2024年3月25日 由 Michael Evans
对于房地产行业的每一个人,请注意——CPRA已经到来,并大幅改变了我们的工作方式。在CCPA的基础上,这项新立法赋予了您更多的权力,让您可以比以往更好地控制自己的个人信息。
好吧,但说真的——这一切会如何影响成功运营物业业务呢?有没有想过在避免处罚的同时还能把事情理顺?
别担心。我会分解基本知识,并向您展示如何让您的业务符合CPRA标准。让我们深入探讨吧!
目录:
什么是加州隐私权法案 (CPRA)?
加州隐私权法案 (CPRA) 在保护您的个人信息方面是一个游戏规则的改变者。
这项新的 隐私法 为加州居民提供了更多的控制权,使他们能够控制企业如何收集、使用和共享他们的数据。
但重点是:
CPRA并不是加州消费者隐私法案 (CCPA) 的简单翻版。
它将消费者隐私提升到一个全新的水平。
CCPA和CPRA的主要区别
那么,CPRA与其前身有何不同?
首先,CPRA引入了新的权利,如更正不准确的个人信息和限制敏感数据使用的能力。
此外,它还将员工和B2B数据的豁免期延长至2023年1月1日。
另外,CPRA成立了 加州隐私保护局 来执行法律,并对不合规的企业进行处罚。
CPRA何时生效?
朋友们,记下这个日期。
CPRA在2020年11月3日获得加州选民的批准,但其大部分条款仅从2023年1月1日起生效。
此外,还有一个为期12个月的回溯期,于2022年1月1日开始。
谁必须遵守CPRA?
并不是每个企业都需要担心CPRA。
它适用于在加州经营业务且符合以下任何条件的营利性实体:
- 年收入超过2500万美元
- 购买、出售或共享10万或更多加州居民或家庭的个人信息
- 其年收入的50%或以上来自出售或共享加州居民的个人信息
如果您的企业属于以上类别之一,是时候认真对待 CPRA合规 了。
企业遵循CPRA的要求
好了,来谈谈企业需要做些什么才能遵守CPRA。
这不仅仅是在您的网站上贴一个通用的隐私政策就完事了。
CPRA对处理个人信息提出了一些非常具体的要求。
在CPRA下定义个人信息
首先:在CPRA下,什么才算是个人信息?
该法覆盖的范围很广,涵盖识别、关联或可以合理链接到特定消费者或家庭的所有信息。
这包括显而易见的东西如姓名和电子邮件地址,也包括IP地址、生物识别数据,甚至从其他个人信息推断出的信息。
敏感个人信息类别
CPRA更进一步,引入了一类新的“敏感个人信息”。
这包括:
- 社会安全号码
- 驾驶证号码
- 护照号码
- 金融账户信息
- 精确的地理位置数据
- 种族或民族出身
- 宗教或哲学信仰
- 工会会员身份
- 邮件、电子邮件和短信的内容
- 基因数据
企业在收集和使用此类信息时必须特别小心。
数据收集和使用限制
根据CPRA,企业不能无限制地收集个人信息。
他们必须通知消费者他们正在收集的个人信息类别和使用目的。
如果企业希望收集额外类别的个人信息或用于新的目的,他们必须更新他们的隐私通知。
CPRA还要求企业将个人信息的收集、使用、保留和共享限制在合理必要和相称的范围内,以实现其收集的用途。
实施合理的安全措施
收集个人信息是一项重要的责任,CPRA希望企业认真对待。
这意味着要实施合理的安全措施,以保护个人信息免遭未经授权的访问、破坏、使用、修改或披露。
什么才算“合理”将取决于企业的性质和所涉及信息的敏感度。
但至少,企业应该加密个人信息,限制需要访问的信息,并定期监控安全事件。
加州隐私权法案 (CPRA) 提高了隐私规则,赋予加州居民更多的控制权。它引入了新权利和一个专门的机构来执行这些权利。自2023年1月1日起,如果您的企业规模足够大或主要处理个人信息,您需要加强您的隐私措施。
扩展的消费者权利(CPRA)
CPRA 在CCPA已经赋予的权利上进行了扩展。这意味着加州居民现在对他们的个人信息拥有更多的控制权。
让我们仔细看看扩展或新增的关键权利:
删除个人信息的权利
根据CPRA,消费者可以要求企业删除其个人信息。 CCPA中已经存在这一权利,但CPRA更进一步。
现在,企业必须通知他们的服务提供商和承包商也要从他们的记录中删除消费者的个人信息。这确保了数据不仅从收集它的企业被删除,还从所有来源删除。
更正不正确数据的权利
CPRA为消费者引入了一项新权利:请求企业更正任何不正确的个人信息。这是一个重要的补充,因为它允许个人确保用于决策的数据信息是准确的。
当消费者提交改正信息的可验证请求时,企业必须使用商业上合理的努力来更正不准确的数据。他们还必须指示他们的服务商和承包商进行必要的更正。
了解数据收集和共享的权利
消费者有权请求企业披露其收集的个人信息,以及信息来源的类别。他们也可以要求企业披露已被收集的个人信息的具体部分。
此外,消费者可以要求有关其数据被如何共享的信息。这包括与哪些第三方共享个人信息的类别,以及共享了哪些类别的个人信息。
选择退出数据共享的权利
CPRA将CCPA的不出售个人信息的权利扩展至包括不共享个人信息。这意味着消费者可以指示企业不要将其数据与第三方共享以用于行为广告。
企业必须在其网站上提供一个清晰而显眼的链接,名为“请勿出售或分享我的个人信息”,以便于消费者行使这一权利。他们还必须尊重全球隐私控制信号,指示消费者选择退出。
这些扩展的权利赋予了加州居民前所未有的控制权。通过行使这些权利,个人可以限制其数据的收集和共享,并确保用于决策的信息是准确的。
CPRA执法与违法惩罚
CPRA不仅扩展了消费者权利,还建立了一个新的执法机构,并增加了对不合规企业的处罚。
以下是您需要了解的CPRA执法与处罚信息:
加州隐私保护局的作用
CPRA创建了一个新的州立机构——加州隐私保护局 (CPPA),负责执法。这将执法权从加州总检察官办公室转移。
CPPA将有权调查潜在的违规行为,开展行政执法行动并征收罚款。也负责向企业和消费者提供有关其在CPRA下的权利和义务的指导。
CPRA违规的处罚
CPRA显著增加了对违反法律的企业的处罚。对于每次违规,企业可能面临最高2500美元的罚款,或对于故意违规或涉及未登记的人的信息的违规,罚款最高为7500美元。
这些罚款可能会迅速增加,特别是对于拥有大量加州客户的企业。除了这些罚款,企业可能还会受到强制与守法的禁令和其他法院命令的制裁。
数据泄露的私人诉讼权
CPRA扩展了CCPA下的私人诉讼权。如果某公司疏忽遵循合理的安全程序而导致非加密、非红显的个人信息遭到未经授权的访问、外泄、盗窃或披露,加州居民可以对该企业提起民事诉讼。
消费者可寻求每起事件在100至750美元之间的损害赔偿或实际损害赔偿,以较高者为准。在发起诉讼之前,消费者必须在30天内以书面形式通知企业指明涉嫌违反的具体条款。
这一私人诉讼权为经历数据泄露的企业带来了重大的诉讼风险。公司比以往任何时候都更需要实施强有力的数据安全措施以保护个人信息。
CPRA的执法机制和惩罚措施为企业遵守法律提供了强烈的动机。通过设立专门的执法机构并增加可能的罚款,CPRA旨在让企业对保护消费者隐私权负起责任。
加州隐私权法案 (CPRA) 增强了加州居民对个人信息的控制,增加了补救机会和不共享选择权。它还设定了更严格的违规处罚,并创建了一个新的隐私机构以执行这些规则。房地产专业人士需要立即采取行动以确保合规。
实现CPRA合规的步骤
为了确保您的企业全面合规,您需要采取一些关键步骤。
但是别担心,我们会逐步引导您完成每一个步骤。
进行数据清单和映射
首先:您需要确切了解您正在收集、使用和共享的个人信息。这就是数据清单和映射的作用。
根据职场隐私报告,成功的合规取决于了解所收集的信息(包括敏感信息)、从谁处收集、如何收集、为何收集、所有使用目的、存储地点、保存多长时间,以及与哪些第三方共享了信息。
如果您已经为CCPA执行了此项工作,太好了。但是您可能需要更新您的映射以适应业务流程的变化。
更新隐私政策和通知
接下来:您的隐私政策和通知。根据CCPA,您有责任向消费者(包括员工和承包商)提供一份通知,披露您收集的个人信息类别及其用途。
但随着CPRA,您需要从2023年1月起在您的通知中新增一些披露内容。具体而言,您需要披露:
- 您收集的敏感个人信息类别
- 您计划保留每个类别的个人信息的时间长度
- 个人信息是否被出售或共享
请确保更新您的政策和通知,以反映这些变化,并向消费者提供明确的指导。
管理供应商关系
您是否与任何服务提供商或承包商共享个人信息?如果是这样,您需要确保这些关系符合CPRA。
这意味着达成禁止您的服务提供商出售或共享个人信息的合同,并且合同中明确规定的业务目的之外不得使用这些信息,或与其他来源的信息合并。
审核您的供应商合同并进行必要的更新以确保合规。
实施数据主体请求流程
根据CPRA,消费者拥有扩展的访问、删除和更正个人信息的权利,以及选择退出其信息出售或共享的权利。
为遵守规定,您需要实施处理这些请求的流程。这包括为消费者提供清晰的方法提交请求,对请求人的身份进行验证,并在规定的时间(通常为45天)内做出响应。
确保您的员工接受这些新程序的培训,并且您记录所有的消费者请求及您的响应。
CPRA对员工和B2B数据的影响
关于CPRA的一个主要问题是它对员工和企业对企业(B2B)数据的影响。让我们来分析一下。
员工数据隐私权
在CCPA下,员工数据有一些临时的豁免。但这些豁免于2023年1月1日CPRA生效时到期。
这意味着员工、申请人和承包商根据CPRA享有与消费者相同的权利。这包括知情权、删除权、选择退出权以及限制披露和更正个人信息的新权利。
根据职场隐私报告,雇主不得歧视或报复行使这些权利的加州员工。
所以如果您还没有准备好,开始准备扩展CPRA权利给您的员工,并相应地更新您的政策和程序。
B2B数据豁免和限制
B2B数据如何处理呢?CCPA对B2B数据的豁免也于2023年1月1日到期。
在那之后,CPRA将适用于在B2B交易背景下收集的个人信息,但有一些限制。例如,如果删除个人信息是完成交易或提供所需产品或服务所必需的,企业不需要履行删除请求。
然而,B2B合同当事人仍有权选择不出售或共享他们的个人信息。因此,请确保您的B2B数据实践符合CPRA要求。
关键要点?请立即开始审查您的员工和B2B数据实践以确保CPRA合规。经过充分的准备,您将能够保护加州所有消费者、员工和商业联系人的隐私权。
提前做好CPRA合规工作,列出您处理的个人信息,更新隐私通知,确保供应商合同紧固,建立处理消费者权利请求的流程,并为员工和B2B数据规则的变化做好准备。这将保持您的房地产业务运作正常。
结论
当然,加州隐私权法案听起来一开始有点严苛。然而,通过一些努力和积极的措施,您会发现自己的房地产投资符合所有合规标准,并赢得客户的信任。
记住,这一切都关乎透明、安全和尊重消费者隐私权。通过进行数据清单更新您的政策和实施强有力的安全措施,您将顺利地实现CPRA合规。
将变革视为加强业务运营并与客户建立更强关系的机会。房地产的未来是以隐私为中心的,通过正确的方法,您将准备好在这种新环境中取得成功。