2022年4月21日，《2018年加州消费者隐私法》（“CCPA”）下的规则制定权已正式移交给加州隐私保护局（“CPPA”）。此后不久，在2022年5月5日，现有CCPA最终法规被转移到《加利福尼亚州法规》第11篇第6部分，将其纳入《法规》的一部分，由CPPA管辖。最后，在2022年5月27日，CPPA宣布将于2022年6月8日召开董事会会议，除其他事项外，将讨论其在CCPA下的拟议条例草案（“CPPA拟议条例草案”），该草案与会议通知和议程一起发布。

在本文中，OneTrust数据指南概述了CPPA拟议条例草案、与原始CCPA最终条例相比的关键添加和删除，以及企业下一步可以预期的内容。

关键补充

新的CPPA拟议条例草案涉及多个关键领域，其中包括透明度和通知、消费者权利、服务提供商和第三方合同相关事宜，以及对财务激励等其他主题的澄清。然而，值得注意的是，这套CPPA拟议条例草案只是预期的一套条例中的一套。除其他一些主题外，预计还将对进一步的主题（如数据保护影响评估、自动处理和分析）制定更多法规。

透明度和对消费者的通知

CPPA拟议条例草案中的一项新增内容包括关于向消费者披露和沟通要求的规定。这要求向消费者披露的信息易于阅读和理解，使用简单、直接的语言，避免使用技术或法律术语。除此一般要求外，CPPA拟议条例草案还指出，披露还应：

• 使用使公开内容可读的格式，包括在较小的屏幕上（如果适用）；
• 以业务在正常过程中提供合同、免责声明、销售公告和其他信息的语言提供；和
• 为残疾消费者提供合理的便利。

此外，CPPA拟议条例草案包括对网站和移动应用程序的进一步澄清。关于前者，根据CCPA或CPPA拟议条例草案的要求，显眼的链接需要以与企业在其主页上使用的其他链接类似的方式出现。关于后者，需要在应用程序本身中访问一个明显的链接，并且必须包含在企业的隐私政策中，该隐私政策还必须通过移动应用程序的平台页面或下载页面进行访问。

除此之外，CPPA拟议条例草案还包括关于通知和披露的其他补充内容，以及需要在企业隐私政策中提供的大量信息。更具体地说，它要求隐私政策包括：

• 关于收集、使用、销售、共享和保留个人信息的在线和离线实践的全面描述，包括：
  • 识别在过去12个月内收集的个人信息的类别；
  • 识别收集个人信息的来源类别；
  • 以有意义的方式确定收集任何个人信息的特定商业或商业目的，以及出售或共享个人信息的目的；
  • 识别企业在过去12个月内向第三方出售或共享的个人信息的类别（如有），以及出售或共享该信息的第三方的类别，并披露是否未发生此类出售或共享；
  • 一份声明，说明企业是否实际知道其出售或分享16岁以下消费者的个人信息、涉及的个人信息类别以及信息披露给的第三方类别；和
  • 关于企业是否披露敏感个人信息、涉及的个人信息类别以及向其披露信息的第三方类别的声明；
• 《消费者保护法》下消费者权利的解释，包括：
  • 知情权；
  • 删除权；
  • 纠正权；
  • 选择不出售或共享个人信息的权利；
  • 限制使用或披露敏感个人信息的权利；和
  • 不受歧视待遇的权利；
  • 解释如何行使消费者权利以及预期的过程；
  • 隐私政策上次更新的日期；和
  • 如果符合CPPA拟议条例草案下的数据报告要求，则需要提供这方面的信息或所需信息的链接。

合同

关于合同，CPPA拟议条例草案将承包商和第三方以及服务提供商纳入要求，并详细说明了在提供服务过程中保留、使用或披露个人信息的某些禁止行为。

此外，CPPA条例草案详细规定了承包商和服务提供商的合同要求，指出此类合同必须包括：

• 禁止出售或分享从企业或代表企业收到的个人信息；
• 确定代表企业进行处理的特定业务目的和服务，并禁止为以下目的保留、使用或披露从企业或代表企业接收的个人信息：
  • 合同规定或CCPA和CPPA拟议条例草案允许的其他目的除外；
  • 商业目的；和
  • 直接业务关系以外的目的，除非明确允许；
• 规定企业仅为合同规定的有限和特定商业目的披露个人信息；
• 授予企业采取合理和适当步骤的权利，以确保以符合企业义务的方式使用个人信息；
• 在确定不再能够履行义务后，要求在五个工作日内通知企业；
• 在接到通知后，授予企业采取合理和适当措施阻止和纠正未经授权使用个人信息的权利；和
• 要求企业将其必须遵守的任何消费者要求告知服务提供商或承包商，并向服务提供商或供应商提供必要的信息，以确保其遵守要求。

关于第三方，CPPA拟议条例草案将适用于第三方和合同的规定与适用于服务提供商和承包商的规定分开。然而，适用于第三方的规定与适用于服务提供商和承包商的规定类似，尽管在某些情况下略有不同并受到限制。

消费者权利

《消费者保护法》拟议条例草案包含了关于遵守消费者权利要求的几项补充内容，如企业的直接义务和对流程的解释以及这些流程应该是什么样的。

例如，《消费者保护法》拟议条例草案概述了企业需要设计和实施提交消费者请求和获得消费者同意的方法，这些方法包含了某些原则。具体而言，它们必须易于理解，在选择中需要对称（这意味着消费者行使更多隐私保护选项的路径不应长于行使其他隐私保护较少选项的路径），它们必须避免混淆语言或交互元素以及操纵性语言或选择架构，并且必须易于执行。

此外，如上所述，隐私政策需要解释如何行使消费者权利以及预期的过程。这包括：

• 解释消费者可以行使其权利的方法；
• 提交请求的说明，包括在线请求表格或门户的链接；
• 企业用于验证消费者要求了解、删除和更正其个人信息的过程的一般描述，以及描述消费者将提供的信息；
• 解释如何为消费者处理选择退出偏好信号以及如何使用这种选择退出偏好信息；
• 解释授权代理如何代表消费者提出请求；和
• 消费者可以向其提交有关企业隐私政策和实践的问题或担忧的联系方式。

最后，《消费者保护法》拟议条例草案还包括对不同消费者权利的各种修正，如回复请求的时限，以及关于具体消费者权利的其他细节和澄清。

CCPA最终条例与CPPA拟议条例草案

因此，从上文中我们可以看出，与加利福尼亚州总检察长（“AG”）的原始CCPA最终条例相比，CPPA拟议条例草案对条款和措辞进行了一些修改、补充和重组。在这方面，Fox Rothschild LLP的GDPR合规和国际隐私合伙人兼主席奥迪亚·卡根（Odia Kagan）指出，与AG的CCPA最终条例的主要差异包括：

• “关于“相关和相称性”的富饶规定，即“数据最小化”，将在实践中发挥作用，这与消费者的合理期望密切相关，与GDPR非常相似。
• 有关各种所需通知及其工作方式的详细信息。很明显，托收通知将需要比迄今为止更详细的信息，并且可能涉及其他方（由于控制托收）。[变更还包括]关于退出（出售/分享）通知的额外细节，以及替代无摩擦方法。
• 在披露和消费者请求过程中，重点强调暗模式。这符合联邦贸易委员会在这一问题上的做法。
• 关于与服务提供商和第三方签订合同的附加条款。似乎没有合同可能会改变服务提供商的地位，或使第三方禁止处理。签订这些协议可能是服务提供商的一项独立义务。
• 非常需要澄清的是，经济激励是指激励真正是为了数据，而不仅仅是以某种方式涉及数据收集”。

结论

这第一套CPPA拟议条例草案已经得到了极大的期待，在关于进一步规则制定的会议上，CPPA进一步澄清了什么，尤其是预计在第一套草案中未涉及的其他主题上会有更多的条例，这仍有待观察。这给了企业很多考虑，卡根有效地指出，“[CPPA条例草案]清楚地表明，正如老话所说：'时间短，工作好。《2020年加州隐私权法案》有很多事情要做。有些我们知道，有些我们怀疑我们需要，但希望不是这样，还有一些是来自

CPPA拟定条例草案。现在是开始解决这一问题的时候了”。

本文：https://cioctocdo.com/california-cppa-draft-proposed-regulations-what-y…