《加州隐私权法 (CPRA) 》全文中文翻译

编者序——作为CCPA2.0的CPRA

2020年11月3日，加州选民投票通过了第24号提案，也就是《2020年加州隐私权法》（CPRA），该提案修正并扩展了加州里程碑式的2018年加利福尼亚消费者隐私法》（CCPA）。特别是，CPRA为加州居民确立了新的数据隐私权，对企业和服务提供商施加了新的义务和责任，并将创建了一个独立的数据监管机构，授权其实施加州隐私法并起诉违规行为。CPRA将于2023年1月1日生效，除一些例外情况外，将适用于2022年1月1日之后由机构收集的加州居民个人信息。

进入CPRA（CCPA 2.0）时代

2018年，加州立法机构颁布了CCPA，该法案为加州的“消费者”（如企业的客户、客户和员工）创造了新的数据隐私权，并要求“企业”和“服务提供商”遵守其综合性隐私框架。然而，自CCPA颁布以来，它受到了几项法律修正案和加州总检察长创建的新监管框架的约束。根据CPRA的支持者所说，这大大削弱了CCPA的核心保障措施。通过批准CPRA，加州选民绕过加州立法机构，对CCPA进行了几项实质性修正，有效地阻止了加州政府通过未来立法破坏这些变化。与CCPA相比，以下是CPRA的一些关键变化：

范围的变化。CPRA通过了用于确定一个组织是否为企业的标准（例如，总收入、数据处理活动的范围），显著改变了受CCPA约束的“企业”类型。

监管机构。CPRA设立了一个新的监管机构，即加利福尼亚隐私保护局，该机构被赋予充分的行政权力、特权和管辖权来实施CPRA。该机构将调查并举行听证会，以确定企业、服务提供商或承包商是否符合CPRA的要求，对违规行为处以罚款，并承担相应的法律责任。

第三方合同。尽管CCPA没有强制要求企业与其第三方服务提供商签订数据保护合同，但它鼓励这种做法，向有此行为的实体提供某些好处。但CPRA强制规定，如果企业向第三方出售或与第三方共享个人信息，或仅仅出于商业目的向服务提供商或承包商披露此类信息，双方必须签订一份包含特定数据处理条款的协议（例如，限制使用条款，向下展开合规义务、违约通知和补救权利等）。

数据更正权。CPRA授权加州居民要求企业更正其保管和控制的任何“不准确”个人信息的权利。企业被要求向加州人提供这项权利的通知，并“尽商业上合理的努力”遵守数据更正请求。然而，有趣的是，企业只有在数据不准确的情况下才有义务进行更正。

个人信息共享。CPRA对企业如何“分享”个人信息进行了严格的限制，广义的定义是企业通过任何方式向第三方披露个人信息，进行“跨语境行为广告”，而不考虑双方是否交换了金钱或其他有价值的考虑。从事这些活动的企业可能会被要求在其网站上发布选择退出链接，以确保加州人有权从披露和广告过程中退出。

敏感的个人信息。CPRA规定，加州居民拥有要求企业将敏感个人信息（如社会保险号、地理位置数据、通信内容等）仅用于法律规定的特定目的的权利。企业也可以被要求在其网站上发布选择退出链接，以符合CPRA的要求。

奖励和财务激励计划。CPRA澄清，CCPA的非歧视条款禁止企业提供不同的价格或折扣来交换个人信息，但不会禁止企业提供忠诚、优质功能或折扣计划。然而，CPRA的新义务将使企业更难提供此类项目。例如，除了CCPA要求的这些奖励和忠诚计划的选择加入同意外，一旦消费者之前拒绝了，CPRA现在要求企业至少等待12个月，然后再要求消费者加入此类计划。

员工数据。根据CCPA，在2021年1月1日之前，与就业相关的个人数据不受某些合规要求的约束。CPRA将这一期限延长至2023年1月1日。CPRA没有修改CCPA的要求，即立即遵守收集点通知和HR数据的数据泄露权。此外，CPRA明确禁止企业因员工、求职者或独立承包商行使法律规定的权利而对其进行报复。

CPRA是在CCPA最新修正案公布征求意见后几周公布的。尽管企业可能会因为时间安排而感到沮丧，但他们应该做好充分的准备，利用现有的CCPA合规计划，以符合CPRA的新要求。

基于此，DataLaws成立本译组，专门对《加州隐私权法（CPRA）》进行全文翻译，期待为数据法实务界及理论界的各位同仁提供参考。

借此机会向所有译校者的无私奉献致敬，他们分别是：朱佳蔚（组长）、付荣华、李亚楠、魏冬冬、王欢、秋爽、朱霁康等数据法同仁。感谢他们对公益项目的无私奉献！

请注意：由于之前的成果遭遇大面积非法售卖，为了保护DataLaws公益翻译小组共同的著作权，数据法盟从即日起不再提供中译本的PDF文件，只向参与过公益翻译的同仁定向提供，感谢大家的理解和支持！

何渊，数据法盟主理人，上海交大数据法律研究中心执行主任

以下是《加州隐私权法（CPRA）》中译本全文：