企业出海数据合规：CCPA与CPRA的关系

2018年的《加州消费者隐私法》（CCPA）授予了消费者一系列关于企业如何收集他们个人信息的权利，并要求企业必须告知消费者有关信息的收集、使用和保留方式与期限等有关内容。

2020年，加利福尼亚选民批准了第24号提案，即《加利福尼亚隐私权法案》（CPRA）。CPRA为企业增加了额外的消费者隐私权利和义务来填补了CCPA的管辖漏洞。CPRA修正了CCPA，而不是创立一个独立的新法律。因此，通常将该法律称为“CCPA 2.0”或“经修订的CCPA”。CPRA对CCPA的修正于2023年1月1日生效。

虽然CPRA修改了CCPA，但它不会完全替代CCPA。CCPA仍然保留一些规定和要求，而CPRA添加了新的规定。因此，CPRA与CCPA之间存在一种补充关系，两者共同构成了加利福尼亚州的隐私法律框架。

CPRA与CCPA最明显的区别在于以下几点：

适用范围——CCPA和CPRA的区别在于，一方面CCPA适用于收集50,000名以上消费者个人信息的组织，而CPRA适用于收集100,000名以上消费者数据的组织。另一个方面，CCPA适用于年收入达到50%或以上的组织，而CPRA则还包含了共享个人信息，共享个人信息是指企业通过口头、书面或通过电子或其他方式向第三方披露个人信息，进行“跨语境行为广告”。

敏感个人信息——CPRA新增敏感个人信息，与《通用数据保护条例》(GDPR)涵盖的“特殊类别个人数据的处理”类似。GDPR的特殊类别数据（根据GDPR第9条）包括揭示一个人种族或民族起源、政治观点、宗教或哲学信仰、工会成员资格的信息；或有关个人健康、性生活或性取向的信息，以及出于身份识别目的而处理的遗传或生物特征数据。CPRA在其敏感个人信息规定中没有包括工会成员资格，但它包括了GDPR涵盖的所有其他类别，以及额外的类别，如政府颁发的标识符、财务账户信息、消费者通信和精确地理位置信息。

敏感个人信息包括消费者的社会保障、驾照、身份证、护照号码、登录账户、财务账户和凭证、精确地理位置、与出身和信仰相关的数据等。而在CCPA中，这些数据被归类为个人信息。

处罚——CPRA与CCPA的处罚标准是相同的，如果企业故意违规将罚款7500美元，非故意违规只处罚2500美元。不同之处在于，CPRA增加了对于未成年人（16 岁以下）个人信息的违规行为，处罚将增加三倍。

消费者请求——CPRA扩大了消费者可以向企业请求的信息范围，其中包括个人信息类别、收集来源类别、收集目的、第三方访问以及收集的具体信息。

消费者权利——CPRA增加了四项新的消费者权利，例如更正权、限制敏感个人信息的权利、访问和选择退出的权利以及数据可移植的权利。

删除权——第1798.105条包含删除权的关键条款，在保留CCPA建立的基本框架不变的情况下，CPRA为消费者提供了要求企业“删除企业从消费者那里收集的有关消费者的任何个人信息”的权利。另外收到消费者删除请求的企业必须通知并指示已购买或收到消费者个人信息的第三方删除该信息，而某些服务提供商和承包商也必须将删除请求传达给下游部门。