第24号提案将改变加州人在消费者数据保护方面的权利和企业的责任。

在2020年11月的投票中，加州人支持了第24号提案的通过，该提案有效地扩大了该州的数据隐私立法，制定了一套新的规则。从广义上讲，《加州隐私权法》(CPRA)将于2023年1月1日取代《加州消费者隐私保护法》(CCPA)。

许多组织可能刚刚适应了《一般数据保护条例》(GDPR)或《加州消费者隐私保护法》（CCPA）的遵从性。现在，很多人想知道CPRA需要遵循什么？这些变化意味着什么？

在接下来的几个月里，加州立法机构将敲定CPRA的细节。然而，CCPA和CPRA之间的主要变化已经显现出来。虽然这份清单并不详尽，但以下是条例中一些最大的变化。

成立新的执法机构

该法案引入了一个新的执法机构，加州隐私保护机构(CPPA)。这个机构类似于其他国家存在的数据保护监管机构。该机构将由一个五人委员会组成，其中两人必须由加州州长任命。剩下的成员将由加州议会、参议院和司法部长任命。CCPA的任务是调查违反CPRA的行为，举行听证会并在必要时发布制裁。该机构还将为CPRA的实施提供指导。

关于敏感个人信息的要求

CPRA引入了“敏感个人信息”的概念。根据新法律，敏感的个人信息包括身份证号码，例如社会安全号码、驾照号码、身份证或护照号码、帐户凭证、信用卡详细信息、地理位置信息、电子邮件和短信中的通讯内容（如果是企业不是通讯的接收方），以及与欧洲GDPR保持一致的数据元素。这些要素包括宗教或哲学信仰、工会会员、健康、遗传和生物统计数据以及与个人的性生活或性取向有关的信息。

关于数据的消费者权益

CPRA现在赋予消费者关于公司使用的数据的多项权利。CCPA已经包括了删除权，消费者可以要求企业删除其存档中的个人信息。CPRA将扩大这一权利，以确保企业配合删除请求，并允许企业保留删除请求的机密记录，以供将来参考。CPRA还将引入更正权，使消费者能够要求企业更正不准确的个人信息。根据CCPA，消费者可以要求查看企业在提出请求前的12个月内收集的关于他们的数据。根据CPRA，消费者可以要求查看企业在提出请求前12个月收集的数据，如果企业拥有这些信息。

消费者将对为广告收集的数据有更多的发言权

许多公司都使用跨上下文行为广告，这种做法利用个人消费者资料进行广告宣传。根据CPRA，消费者可以选择退出这些数据收集。这种变化还将影响公司提出选择退出的方式。例如，企业将无法向查看其网站的消费者显示色彩鲜艳的大型“接受全部”偏好按钮。 

CPRA扩大了数据泄露要求

当未加密或未编辑的信息或登录凭证和密码组合被授予未经授权访问时，CCPA将认为这是数据泄露。《消费者权利保护法》（CPRA）授权消费者请求赔偿或者法院认为必要的其他赔偿请求。如果法院发现数据泄露是由于数据安全性不足造成的，它也可以寻求对该组织的行政强制执行。

公司现在应该做什么？

CPRA将于2023年1月1日生效，除一些例外情况外，将适用于2022年1月1日之后由机构收集的加州居民个人信息。虽然企业现在不需要专门针对CPRA，但合规组织应该开始准备，注意主要的变化，并考虑他们现有的隐私程序是否能够从容应对扩展后的新法规。在2023年1月1日之前，企业就应该去遵守CPRA引入的这些变化。（本文出自SCA安全通信联盟，转载请注明出处。）