前言：选民批准了《加利福尼亚隐私权和执法法案》（ California Privacy Rights and Enforcement Act，CPRA），该法在一定程度上限制了组织使用个人数据的方式。法律专家预计其他州也会效仿。

2020年11月3日，加州公民通过了《加州隐私权与执法法案》(CPRA)，这是一部综合性的隐私法，对另一部于2020年1月1日在该州生效的隐私法——《加州消费者隐私法案》(CCPA)进行了修正。CPRA旨在通过对收集和共享敏感个人信息的公司制定新要求来加强加利福尼亚州的隐私法规。它还成立了一个新的机构——加州隐私保护机构(California Privacy Protection agency)，该机构将负责执行违反CPRA的行为。

大多数隐私律师认为，CPRA是根据欧盟《通用数据保护条例》(GDPR)制定的，是对CCPA现有规定的有力补充。消费者将能够纠正企业持有的不准确的个人信息，并且，如果企业违反了CPRA对儿童数据保护的要求，将受到高额罚款。该法的大部分条款将于2023年1月1日生效，其中一些条款需要追溯到2022年。

CPRA定义“敏感个人信息”以包括广泛的数据元素，包括政府签发的标识符，例如驾驶执照、护照和社会安全号码、金融帐户信息、地理位置、种族、民族、宗教信仰、工会会员身份、个人通讯、遗传和生物识别数据、健康信息以及有关性生活或性取向的信息。

CPRA要求的一个关键变化是延长了企业雇员数据豁免的范围。在2023年1月1日前，《消费者隐私保护条例》(CPRA)允许企业不必满足《消费者隐私保护要求》(consumer privacy requirements)对其雇员的严格标准。但是，从现在开始，企业必须遵守雇员隐私保护的某些方面。

CPRA还有其他一些宽泛的条款，这些条款将赋予消费者实质性的隐私权，包括将数据的商业使用限制在获取数据的特定目的，增加违约责任，存储限制和数据最小化。

其他州有望颁布类似CPRA的法律

全球COVID大流行之前，根据全球律师事务所Dentons的数据，隐私和网络安全业务合伙人彼得·斯托克伯格（Peter Stockburger）表示：“在COVID大流行之前，其他大约八个州正在使用CCPA的模仿版本（制定法律）。” 这些州包括弗吉尼亚州、佛罗里达州、新罕布什尔州、华盛顿州、内布拉斯加州、纽约州、马里兰州和北达科他州。

华盛顿似乎是走得最远的，正在推动2021年的立法。显而易见的是，CCPA更加严厉的隐私开拓活动刺激了华盛顿州和其他州的隐私保护行动。

然而，CPRA是“第一个要求你对数据的处理有合法的商业目的的机构”。这种处理限制与欧洲GDPR所要求的相对应。”Stockburger说。"如果这成为美国的趋势，那将从根本上改变人们处理数据的方式以及影响。

与CCPA不同的是，这一要求可能使CPRA成为一项更难在其他州复制的立法。“现在，当你获得数据时，这是一种免费的，只要你告诉人们你在做什么，只要你没有做任何非法的事情和你应该得到同意的事情，你可以任意行事。这是一个巨大的变化。我不知道其他州是否会效仿，遵循这个原则，”Stockburger说。

并非所有专家都认为，CPRA的更严格规定在其他州会更难推行。“我希望我们能看到其他几个州在2021年提出与CPRA类似的法案，就像许多州在2019年和2020年提出CCPA模仿法案一样，”麦克德莫特（McDermott）隐私与网络安全业务全球负责人劳拉·杰尔（Laura Jehl）说。

“ CPRA旨在加强，精简和改进CCPA，并在某些方面更好地使法律与欧盟GDPR保持一致，因此我希望有兴趣通过全面数据隐私法的州将CPRA用作基础。同时，我也预计他们不会复制CPRA的所有方面，并且它们将包含CPRA中没有的某些组件，这意味着美国的隐私合规性将变得更加复杂。”

COVID-19降低了隐私法的优先级

COVID-19危机已经使全国许多立法活动脱轨，使人们很难对隐私倡议的走向有一个确切的认识。“你将发现的挑战是，大流行后大多数州的立法机构说，任何与COVID无关的事情都不会被考虑，”Stockburger说。在大流行从其紧急优先地位消退后，许多州可以启动新的立法努力。

联邦隐私立法会优先于州法律吗？

另一个仍然存在的问题是，联邦政府是否会介入，创建一个更加一致的隐私法律框架。过去，硅谷的巨头们坚决反对CCPA的严格规定，并寻求制定一项国家隐私法，以抢占并降低CCPA的要求。然而，他们的抵抗在过去几年中减弱了。

“在联邦一级，推动任何类型的综合立法的努力都是一个真正的挑战，”Stockburger说。“这可能从2016年民主党在中期选举中惨败后就一直是个挑战，从那时起，国会就分裂了。”

Stockburger预测道：“奇怪的是，公众缺乏推动隐私保护的意愿，这加剧了党派僵局。我认为没有太多的公共压力。任何联邦数据隐私法都必须以基本原则为基础，并且每个人都有知情权，但是它受州法规或类似规定的约束。（本文出自SCA安全通信联盟，转载请注明出处。）