2024年3月25日 由 Michael Evans
對於房地產從業者來說,注意了——CPRA來了,這正在大大改變我們的運作方式。這部新法律比CCPA更進一步,讓您對個人資料的控制空前提升。
那麼,這究竟如何影響成功運營房地產業務呢?您是否想過如何在避免處罰的同時,正確掌握一切?
別擔心,我會為您分解要點,並向您展示如何讓您的業務符合CPRA。讓我們開始吧!
目錄:
什麼是加州隱私權法案(CPRA)?
加州隱私權法案(CPRA)在保護您的個人信息方面是個重大的改變者。
這部新的隱私法讓加州居民對企業如何收集、使用和分享他們的數據有更多的控制權。
但重點是:
CPRA不只是加州消費者隱私法案(CCPA)的翻版。
它將消費者隱私提高到一個新的水平。
CCPA與CPRA的主要區別
那麼,CPRA與其前身有什麼不同之處?
首先,CPRA引入了新的權利,如更正不准确信息和限制敏感數據使用的權利。
還將員工和B2B數據的豁免期限延長至2023年1月1日。
此外,CPRA建立了加州隱私保護機構來執行法律,並對不遵守的企業處以罰款。
CPRA何時生效?
把日曆標記下來,各位。
CPRA於2020年11月3日獲得加州選民的批准,但其中大部分條款於2023年1月1日才生效。
還有一個從2022年1月1日開始的12個月回溯期。
誰需要遵循CPRA?
不是每個企業都需要擔心CPRA。
它適用於在加州做生意並符合以下任何一個標準的盈利實體:
- 年收入超過2500萬美元
- 購買、出售或分享10萬或以上加州居民或家庭的個人信息
- 50%或以上的年度收入來自於出售或共享加州居民的個人信息
如果您的企業屬於這些類別之一,是時候認真對待CPRA合規。
企業的CPRA合規要求
好吧,讓我們來談談企業需要做什麼才能在CPRA的規定下運營順利。
這不僅僅是為您的網站添加一個通用的隱私政策然後就算完事了。
CPRA在處理個人信息方面有些相當具體的要求。
CPRA下的個人信息定義
首先:根據CPRA,什麼確實算作個人信息?
法律網羅甚廣,涵蓋任何能夠直接或合理關聯到某一消費者或家庭的數據。
這包括明顯的信息如姓名和電子郵件地址,還包括如IP地址、生物識別數據,甚至從其他個人信息得出的推斷。
敏感個人信息類別
CPRA更進一步,引入了一個新的 "敏感個人信息" 類別。
這包括:
- 社會安全號碼
- 駕照號碼
- 護照號碼
- 金融賬戶信息
- 精確地理位置資料
- 種族或民族來源
- 宗教或哲學信仰
- 工會會員
- 郵件、電子郵件和短信內容
- 遺傳數據
企業必須在收集和使用此類信息時格外小心。
數據收集和使用限制
根據CPRA,企業不能隨意收集個人信息。
他們必須通知消費者正在收集哪些類別的個人信息以及它將被用於什麼目的。
如果企業想要收集其他類別的個人信息或者將其用於新的目的,必須更新隱私通知。
CPRA還要求企業將他們的收集、使用、保留和分享個人信息的活動限制在合理必要和比例適當的範圍內,以實現收集目的。
實施合理的安全措施
收集個人信息是一項重大責任,而CPRA期望企業將其視作嚴肅問題。
這意味著要實施合理的安全措施,以防止未經授權的訪問、破壞、使用、修改或披露個人信息。
何為“合理”將取決於企業的性質和所涉及信息的敏感性。
但至少,企業應加密個人信息,限制僅需用人員的訪問權限,並定期監控安全事件。
加州隱私權法案(CPRA)加強了隱私規則,賦予加州人更多的數據控制權。它引入了新的權利和一個專門的機構來執行這些權利。從2023年1月1日起,如果您的企業規模較大或大量處理個人信息,就需要提升您的隱私規則。
CPRA下擴展的消費者權利
CPRA擴展了CCPA已經賦予消費者的權利。這意味著加州居民現在對自己的個人信息有更多的控制。
讓我們仔細看看一些擴展或新增的關鍵權利:
刪除個人信息的權利
根據CPRA,消費者可以要求企業刪除其個人信息。這一權利在CCPA中已經存在,但CPRA更進一步。
現在,企業必須通知其服務供應商和承包商刪除其記錄中的消費者個人信息。這確保數據從所有來源中移除,而不僅僅是收集它的業務。
更正不准确信息的權利
CPRA引入了一項新權利:消費者可以要求企業更正關於其的不准确信息。這是一個顯著的增強,因為它允許個人確保用來做出決策的數據是准確的。
當消費者提出一個可驗證的更正請求後,企業必須使用商業上合理的努力來更正不准确信息。還必須指示其服務供應商和承包商進行必要的更正。
瞭解數據收集和共享的權利
消費者有權要求企業披露收集到的哪些個人信息,也可以要求披露信息的來源類別。除此之外,消費者還可以要求了解其數據如何被共享,包括與哪些第三方共享以及共享的個人信息類別。
選擇退出數據共享的權利
CPRA擴展了CCPA下退出銷售個人信息的權利,現在包括退出數據共享的選擇。這意味著消費者可以指導企業不將其數據與第三方分享以進行行為廣告。
企業必須在其網站上提供標題為"不出售或分享我的個人信息"的清晰可見的鏈接,以便消費者行使此權利。還必須尊重表示消費者選擇退出的全球隱私控制信號。
這些擴展的權利使加州人對其個人信息有前所未有的控制。通過行使這些權利,個人可以限制其數據收集和共享,並確保所使用的信息准確無誤。
CPRA的執法和不合規的處罰
CPRA不僅擴大了消費者權利,還建立了一個新的執法機構,並增加了對不遵守法律的企業的處罰。
以下是關於CPRA執法和處罰您需要知道的事項:
加州隱私保護機構的角色
CPRA創建了一個新的州級機構:加州隱私保護機構(CPPA),負責執行法律。這將執法權從加州總檢察長辦公室轉移開來。
CPPA具有調查潛在違規行為的權力,能夠提起行政執法行動和處以罰款。它還負責為企業和消費者提供有關其在CPRA下的權利和義務的指導。
CPRA違規的處罰
CPRA顯著增加了對違反法律的企業的處罰。對於每次違規行為,企業可能面臨最高2500美元的罰款,或對於故意違規行為或涉及未成年人個人信息的違規行為,最高7500美元的處罰。
這些處罰可能會迅速累積,特別是對於擁有大量加州客戶的企業。此外,企業還可能因此受到禁令和其他法院命令,以強制遵守法律。
數據泄露的私人訴訟權
CPRA擴大了在CCPA下建立的私人訴訟權。如果企業未能實施和維護合理的安全程序,導致其未加密和未刪除的個人信息被未經授權訪問、盜竊或洩露,加州消費者可以對其提起民事訴訟。
消費者可以尋求每次事件100到750美元不等的賠償,或實際損失(以較大者為主)。在提出訴訟前,消費者必須提供給企業30天書面通知,標明所聲明的具體違反條款。
這一私有訴訟權為經驗數據洩露的企業帶來了顯著的訴訟風險。公司必需採取強健的數據安全措施以保護個人信息。
CPRA的執法機制和處罰措施為企業創造了強烈的合規動機。通過建立一個專門的執法機構並增加潛在罰款,CPRA旨在讓企業承擔保護消費者隱私權的責任。
加州隱私權法案(CPRA)增強了加州人對個人信息的控制,新增了更正數據和退出共享的權利。它還設立了更嚴厲的非合規處罰並創建了一個新的隱私機構來執行這些規則。房地產從業者現在需要立即行動以保持合乎規範。
實現CPRA合規的步驟
為確保您的業務完全合規,有幾個重要步驟您需要採取。
但是不要擔心,我們會逐步指導您。
進行數據盤點和映射
首先,您需要確切知道你正在收集、使用和分享什麼個人信息。這就是數據盤點和映射的用途。
根據《工作場所隱私報告》,成功的合規取決於了解收集了哪些信息(包括敏感信息)、從誰收集、如何收集、為什麼收集、所有使用的目的、存儲在哪裡、保留多久以及與哪些第三方共享。
如果您之前已經為CCPA做過這一工作,那很好。但可能需要為任何業務流程的變更更新您的映射。
更新隱私政策和通知
接下來是您的隱私政策和通知。在CCPA下,您需要向消費者(包括員工和承包商)提供一個通知,其中揭示您收集的個人信息類別及其用途。
但是隨著CPRA的實施,您需要在2023年1月起為您的通知添加更多披露。具體來說,您需要披露:
- 您收集的敏感個人信息類別
- 您打算保留每個個人信息類別的時長
- 個人信息是否被出售或共享
請確保更新您的政策和通知以反映這些變化,並為消費者提供清晰的指導。
管理供應商關係
您是否與服務供應商或承包商分享個人信息?如果是,您需要確保這些關係符合CPRA的規定。
這意味著要簽訂合同,禁止您的服務供應商出售或共享個人信息,以及禁止將其用於合約規定的商業目的以外的任何目的,或將其與其他來源的信息結合。
檢查您的供應商合同,並進行任何必要的更新以確保合規。
實施數據主體請求程序
在CPRA下,消費者有擴展的權利來訪問、刪除和更正其個人信息,並有權退出銷售或共享其信息。
為了合規,您需要實施處理這些請求的程序。這包括提供消費者提交請求的清晰方法,核實請求者的身份,並在規定時間內(通常為45天)做出回應。
確保您的員工接受了這些新程序的培訓,並且將所有消費者請求及您的回應進行文檔記錄。
CPRA對員工和B2B數據的影響
圍繞CPRA的一個大問題是它將如何影響員工和企業對企業(B2B)的數據。我們來分解一下。
員工數據隱私權
在CCPA下,對於員工數據有一些臨時豁免。但這些豁免在2023年1月1日CPRA生效時終止。
這意味著,員工、申請人和承包商在CPRA下擁有和消費者同樣的權利。這包括知情權、刪除權、退出權及限制披露和更正個人信息的新權利。
根據《工作場所隱私報告》,雇主不得歧視或報復行使這些權利的加州員工。
所以如果您還沒有這樣做,請開始準備將CPRA權利擴展至您的員工,並相應地更新您的政策和程序。
B2B數據的豁免和限制
那麼B2B數據呢?CCPA的B2B數據豁免也於2023年1月1日到期。
在該日期之後,CPRA將適用於在B2B交易背景下收集的個人信息,但有一些限制。例如,企業不需要遵照刪除個人信息的請求,若刪除該信息可能妨礙完成交易或提供所要求的產品或服務。
然而,B2B聯繫人仍有權退出其個人信息的銷售或共享。確保您的B2B數據實踐符合CPRA要求。
關鍵要點?立即開始審查您的員工和B2B數據實踐以確保CPRA合規。通過正確的準備,您將保護所有加州消費者、員工和商業聯繫人的隱私權。
通過規劃您處理的個人信息、更新隱私通知、確保供應商合同嚴格、設置消費者權利的請求流程,以及為員工和B2B數據規則的變化做好準備,提前做好CPRA合規準備。這將保持您的房地產業務在正軌上。
結論
當然,加州隱私權法案看起來似乎很困難。但只需一些努力和積極的措施,您就會發現您的房地產業務不但通過合規檢查,還贏得了客戶的信任。
記住,這一切都是關於透明度、安全性以及尊重消費者隱私權。通過進行數據盤點、更新您的政策和實施強健的安全措施,您將朝著遵循CPRA的方向邁進。
抓住變革的機會,以改善您的業務運作並加強客戶關係。房地產的未來是以隱私為中心的,通過正確的方法,您將準備好在這個新的環境中大放異彩。