 總檢察長
     
      第二十章 加州消費者隱私法案條例
     
      第1條 一般規定
     
      第999.300節 編和范圍
     
      (a)   本章應稱為《加州消費者隱私法案條例》。本章將稱為“本條例”。本條例適用于《加州消費者隱私法案》合規,本條例不限制消費者可能擁有的任何其他權利。
     
      (b)   違反本條例,即構成違反《加州消費者隱私法案》,并應遵守其中規定的救濟措施。
     
      注:引用的權威:民法典第1798.185節。參考:民法典第1798.100-1798.199節。
     
      第999.301節 定義
     
      除《民法典》第1798.140節規定的定義外,就本條例而言:
     
      (a)    “肯定授權”是指表明消費者有意作出的同意出售其個人信息的行為。在父母或監護人代表13歲以下兒童行事的情況下,這意味著父母或監護人已同意按照第999.330節規定的方法出售兒童的個人信息。對于13歲及13歲以上的消費者,應通過兩步程序加以證明,消費者應首先明確選擇加入,然后再對選擇加入進行確認。
     
      (b)    “總檢察長”是指加州總檢察長或加州司法部在加州總檢察長授權下行事的任何官員或雇員。
     
      (c)    “授權代理人”是指符合第999.326節規定,在州務卿處登記的且已獲得消費者授權的自然人或商業實體。
     
      (d)    “來源類別”是指企業從中收集消費者個人信息的實體類型,包括但不限于從消費者處直接收集、從政府實體處獲取公共記錄和從數據經銷商處獲取。
     
      (e)    “第三方類別”是指不直接從消費者收集個人信息的實體類型,包括但不限于廣告網絡、互聯網服務提供商、數據分析提供商、政府實體、操作系統和平臺、社交網絡和數據經銷商。
     
      (f)      “加州消費者隱私法案”是指2018年《加州消費者隱私法案》,民法典第1798.100節以下。
     
      (g)    “經濟激勵”是指因披露、刪除或出售個人信息而向消費者支付的作為補償的計劃、福利或其他優惠。
     
      (h)    “家庭”是指居住在單一住宅中的個人或群體。
     
      (i)      “收集告知”是指根據《民法典》第1798.100(b)節的要求和本條例的規定,企業在向消費者收集個人信息時或之前向消費者發出的告知。
     
      (j)      “選擇退出權利的告知”是指根據《民法典》第1798.120節和第1798.135節的要求以及本條例的規定,由企業發出的通知,告知消費者具有選擇退出出售其個人信息的權利。
     
      (k)    “經濟激勵告知”是指根據《民法典》第1798.125(b)節的要求和本條例的規定,由企業發出的解釋每項經濟激勵或價格或服務差異的告知。
     
      (l)      “價格或服務差異”是指(1)任何商品或服務向任何消費者收取的價格或費率的任何差異,包括通過使用折扣、付費或其他福利或處罰;或(2)向任何消費者提供的任何商品或服務的水平或質量的任何差異,包括拒絕提供商品或者為消費者提供服務。
     
      (m)  “隱私政策”是指《民法典》第1798.130(a)(5)節中提及的政策,是指企業應向消費者提供的聲明,說明企業在網上和網下收集、使用、披露、出售個人信息的做法,以及消費者對其個人信息的權利。
     
      (n)    “知情請求”是指消費者請求企業根據《民法典》第1798.100、1798.110或1798.115節披露其擁有的關于消費者的個人信息,包括對以下任何或所有內容:
     
      (1)   企業掌握的有關消費者個人信息的特定部分;
     
      (2)   收集的消費者個人信息的種類;
     
      (3)   收集的消費者個人信息的來源類別;
     
      (4)   企業為經營目的出售或者披露的消費者個人信息的種類;
     
      (5)   為商業目的向其出售或者披露個人信息的第三方的類別
     
      (6)   收集、出售個人信息的業務或者商業目的。
     
      (o)    “刪除請求”是指消費者請求企業根據《民法典》第1798.105節刪除企業從消費者處收集的有關消費者的個人信息。
     
      (p)    “選擇退出請求”是指根據《民法典》第1798.120(a)條,消費者請求企業不向第三方出售消費者的個人信息。
     
      (q)    “選擇加入請求”是指《民法典》第1798.120(c)條規定,企業可由不滿13歲的消費者的父母或監護人,或先前選擇不出售其個人信息的消費者,出售有關該消費者的個人信息的肯定授權。
     
      (r)     “第三方身份驗證服務”是指由獨立的第三方提供的安全程序,該第三方驗證用于驗證向企業提出請求的消費者的身份。第三方身份驗證服務,須遵守第4條關于知情請求和刪除請求的規定。
     
      (s)    “典型消費者”是指居住在美國的自然人。
     
      (t)      “網址”代表統一的資源定位器(Uniform Resource Locator),是指特定網站的網址。
     
      (u)    “驗證”是指確定提出知情或刪除請求的消費者與企業收集信息的消費者為同一消費者。
     
      注:引用的權威:民法典第1798.185節。參考:民法典第1798.100-1798.199節。
     
      第2條 告知消費者
     
      第999.305節 個人信息收集告知
     
      (a)   宗旨和一般原則
     
      (1)   收集時告知的目的是在收集消費者個人信息時或者收集前,告知消費者收集的個人信息的種類和使用目的。
     
      (2)   收集時告知應當以普通消費者易于閱讀和理解的方式設計并向消費者出示。告知應:
     
      a.    使用簡單明了的語言,避免使用技術或法律術語。
     
      b.    使用能吸引消費者注意的告知,并使用易讀的格式,包括在可行的情形下在較小的屏幕上進行告知。
     
      c.     使用正常業務過程中向消費者提供合同、免責聲明、銷售公告和其他信息的語言。
     
      d.    使得殘障消費者可以訪問。至少應提供信息,告訴殘障消費者如何以其他格式訪問告知。
     
      e.    處在收集任何個人信息之前可見或可訪問的位置。例如,當企業在線上收集消費者的個人信息時,告知可以以鏈接形式出現在企業的網站主頁或移動應用程序的下載頁上,或在收集個人信息的所有網頁上的醒目位置。當企業在線下收集消費者的個人信息時,告知可以出現在企業收集個人信息的紙質版表格上,企業也可以提供醒目的標牌,將消費者引導到包含告知鏈接的網址。
     
      (3)   企業不得將消費者的個人信息用于收集時告知披露的用途以外的其他用途。企業將消費者的個人信息用于收集告知中未披露的用途的,應當直接將新用途告知消費者,并征得消費者的明確同意。
     
      (4)   除收集時告知披露的個人信息外,企業不得收集其他類別的個人信息。如果企業打算收集其他類別的個人信息,企業應在收集時提供新的告知。
     
      (5)   企業未在收集消費者個人信息時或收集前向消費者發出收集告知的,不得向消費者收集個人信息。
     
      (b)   企業收集時的告知應包括以下內容:
     
      (1)   擬收集消費者個人信息的類別清單。每一類個人信息的命名方式,應使消費者清楚地理解所收集的信息。
     
      (2)   每一類個人信息將用于的業務或商業目的。
     
      (3)   如果企業出售個人信息,則提供第999.315(a)節要求的標題為“請勿出售本人個人信息”或“請勿出售本人信息”的鏈接,或者如果是線下告知,則提供其鏈接到的網頁的網址。
     
      (4)   指向企業隱私政策的鏈接,或在線下告知的情況下,則提供指向企業隱私政策的網址。
     
      (c)   如某企業在線上向消費者收集個人信息,則可提供鏈接至包含有(b)款所規定信息的該企業隱私政策的一節,向消費者發出收集告知。
     
      (d)   不直接向消費者收集信息的企業,無需在向消費者收集信息時提供告知,但在出售消費者的個人信息之前,企業應采取下列任一行動:
     
      (1)   直接與消費者聯系,提供企業出售消費者個人信息的告知,并按照第999.306條向消費者提供退出權告知
     
      (2)   聯系個人信息來源以:
     
      a.    確認信息來源按照(a)和(b)款向消費者提供了收集告知;以及
     
      b.    獲取包含信息來源簽名的證明,證明信息來源是如何在收集時發出告知的,并包括告知的示例。該證明應由企業保存至少兩年,并應要求提供給消費者。
     
      注:引用的權威:民法典第1798.185節。參考:民法典第1798.100、1798.115和1798.185節。
     
      第999.306節 選擇退出出售個人信息權利的告知
     
      (a)   宗旨和一般原則
     
      (1)   選擇退出出售個人信息權利的告知,其目的是告知消費者,他們有權指示出售(或可能在未來出售)其個人信息的企業停止出售其個人信息,并在未來不這樣做。
     
      (2)   選擇退出權利多告知,其設計和呈現方式應便于普通消費者閱讀和理解。告知應:
     
      a.    使用簡單明了的語言,避免使用技術或法律術語。
     
      b.    使用能吸引消費者注意的告知,并使易讀的格式,包括在可行的情形下在較小的屏幕上進行告知。
     
      c.     使用正常業務過程中向消費者提供合同、免責聲明、銷售公告和其他信息的語言。
     
      d.    使得殘障消費者可以訪問。至少應提供信息,告訴殘障消費者如何以其他格式訪問告知。
     
      (b)   出售消費者個人信息的企業,應向消費者提供以下選擇退出權利的告知:
     
      (1)   企業應當在網站主頁或者移動應用下載、登陸頁面點擊“請勿出售本人個人信息”或者“請勿出售本人信息”鏈接后,在消費者所瀏覽的互聯網網頁上發布選擇退出權利多告知。告知應包括(c)小節列舉的信息,或者鏈接到包含相同信息的企業隱私政策部分。
     
      (2)   與消費者進行實質性線下互動的企業,還應當通過線下方式向消費者提供告知,方便消費者了解自己的選擇退出權利。這些方法包括但不限于,將告知打印在收集個人信息的紙質表格上,向消費者提供告知的紙質版本,并張貼標示,將消費者引導到可以找到告知的網站。
     
      (3)   不經營網站的企業應建立、記錄并遵守另一種方法,即告知消費者其有權要求出售其個人信息的企業停止出售其個人信息。該方法應符合第(a)(2)款規定的要求。
     
      (c)   企業應在其選擇退出權利的告知中包括以下內容:
     
      (1)   消費者選擇退出出售其個人信息的權利說明;
     
      (2)   根據第999.315(a)節的要求,消費者可以線上提交選擇退出請求的網絡表單,或者如果企業不經營網站,消費者可以線下提交選擇退出請求;
     
      (3)   消費者提出選擇退出請求的其他方式的說明;
     
      (4)   消費者使用授權代理人行使選擇退出權利時所需的任何證明,或者如果是含有告知的紙質版表格,則提供消費者可以找到授權代理人信息的網頁、線上位置或網址
     
      (5)   指向企業隱私政策的鏈接或網址,或者如果是包含告知的紙質版表格,則為消費者可以訪問隱私政策的網頁的網址。
     
      (d)   在下列情況下,企業可免于提供選擇退出權利的告知:
     
      (1)   對于未張貼選擇退出權利的告知期間收集的個人信息,不出售、未來也不會出售
     
      (2)   在其隱私政策中聲明,現在沒有并且未來也不會出售個人信息。在未張貼選擇權告知的情況下收集個人信息的消費者應被視為已有效提交了選擇權請求。
     
      (e)   選擇退出的按鈕或標志
     
      (1)   除張貼選擇退出權利告知外,亦可使用下列選擇退出按鈕或標志,但不得代替張貼該告知。[在修改后的條例中,將增加按鈕或標志,并供公眾評論。]
     
      (2)   此退出按鈕或標志,應鏈接到包含第999.306(c)節規定信息的網頁或在線位置,或鏈接到企業隱私政策的包含相同信息的部分。
     
      注:引用的權威:民法典第1798.185節。參考:民法典第1798.120、1798.135和1798.185節。
     
      第999.307節 經濟激勵告知
     
      (a)   宗旨和一般原則
     
      (1)   經濟激勵告知的目的是向消費者解釋企業為保留或出售消費者個人信息而提供的每一項經濟激勵或價格或服務差異,以便消費者在充分知情的情形下決定是否參與。
     
      (2)   經濟激勵告知應當按照易讀和易懂的方式設計和呈現給消費者。告知應:
     
      a.    使用簡單明了的語言,避免使用技術或法律術語。
     
      b.    使用能吸引消費者注意的告知,并使用易讀的格式,包括在可行的情形下在較小的屏幕上進行告知。
     
      c.     使用正常業務過程中向消費者提供合同、免責聲明、銷售公告和其他信息的語言。
     
      d.    使得殘障消費者可以訪問。至少應提供信息,告訴殘障消費者如何以其他格式訪問告知。
     
      e.    在消費者選擇加入經濟激勵或價格或服務差異之前,可以在網上或其他物理位置訪問。
     
      (3)   如果企業線上提供經濟激勵或價格或服務差異,可通過提供包含(b)小節所要求信息的企業隱私政策部分的鏈接來發出告知。
     
      (b)   企業應在其經濟激勵告知中包括以下內容:
     
      (1)   對所提供的經濟激勵或者價格或服務差異的簡要說明;
     
      (2)   經濟激勵或價格或服務差異的實質性條款說明,包括經濟激勵或價格或服務差異涉及的個人信息類別;
     
      (3)   消費者如何選擇經濟激勵或價格或服務差異;
     
      (4)   告知消費者隨時有權退出經濟激勵,以及消費者如何行使該權利。
     
      (5)   為什么《加州消費者隱私法案》允許經濟激勵或價格或服務差異的解釋,包括:
     
      a.    對消費者數據價值的善意估計,構成提供經濟激勵或價格或服務差異的基礎;以及
     
      b.    描述企業用來計算消費者數據價值的方法。
     
      注:引用的權威:民法典第1798.185節。參考:民法典第1798.125和1798.130節。
     
      第999.308節 隱私政策
     
      (a)   宗旨和一般原則
     
      (1)   隱私政策的目的是向消費者全面描述企業線上和線下收集、使用、披露和出售個人信息方面的方式,以及消費者對其個人信息的權利。隱私政策不應包含關于個人消費者的具體個人信息,也不需要針對每個消費者進行個性化定制。
     
      (2)   隱私政策的設計和呈現方式,應便于普通消費者閱讀和理解。告知應:
     
      a.    使用簡單明了的語言,避免使用技術或法律術語。
     
      b.    使用易讀的格式,包括在可行的情形下在較小的屏幕上進行告知。
     
      c.     使用正常業務過程中向消費者提供合同、免責聲明、銷售公告和其他信息的語言。
     
      d.    使得殘障消費者可以訪問。至少應提供信息,告訴殘障消費者如何以其他格式訪問告知。
     
      e.    提供附加格式,允許消費者將其作為單獨的文檔打印出來。
     
      (3)   隱私政策應線上發布在企業網站主頁或移動應用程序的下載或登錄頁上的醒目位置,隱私政策的鏈接須使用“隱私”一詞。如果企業在其網站上有特定關于加利福尼亞州消費者隱私權利的描述,則隱私政策應包含在該描述中。不經營網站的企業,應當以醒目方式向消費者提供隱私政策。
     
      (b)   隱私政策應包括以下信息:
     
      (1)   對收集、披露、出售個人信息的知情權
     
      a.    說明消費者有權要求企業披露其收集、使用、披露和出售的個人信息。
     
      b.    提供有關提交可驗證的消費者知情請求的向導,如果企業提供線上請求表單或網站的話,則提供其鏈接,以便消費者提出請求。
     
      c.     描述企業將用于驗證消費者請求的程序,包括消費者必須提供的任何信息。
     
      d.    收集的個人信息
     
      1.    列出企業在過去12個月內收集的消費者個人信息的類別。告知的撰寫方式,應使消費者清楚地理解所收集的信息。
     
      2.    提供收集的每一類個人信息的來源類別、收集信息的業務或商業目的,以及與企業共享個人信息的第三方類別。告知的撰寫方式,應使消費者清楚地理解所收集的信息的類別。
     
      e.    個人信息的披露或出售
     
      1.    說明在過去12個月內,公司是否向第三方披露或出售任何個人信息用于業務或商業目的。
     
      2.    列出其在過去12個月內,為業務或商業目的向第三方披露或出售的任何個人信息的類別。
     
      3.    說明該企業是否未經批準出售16歲以下未成年人的個人信息。
     
      (2)   請求刪除個人信息的權利
     
      a.    說明消費者有權要求企業刪除其所收集或儲存的個人信息。
     
      b.    提供有關提交可驗證的消費者刪除請求的向導,如果企業提供線上請求表單或網站,則提供其鏈接,以便消費者提出請求
     
      c.     描述企業將用于驗證消費者請求的程序,包括消費者必須提供的任何信息。
     
      (3)   選擇退出出售個人信息的權利
     
      a.    說明消費者有權選擇退出企業出售其個人信息。
     
      b.    包括選擇退出權的告知的內容,或者符合第999.306節的鏈接。
     
      (4)   消費者隱私權不受歧視的權利
     
      a.    說明消費者在行使《加州消費者隱私權法案》授予的隱私權時不受企業歧視。
     
      (5)   委托代理人
     
      a.    解釋消費者如何指定授權代理人代表消費者在《加州消費者隱私權法案》下提出請求。
     
      (6)   獲取更多信息的聯系方式:使用反映企業與消費者主要互動方式的方式,向消費者提供有關企業隱私政策和做法的問題或關切的聯系方式……
     
      (7)   上次更新隱私政策的日期。
     
      (8)   如果符合第999.317(g)節規定的要求,在第999.317(g)(1)節中所匯編的信息或其鏈接。
     
      注:引用的權威:民法典第1798.185節。參考:民法典第1798.105、1798.115、1798.120、1798.125和1798.130節。
     
      第3條 處理消費者請求的企業實踐
     
      第999.312節 提交知情請求和刪除請求的方法
     
      (a)   企業應向消費者提供兩種或兩種以上指定的提出請求的方式,其中須包括通過免費電話提出請求的方式;如果企業經營網站,則應提供可通過企業網站或移動應用程序訪問的交互式網絡表格。提交這些請求的其他可行方法包括但不限于指定的電子郵件地址、親自提交的表格和通過郵件提交的表格。
     
      (b)   企業應提供兩種或兩種以上提交刪除請求的指定方法。提交這些請求的可行方法包括但不限于免費電話、通過企業網站線上提供的鏈接或表格、指定的電子郵件地址、親自提交的表格,以及通過郵件提交的表格。
     
      (c)   企業在確定提交知情請求和刪除請求時,應考慮其與消費者互動的方法。即使要求企業提供三種提交知情請求的方法,其所提供的方法中,也至少有一種應反映企業與消費者互動的主要方式。示例如下:
     
      (1)   例1:如果企業是在線零售商,消費者提交請求的方法中,至少一種應通過企業的零售網站。
     
      (2)   例2:該企業經營網站,但主要是在零售地點親自與顧客互動,則該業務須提供三種提交知情要求的方法:免費電話、可透過該業務網站進入的互動網頁表格,以及可在零售地點親自提交的表格。
     
      (d)   企業應采用兩步程序處理線上提交的刪除請求,消費者必須首先明確提交刪除請求,然后確認該請求。
     
      (e)   如果企業在其正常經營過程中沒有與消費者直接互動,消費者提交知情請求或刪除請求的方法中,至少方法一種應是線上的,例如通過該企業的網站或張貼在該企業網站上的鏈接。
     
      (f)     如果消費者提交請求的方式不是指定的提交方式之一,或者在某些與驗證程序無關的方式上有缺陷,則企業應:
     
      (1)   將請求視為按照企業指定的方式提交,或
     
      (2)   向消費者提供關于如何提交請求,或者如有必要,提供補救任何缺陷的具體指示(如適用)。
     
      注:引用的權威:民法典第1798.185條。參考:民法典第1798.100、1798.105、1798.110、1798.115、1798.130、1798.140和1798.185節。
     
      第999.313節 對知情請求和刪除請求的回應
     
      (a)   在收到知情請求或刪除請求后,企業應在10天內確認收到該請求,并提供信息說明企業將如何處理該請求。所提供的信息應說明企業的驗證過程,以及消費者應在何時得到答復,但企業已經批準或拒絕請求的情況除外。
     
      (b)   企業應在45天內回應知情請求和刪除請求。45天的期限將從企業收到請求的當天開始計算,而不考慮驗證請求所需的時間。若有必要,企業可以額外要求45天來回應消費者的請求,即從收到請求的當天起總共最多90天,但前提是,企業向消費者提供告知,并解釋商業需要超過45天的時間來回應請求的原因。
     
      (c)   回應知情請求
     
      (1)   對于要求披露消費者具體信息的請求,如果企業無法根據第4條規定驗證請求人的身份,企業不得向請求人披露任何具體的個人信息,并應告知請求人無法核實其身份。如果請求全部或部分被拒絕,企業還應評估消費者的請求,就像正在請求根據第(c)(2)款披露有關消費者的各類個人信息一樣。
     
      (2)   對于要求披露有關消費者的各類個人信息的請求,如果企業無法驗證根據第4條規定請求人的身份,企業可拒絕披露所要求的類別和其他信息的請求,并應告知請求人無法驗證其身份。如果請求全部或部分被拒絕,企業應向消費者提供或指引其在隱私政策中規定的有關收集、儲存和銷售個人信息的一般商業慣例。
     
      (3)   如果披露消費者的個人信息會給消費者在企業中的賬戶或企業的系統或網絡安全造成重大、明確和不合理的風險,則企業不得向消費者提供特定的個人信息。
     
      (4)   在任何時候,企業都不得泄露消費者的社會保險號碼、駕駛證號碼或者其他政府核發的身份證號碼、金融賬號、健康保險或醫療身份證號碼、賬戶密碼、安全問答等信息。
     
      (5)   如果由于與聯邦或州法律沖突,或者由于《加州消費者隱私法案》所規定的例外情況,企業拒絕了消費者對全部或部分個人信息的驗證請求,則企業應告知請求人并解釋拒絕的依據。僅部分拒絕的,企業應當披露消費者要求的其他信息。
     
      (6)   企業向消費者傳遞個人信息,應當采取合理的安全措施。
     
      (7)   如果企業存儲的消費者賬戶受密碼保護,它可以通過如下方式遵守知情請求:使用安全的自助服務門戶讓消費者訪問和查看,如果門戶網站充分披露了消費者根據《加州消費者隱私法案》和本條例享有的個人信息權利,使用了合理的數據安全控制措施,并符合第4條規定的驗證要求,則消費者可接收其個人信息的可攜帶副本。
     
      (8)   除非另有規定,《民法典》第1798.130(a)(2)節所指的可驗證消費者的知情請求所涵蓋的12個月,是指從業務部門收到請求之日起計算,不考慮驗證請求所需的時間。
     
      (9)   對已驗證的消費者提出的個人信息類別、來源類別和/或第三方類別的知情要求,企業應當按照《加州消費者隱私法案》的要求,向消費者提供個性化的答復。企業不得向消費者提供其隱私政策中概述的一般實踐,除非企業針對該消費者請求的事項會所有消費者提供相同的答復,并且隱私政策中已包含答復此類知情請求所需的所有信息。
     
      (10)          在回應已驗證的個人信息類別的知情請求時,企業應就其收集到的關于消費者的每一種已確定的個人信息類別作出規定:
     
      a.    收集個人信息的來源類別;
     
      b.    收集個人信息的業務或商業目的;
     
      c.     為商業目的向其出售或披露個人信息的第三方類別;以及
     
      d.    出售或披露該類個人信息的業務或商業目的。
     
      (11)          企業應確定個人信息的類別、個人信息來源的類別以及企業向其出售或披露個人信息的第三方的類別,以使消費者能夠清楚地理解所列舉的類別。
     
      (d)   回應刪除請求
     
      (1)   對于刪除請求,如果企業不能按照第4條的規定驗證請求人的身份,企業可以拒絕刪除請求。企業應告知請求人其身份無法驗證,同時應將其請求視為選擇退出出售的請求。
     
      (2)   企業應通過以下方式,遵守消費者刪除其個人信息的請求:
     
      a.    永久和徹底擦除其現有系統上的個人信息,除了存檔或備份系統之外;
     
      b.    對個人信息進行去標示化;或
     
      c.     匯總個人信息。
     
      (3)   如果企業將任何個人信息存儲在存檔或備份系統上,它可以延遲遵守消費者關于刪除存檔或備份系統上存儲的數據的請求,直到下次訪問或使用存檔或備份系統時。
     
      (4)   企業在回應消費者的刪除請求時,應當說明刪除個人信息的方式。
     
      (5)   企業在回應刪除請求時,應當披露其將根據《民法典》第1798.105(d)節保存該請求記錄。
     
      (6)   企業拒絕消費者刪除請求的,應當采取下列措施:
     
      a.    告知消費者其不會遵守消費者的請求,并說明拒絕的依據,包括任何法律和監管例外;
     
      b.    刪除不屬于例外情況的消費者個人信息;以及
     
      c.     不得將消費者的個人信息用于該例外規定以外的任何其他目的。
     
      (7)   在回應刪除請求時,只有在同時提供刪除所有個人信息的全局選項,并且比其他選項更醒目的情況下,企業才可以向消費者提供刪除其選定部分個人信息的選項。如果消費者按照第999.312(d)節的要求確認其選擇,企業仍應采用兩步確認的程序。
     
      注:引用的權威:民法典第1798.185節。參考:民法典第1798.100、1798.105、1798.110、1798.115、1798.130和1798.185節。
     
      第999.314節 服務提供商
     
      (a)   如果某個人或實體向非企業的個人或組織提供服務,并滿足《民法典》第1798.140(v)節規定的“服務提供者”的其他要求,則就《加州消費者隱私權利法案》和本條例而言,該個人或實體應被視為服務提供者。
     
      (b)   企業指示個人或實體代表企業直接從消費者處收集個人信息,并滿足《民法典》第1798.140(v)節規定的“服務提供者”的所有其他要求,就《加州消費者隱私權利法案》和本條例而言,該人或實體應被視為服務提供者。
     
      (c)   服務提供者不得將從其服務的個人或實體或從消費者與服務提供者的直接互動中獲得的個人信息,用于為另一個人或實體提供服務。然而,服務提供者可將其作為服務提供者的一個或多個實體接收到的個人信息合并起來,代表此類企業以檢測數據安全事件,或防止欺詐或非法活動。
     
      (d)   如果服務提供者收到消費者關于服務提供者代表企業信息技術服務收集、維護或銷售的個人信息的知情請求或刪除請求,且拒絕該請求,則服務提供者應解釋拒絕的依據。服務提供者還應告知消費者其應直接向服務提供者代表其處理信息的企業提交請求,并在可行的情況下,向消費者提供該企業的聯系信息。
     
      (e)   作為企業的服務提供者,應遵守《加州消費者權利隱私法案》和本條例中關于其作為服務提供者之外收集、儲存或出售任何個人信息的規定。
     
      注:引用的權威:民法典第1798.185節。參考:民法典第1798.100、1798.105、1798.110、1798.115、1798.130、1798.140和1798.185節。
     
      第999.315節 選擇退出請求
     
      (a)   企業應提供兩種或兩種以上提交退出請求的指定方法,至少包括通過企業網站或移動應用程序上的醒目位置放置標題為“請勿出售本人個人信息”或“請勿出售本人信息”的的交互式網絡表單。提交退出請求的其他可接受方法包括但不限于免費電話、指定電子郵件地址、親自提交的表格、通過郵件提交的表格以及用戶啟用的隱私控制,如瀏覽器插件或隱私設置或其他機制,傳達或顯示消費者選擇退出出售個人信息。
     
      (b)   企業在確定消費者可以使用哪些方法提交選擇退出請求時,應考慮其與消費者互動的途徑、企業向第三方出售個人信息的方式、可行的技術、以及普通消費者的使用方便。企業所提供的方法中,至少一種應反映企業與消費者互動的主要方式。
     
      (c)   如果企業線上從消費者處收集個人信息,企業應將用戶啟用的表明或暗示其選擇不出售個人信息的隱私控制,如瀏覽器插件或隱私設置或其他機制,作為根據《民法典》第1798.120節就該瀏覽器或設備或消費者提交的有效請求。
     
      (d)   在回應選擇退出請求時,只有在選擇退出銷售所有個人信息的全局選項比其他選項更醒目的情況下,企業才可以向消費者提供選擇退出銷售其選定部分個人信息的選項。
     
      (e)   企業在收到退出請求后,應在可行的情況下盡快采取行動,但不得遲于企業收到請求之日起的15天。
     
      (f)     企業應在收到消費者請求的90天內,告知其曾出售消費者個人信息的所有第三方,消費者已行使其選擇退出的權利,并指示所有第三方不再出售該消費者的個人信息。企業完成告知后,應當通知消費者。
     
      (g)   如消費者向授權代理人提供書面準許,則消費者可任用授權代理人代替消費者提交選擇退出申請。如果授權代理人沒有提交證據證明其已被消費者授權代表消費者行事,企業可以拒絕該授權代理人的請求。用戶啟用的表明或暗示其選擇不出售個人信息的隱私控制,如瀏覽器插件或隱私設置或其他機制,應被視為直接來自消費者的請求,而不是通過授權代理的請求。
     
      (h)   選擇退出的請求,不必是可驗證的消費者請求。但是,如果企業有善意、合理的理由相信且有文件證明,消費者選擇退出請求具有欺騙性,則企業可以拒絕該請求。企業應告知請求方,其將拒絕請求,并應解釋其認為請求具有欺騙性的原因。
     
      注:引用權威:民法典第1798.135和1798.185節。參考:民法典第1798.120、1798.135、1798.140和1798.185節。
     
      第999.316節 選擇不出售個人信息后要求選擇加入
     
      (a)   選擇加入出售個人信息的請求應采用兩步選擇加入程序,即消費者應首先明確要求選擇加入,然后分別確認其選擇加入的要求。
     
      (b)   當某項交易以出售消費者個人信息作為完成條件時,企業可告知選擇退出的消費者,并說明消費者如何選擇加入。
     
      注:引用的權威:民法典第1798.185節。參考:民法典第1798.120、1798.135和1798.185節。
     
      第999.317節 培訓;記錄
     
      (a)   負責處理消費者詢問關于企業隱私實踐或企業遵守《加州消費者隱私法案》的所有人,應充分知悉《加州消費者隱私法案》和本條例中的所有要求,以及如何指導消費者行使《加州消費者隱私法案》和本條例下的權利。
     
      (b)   根據《加州消費者隱私法案》提出的消費者請求,以及企業如何回應上述請求的記錄,企業應至少保存24個月。
     
      (c)   記錄可采用記錄單或日志格式保存,但記錄單或日志應包括請求日期、請求性質、提出請求的方式、企業答復的日期、答復的性質,以及全部或部分拒絕請求時拒絕請求的依據。
     
      (d)   企業保存本節要求的信息,只要該信息不用于任何其他目的,就不會構成違反《加州消費者隱私法案》或本條例。
     
      (e)   為保存紀錄而保存的資料,不得作任何其他用途。
     
      (f)     除此記錄保存目的外,企業不需要僅為滿足消費者根據《加州消費者隱私法案》提出的要求而保留個人信息。
     
      (g)   若企業一年之內出于商業目的單次或共計購買、接收、出售或分享4000000及以上消費者的個人信息,則該企業應:
     
      (1)   編制上一年的以下指標:
     
      a.    該企業已收到、全部或部分遵守,以及拒絕的知情請求的數量;
     
      b.    該企業已收到、全部或部分遵守,以及拒絕的刪除請求的數量;
     
      c.     該企業已收到、全部或部分遵守,以及拒絕的選擇退出請求的數量;
     
      d.    企業實質性回應知情請求、刪除請求和選擇退出請求的平均天數。
     
      (2)   在其隱私政策內披露第(g)(1)小節中匯編的信息,或在其網站上發布的信息,以及從其隱私政策中的鏈接訪問信息。
     
      (3)   建立、記錄并遵守培訓政策,以確保負責處理消費者請求或企業遵守《加州消費者隱私法》的所有人,都了解本條例和《加州消費者隱私法》的所有要求。
     
      注:引用的權威:民法典第1798.185節。參考:民法典第1798.100、1798.105、1798.110、1798.115、1798.120、1798.130、1798.135和1798.185節。
     
      第999.318節 訪問或刪除家庭信息的請求
     
      (a)   如果消費者在企業中沒有受密碼保護的賬戶,企業可以根據第4條規定的驗證要求,通過提供家庭匯總信息回應與家庭個人信息有關的知情或刪除請求。
     
      (b)   如果該家庭的所有消費者共同請求獲得該家庭的特定信息或刪除家庭個人信息,而且企業可以根據第4條規定的驗證要求對該家庭的所有成員進行逐一驗證,則企業應遵守這一請求。
     
      注:引用的權威:民法典第1798.185節。參考:民法典第1798.100、1798.105、1798.110、1798.115、1798.120、1798.130、1798.140和1798.185節。
     
      第4條 請求驗證
     
      第999.323節 驗證的一般規則
     
      (a)   企業應建立、記錄并遵守合理的方法,以驗證提出知情或刪除請求的人是企業收集其信息的消費者。
     
      (b)   在確定企業驗證消費者身份的方法時,企業應:
     
      (1)   在可行的情況下,將消費者提供的身份信息與企業已經保存的消費者個人信息進行比對,或者使用符合本節規定的第三方身份驗證服務。
     
      (2)   避免收集《民法典》第1798.81.5(d)節中確定的個人信息類型,除非出于驗證消費者的目的而有必要。
     
      (3)   考慮以下因素:
     
      a.    收集和儲存的有關消費者個人信息的類型、敏感性和價值。敏感或有價值的個人信息,應使用更嚴格的驗證程序。《民法典》第1798.81.5(d)節中確定的個人信息類型應視為推定敏感信息;
     
      b.    未經授權的訪問或刪除對消費者造成損害的風險。未經授權的訪問或刪除會對消費者造成更大損害的風險,應使用更嚴格的驗證程序;
     
      c.     欺詐或惡意行為人收集個人信息的可能性。可能性越大,驗證過程越嚴格;
     
      d.    為了防止欺詐請求、欺騙或捏造,消費者為驗證其身份而提供的個人信息是否足夠可靠,;
     
      e.    企業與消費者互動的方式;以及
     
      f.      可用于驗證的技術。
     
      (c)   企業一般應避免為了驗證而要求消費者提供額外信息。但是,如果企業根據其保存的信息難以驗證消費者的身份,企業可以要求消費者提供額外信息,但這些信息只能用于驗證尋求行使其在CCPA項下權利的消費者的身份,以及出于安全或防止欺詐的目的。企業應在處理消費者的請求后,應盡快刪除為驗證目的而收集的任何新的個人信息,但符合第999.317節要求的除外。
     
      (d)   企業應實施合理的安全措施,以發現欺詐性的身份驗證活動,并防止未經授權訪問或刪除消費者個人信息。
     
      (e)   如果企業儲存的消費者信息被去標識,則企業沒有義務回應消費者提出的提供或刪除該信息的請求,或重新標識個人數據以驗證消費者請求。
     
      注:引用的權威:民法典第1798.185節。參考:民法典第1798.100、1798.105、1798.110、1798.115、1798.130、1798.140和1798.185節。
     
      第999.324節 驗證受密碼保護的賬戶
     
      (a)   如果一個企業保存的消費者賬戶受密碼保護,企業在遵循第999.323節要求的前提下,可以通過現有的認證實踐來驗證消費者的身份。企業還應當要求消費者在披露或者刪除消費者數據前重新進行身份認證。
     
      (b)   如果企業懷疑受密碼保護的賬戶在進行欺詐或惡意活動,則在進一步的驗證程序確定消費者的請求是真實的,而且提出請求的消費者與企業收集信息的消費者是同一人之前,企業不應遵守消費者的知情請求或刪除請求。企業可按照第999.325節規定的程序,進一步驗證消費者的身份。
     
      注:引用的權威:民法典第1798.185條。參考:民法典第1798.100、1798.105、1798.110、1798.115、1798.130和1798.185條。
     
      第999.325節 非賬戶持有人的驗證
     
      (a)   如果消費者沒有或無法訪問企業的密碼保護賬戶,企業應遵守本節第(b)至(g)小節以及第999.323節的規定。
     
      (b)   企業滿足個人信息類別的知情請求之前,應在合理的確定程度內驗證提出請求的消費者身份。合理的確定程度,可以包括將消費者提供的至少兩個數據點與企業保存的、已確定對于驗證消費者是可靠的數據點相匹配。
     
      (c)   企業滿足特定個人信息類別的知情請求之前,應在合理的高確定程度內驗證提出請求的消費者身份,這是一個較高的驗證標準。合理的高確定程度可以包括將消費者提供的至少三份個人信息與企業保存的、其已確定為可靠的個人信息進行匹配,以驗證消費者,并附上一份偽證罪的簽署聲明,聲明請求者是請求個人信息的消費者主體。企業應保留所有已簽署的聲明,作為其記錄保存義務的一部分。
     
      (d)   企業滿足刪除請求之前,要求企業根據個人信息的敏感性和未經授權刪除對消費者造成損害的風險,對消費者身份進行合理的確定程度或合理的高確定程度的驗證。例如,刪除家庭照片和文件可能需要相當高的確定程度,而刪除瀏覽歷史只需要合理高的確定程度。企業應當按照第四條的規定,確定驗證消費者時適用的適當標準,并基于善意采取行動。
     
      (e)   說明性情景如下:
     
      (1)   如企業以與指名的實際人士有關聯的方式保存個人信息,則該企業可要求該消費者提供與該企業所保存的個人信息相符的證據,以驗證該消費者的身份。例如,如果企業保留消費者的姓名和信用卡號碼,企業可以要求消費者提供信用卡的安全碼,并識別消費者最近使用信用卡購買的物品,在合理的確定程度內驗證其身份。
     
      (2)   如果企業以與指名的實際人員無關的方式保存個人信息,企業可以要求消費者證明其是與非指名的識別信息相關聯的唯一消費者,以驗證消費者的身份。這可能要求企業結合第999.323(b)(3)節中規定的因素,進行基于事實的驗證程序。
     
      (f)     如沒有合理的方法使企業能按本條所規定的確定程度驗證消費者的身份,則企業須在回應消費者的請求時如實闡明,如該企業持有其個人信息的所有消費者如此,則該企業須在其隱私政策中如此闡明。企業還應解釋,為什么沒有合理的方法來驗證請求者的身份。企業應每年評估是否可以確立某種合理的方法,并記錄評估結果。
     
      注:引用的權威:民法典第1798.185節。參考:民法典第1798.100、1798.105、1798.110、1798.115、1798.130和1798.185節。
     
      第999.326節 授權代理人
     
      (a)   當消費者通過授權代理人提交知情請求或刪除請求時,企業可要求消費者:
     
      (1)   向授權代理人提供書面許可
     
      (2)   直接向企業驗證本人身份
     
      (b)   (a)款不適用于消費者已依據《遺囑認證法》第4000至4465節向授權代理人提供授權書的情況。
     
      (c)   如果授權代理人沒有提交證明其已被消費者授權代表消費者行事的證據,企業可以拒絕該授權代理人的請求。
     
      注:引用的權威:民法典第1798.185節。參考:民法典第1798.100、1798.110、1798.115、1798.130和1798.185節。
     
      第5條 未成年人的特別規則
     
      第999.330節 13歲以下的未成年人
     
      (a)   選擇加入出售個人信息的程序
     
      (1)   企業如實際知悉其收集或保存13歲以下兒童的個人信息,則須設立、記錄及遵從合理方法,以確定肯定授權出售有關該兒童個人信息的人是該兒童的父母或監護人。《兒童在線隱私保護法》(15 U.S.C.)第6501節以下要求可驗證的父母同意,此肯定授權是對其的補充。
     
      (2)   為確保提供同意的人是子女的父母或監護人而合理計算的方法包括:
     
      a.    企業提供一份由父母或監護人簽署的造假可被處以偽證罪的同意書,并以郵遞、傳真或電子掃描方式寄回該企業;
     
      b.    在與貨幣交易有關的情況下,要求父母或監護人使用信用卡、借記卡或其他在線支付系統向主要賬戶持有人提供每筆單比交易的告知;
     
      c.     讓父母或監護人撥打由受過培訓的人員接聽的免費電話;
     
      d.    讓家長或監護人通過視頻會議與受過培訓的人員聯系;
     
      e.    讓父母或監護人親自與受過培訓的人員溝通;以及
     
      f.      驗證父母或監護人的身份,方法是將政府簽發的身份證明表格與此類信息的數據庫進行核對,在驗證完成后,企業立即從其記錄中刪除父母或監護人的身份證明。
     
      (b)   當一家企業依據本節第(a)小節獲得肯定性授權時,該企業應告知父母或監護人在以后選擇退出的權利,以及依據第999.315節為其子女選擇退出的程序。
     
      注:引用的權威:民法典第1798.185條。參考:民法典第1798.120、1798.135和1798.185(a)(6)節。
     
      第999.331節 13至16歲的未成年人
     
      (a)   企業如實際知悉其收集或保存13至16歲以下未成年人的個人信息,應根據第999.316條,建立、記錄并遵守允許未成年人選擇加入出售其個人信息的合理程序。
     
      (b)   當一家企業從一名年齡在13歲及16歲以下的未成年人處收到選擇加入出售個人信息的請求時,該企業應告知該未成年人在以后選擇退出的權利,以及根據第999.315條選擇退出的程序。
     
      注:引用的權威:民法典第1798.185節。參考:民法典第1798.120、1798.135和1798.185節。
     
      第999.332節 對16歲以下未成年人的告知
     
      (a)   受第999.330節和第999.331節管轄的企業,應在其隱私政策中包括對這些章節中規定的程序進行描述。
     
      (b)   專門針對直接向16歲以下消費者提供商品或服務的企業,未經這些未成年人的肯定授權,或其父母或監護人對13歲以下未成年人的肯定授權,不得出售這些未成年人的個人信息,無需提供選擇退出權告知。
     
      注:引用的權威:民法典第1798.185款。參考:民法典第1798.120、1798.135和1798.185款。
     
      第6條 不得歧視
     
      第999.336節 歧視性做法
     
      (a)   如果企業因為消費者行使了《加州消費者隱私法》或本條例授予的權利而對消費者差別對待,則經濟激勵或價格或服務差異就是歧視性的,因此將被《民法典》第1798.125節的禁止。
     
      (b)   盡管有本節第(a)小節的規定,但如果企業與第999.337節中定義的消費者數據的價值合理相關,仍可以提供有差別的價格或服務。
     
      (c)   舉例如下:(1)例1:音樂流媒體業務提供免費服務和每月5美元的優質服務。如果只賦予付費的消費者選擇不出售其個人信息的權利,那么這種做法是歧視性的,除非每月5美元的付款與消費者數據對企業的價值合理相關。(2):例2:一家零售商店向注冊成為其郵件列表的消費者提供折扣價。如果郵寄名單上的消費者即使在提出知情請求、刪除請求和/或選擇退出請求后仍能繼續收到折扣價格,則不同的價格水平并不具有歧視性。
     
      (d)   企業因《加州消費者隱私法案》或本條例允許的理由拒絕消費者的知情、刪除或選擇退出請求,不應被視為歧視。
     
      (e)   根據《民法典》第1798.125節,企業應將其根據第999.307節提供的任何經濟激勵或價格或服務差異告知消費者。
     
      (f)     企業依據《民法典》第1798.145(g)(3)節收取合理費用,不應視為本條例規定的經濟激勵。
     
      注:引用的權威:民法典第1798.185節。參考:民法典第1798.125、1798.130和1798.185節。
     
      第999.337節 計算消費者數據的價值
     
      (a)   根據《民法典》第1798.125條,消費者數據提供給消費者的價值,等同于消費者數據提供給企業的價值,應稱為“消費者數據的價值”。
     
      (b)   為估算消費者數據的價值,根據《民法典》第1798.125節提供經濟激勵或價格或服務差異的企業應使用并記錄合理善意的消費者數據價值計算方法。企業應使用下列一項或多項:
     
      (1)   銷售、收集、刪除消費者數據或者典型消費者數據對企業的邊際價值;
     
      (2)   銷售、收集、刪除消費者數據或者典型消費者數據的對企業的平均價值;
     
      (3)   企業從不同層次、不同類別、不同群體的消費者,或者數據價值不同的典型消費者取得的收入或者利潤;
     
      (4)   銷售、收集、保存消費者個人信息獲得的收入;
     
      (5)   銷售、收集、保存消費者個人信息的有關費用;
     
      (6)   與提出、提供或者實施財務激勵、差價或者服務有關的費用;
     
      (7)   銷售、收集、保存消費者個人信息所產生的利潤;以及
     
      (8)   善意使用的其他實用可靠的計算方法。
     
      注:引用的權威:民法典第1798.185節。參考:民法典第1798.125、1798.130和1798.185節。
     
      第7條 可分割性
     
      第999.341節
     
      (a)   本章本條例所載的任何條、節、小節、句、款或語句,如果因任何原因被認定為違反憲法、違反法規、超出總檢察長的權限,或在某些方面無法實施,該認定不影響本條例其余部分的有效性。
     
      注:引用的權威:民法典第1798.185款。參考:民法典第1798.105、1798.145、1798.185和1798.196款。

    閱讀(256 評論(0
    我要評論
    歡迎您

    最新評論

    北大法律信息網
    www.chinalawinfo.com
    法律動態
    網站簡介
    合作意向
    網站地圖
    隱私政策
    版權聲明
    北大法寶
    www.pkulaw.cn
    法寶動態
    法寶優勢
    經典客戶
    免費試用
    產品服務
    專業定制
    購買指南
    郵件訂閱
    法律會刊
    北大英華
    www.pkulaw.com
    英華簡介
    主要業務
    產品列表
    英華網站
    聯系我們
    用戶反饋
    返回頂部
    二維碼
    不要添了,我高潮了视频