加州隐私法案趋严,针对遗传信息的隐私合规或将影响全美
9月8日,加利福尼亚州参议院以38票对0票一致通过了参议院第41号法案,即遗传信息隐私法案。10月5日,该法案得到了加利福尼亚州州长Gavin Newsom的签署批准。
该法案要求收集消费者个人信息的企业在收集时或收集前告知消费者即将收集的个人信息类别以及信息的用途,并授予消费者选择不向第三方出售个人信息的权利。还要求直接面向消费者的基因检测公司向消费者提供有关该公司收集、使用、维护和披露遗传数据的政策以及程序的特定信息,收集、使用或披露规定的消费者基因数据,应当获得消费者的明示同意。
同时,该法案要求直接面向消费者的基因检测公司按照特定程序履行消费者撤销同意的义务,并在撤销同意后30天内销毁消费者的生物样本。此外,进一步要求直接面向消费者的基因检测公司遵守所有适用法律,在未经消费者明示同意的情况下向执法部门披露基因数据,应实施合理的安全程序和做法,以保护消费者的基因数据不受未经授权的访问、破坏、使用、修改或披露,并制定程序和实践,使消费者能够访问其基因数据,同时可以按照规定删除其账户和基因数据。
第1款 立法机构发现并宣布以下所有情况:
(a) 直接面向消费者的基因检测服务基本上不受监管,可能会暴露个人和基因信息,并有可能造成意想不到的安全后果和风险增加。
(b) 科学界越来越担心外界正在利用基因数据来达到有问题的目的,包括大规模监视和未经授权跟踪个人的能力。
(c) 基因组数据具有高度的可区分性。同时也非常稳定。它在一个人的一生中几乎没有变化,因此具有长久的价值,而其他生物识别数据,如验血,则有有效期。
(d) 隐藏在基因组数据中的潜在信息引起了人们的极大关注。随着我们在基因组学方面的知识的发展,我们对基因组数据的敏感性的看法也会发生变化。
第2款 在《民法典》第1分部的2.6部分中增加了第2.6章(从第56.18节开始),内容如下:
第2.6章 基因隐私
56.18. (a) 本章应被称为并可被引用为《遗传信息隐私法》。
(b) 就本章而言,以下定义适用。
(1) “肯定的授权”是指表明消费者有意决定的行动。
(2) “生物样本”是指人类的任何物质部分、其排出物或其衍生物,如组织、血液、尿液或唾液,已知含有脱氧核糖核酸(DNA)。
(3) “消费者”是指具有加州居民身份的自然人。
(4) “黑暗模式”/“互联网陷阱”(Dark pattern)是指设计或操纵的用户界面,具有颠覆或损害用户自主权、决策权或选择权的实质性效果。
(5) “直接面向消费者的基因测试公司”是指从事以下任何一项的实体。
(A) 直接向消费者销售、推销、解释或以其他方式提供由消费者发起的基因检测产品或服务。
(B) 分析从消费者那里获得的基因数据,除非该分析是由获得医疗技术执照的人因诊断或治疗某种疾病而进行的。
(C) 收集、使用、维护或披露从直接面向消费者的基因测试产品或服务中收集或得出的基因数据,或由消费者直接提供。
(6) “明示同意”是指消费者对有关因特定目的收集、使用、维护或披露基因数据的明确、有意义和突出的通知作出肯定的授权许可。数据收集、使用、维护或披露的性质应以明确和突出的措辞传达,其方式应使普通消费者注意到并理解。不能从不作为中推断出明示同意。通过使用黑暗模式获得的同意并不构成同意。
(7) (A) “基因数据”是指通过分析消费者的生物样本,或通过能够获得同等信息的其他要素而产生的所有数据,无论其格式如何,只要涉及基因材料。遗传物质包括但不限于脱氧核糖核酸(DNA)、核糖核酸(RNA)、基因、染色体、等位基因、基因组、DNA或RNA的改变或修饰、单核苷酸多态性(SNP)、对生物样本分析产生的未解释的数据,以及由此推断、衍生或推论出的所有信息。
(B) “基因数据”不包括去识别的数据。就本项而言,“非识别数据”是指不能用于推断有关特定个人的信息或以其他方式与之相联系的数据,条件是拥有该信息的企业做了以下所有工作。
(i) 采取合理措施,确保该信息不能与消费者或家庭联系起来。
(ii) 公开承诺只维护和使用去识别的信息,不试图重新识别信息,但企业可以尝试重新识别信息,目的只是为了确定其去识别过程是否满足本项的要求,条件是企业不使用或披露在此过程中重新识别的任何信息,并在评估完成后销毁重新识别的信息。
(iii) 在合同中规定,信息的所有接收者都有义务采取合理措施,确保信息不能与消费者或家庭相关联,并承诺仅以取消识别的形式维护和使用该信息,不重新识别该信息。
(C) “基因数据”不包括数据或生物样本,只要数据或生物样本的收集、使用、维护和披露专门用于科学研究,该机构根据《联邦法规汇编》第45篇第46部分(从第46.101节开始)向美国卫生与公众服务部作出保证,遵守所有适用的联邦和州法律法规,保护研究中的人类对象,包括但不限于根据第46部分的共同规则(从第46. 101),美国食品和药物管理局根据《联邦法规》第21篇第50和56部分制定的法规,联邦《家庭教育权利和隐私法》(20 U.S.C. Sec. 1232g),以及《健康和安全法》第20分部第1.3章(从第24170节开始)的《医学实验中的人类对象保护法》。
(8) “基因测试”是指对消费者的生物样本进行的所有实验室测试,目的是确定有关生物样本中所包含的遗传物质的信息,或由此推断、衍生或推论的所有信息。
(9) “个人”是指个人、合伙企业、公司、协会、企业、商业信托、或组织的法定代表。
(10) “服务提供者”是指为其股东或其他所有者的利润或经济利益而组织或经营的独资企业、合伙企业、有限责任公司、公司、协会或其他法律实体,它代表直接面向消费者的基因检测公司参与收集、运输和分析消费者的生物样本或提取的基因材料。或代表任何其他收集、使用、维护或披露从直接面向消费者的基因检测产品或服务中收集或提取的基因数据的公司,或由消费者直接提供的公司,或交付生物样本或基因材料的分析结果。企业与服务提供者之间的合同应禁止服务提供者为执行合同规定的企业服务特定目的以外的,任何目的的保留、使用或披露生物样本、提取的遗传物质、遗传数据或有关消费者身份的任何信息,包括该消费者是否征求或接受遗传检测(如适用),包括以下两项。
(A) 禁止服务提供者因为与企业签订的合同规定服务以外的商业目的保留、使用或披露生物样本、提取的遗传物质、遗传数据或有关该消费者身份的所有信息,包括该消费者是否征求过或接受过遗传检测(如适用)的条款。
(B) 禁止服务提供者将生物样本、提取的遗传物质、遗传数据或有关消费者身份的任何信息(包括该消费者是否征求过或接受过遗传测试,如适用)与服务提供者从另一个人或代表另一个人收到的信息,或从其自身与消费者的互动中收集的信息,或根据法律要求收集的信息相联系或结合。
56.181. (a) 为保障消费者基因数据的隐私、保密性、安全性和完整性,直接面向消费者的基因测试公司应做到以下两点。
(1) 通过向消费者提供以下所有内容,提供有关该公司收集、使用、维护和披露(如适用)基因数据的政策和程序的清晰和完整的信息。
(A) 用通俗易懂的语言编写的隐私惯例摘要,其中包括该公司收集、使用、维护和披露(如适用)基因数据的信息。
(B) 一份醒目且易于获取的隐私通知,其中至少包括有关该公司的数据收集、同意、使用、访问、披露、维护、转让、安全以及保留和删除做法的完整信息,以及明确说明如何根据第56.182条(c)款投诉指控违反本章的信息。
(C) 根据《联邦法规》第45篇第46部分(从第46.101节开始),因为研究目的,可与第三方共享或向其披露消费者的非识别基因或表型信息的通知。
(2) 在收集、使用和披露消费者的基因数据时,应征得消费者的明示同意,至少包括对以下各项的单独和明示同意。
(A) 通过向消费者提供的基因检测产品或服务收集的基因数据的使用,包括谁可以接触到基因数据,以及如何分享基因数据,以及收集、使用和披露基因数据的具体目的。
(B) 在完成消费者要求的初步测试后,消费者生物样本的储存。
(C) 基因数据或生物样本每次使用都超出了基因测试或服务的主要目的和固有的背景用途。
(D) 每次向服务提供者以外的第三方转移或披露消费者的基因数据或生物样本,包括向其转移或披露消费者的基因数据或生物样本的第三方名称。
(E) (i) 根据消费者的基因数据向其推销或协助推销,或由第三方根据消费者订购、购买、接受或使用基因检测产品或服务而推销或协助推销。
(ii) 本项并不要求直接面向消费者的基因检测公司获得消费者的明示同意,在该公司自己的网站或移动应用程序上根据消费者已经订购、购买、接收或使用该公司的基因检测产品或服务而向消费者进行营销,如果广告内容不取决于该消费者的任何特定信息,除了该消费者订购、购买、接收或使用的产品或服务,而且广告的投放并不打算导致基于第51条规定的任何特征而对广告内容产生不同程度的接触。本项内容不改变、限制或否定任何其他反歧视法或定向广告法的要求。
(iii) 根据第(i)或(ii)款向消费者展示的任何第三方产品或服务的广告,应在显著位置标明广告内容,并附有所有有助于广告投放的第三方的名称。如果适用,该广告还应当清楚地表明,所宣传的产品或服务以及所有相关的主张,都没有经过直接面向消费者的基因检测公司的审查或认可。
(F) 就本款而言,“第三方”不包括公共或私营非营利高等教育机构。如第56.184节第(b)小节第(4)段所述,为了科学研究或教育活动的目的,消费者的基因数据或生物样本被披露给公立或私立非营利高等教育机构。
(b) 符合(a)小节(2)段所述要求的公司应提供有效的机制,在消费者同意后无需任何不必要的步骤即可撤销其同意,其中至少有一个机制利用了公司与消费者沟通的主要媒介。
(c) 如果消费者撤销了他们根据(a)项第(2)款提供的同意,公司应在实际可行的情况下,尽快但不迟于个人撤销同意后的30天,按照以下两项规定兑现消费者的同意撤销。
(1) 根据本节规定撤销同意应遵守《联邦法规》第45章第46部分。
(2) 公司应在收到撤销同意储存样本的30天内销毁消费者的生物样本。
(d) 直接面向消费者的基因检测公司应做到以下两点。
(1) 实施并保持合理的安全程序和做法,以保护消费者的基因数据不被未经授权的访问、破坏、使用、修改或披露。
(2) 制定程序和做法,使消费者能够方便地进行以下任何一项工作。
(A) 访问消费者的基因数据。
(B) 删除消费者的账户和基因数据,但公司为遵守适用的法律和监管要求而必须保留的基因数据除外。
(C) 将消费者的生物样本销毁。
(e) 个人或公共实体不得因消费者行使本章规定的任何权利而对其进行歧视,包括但不限于以下情况:
(1) 拒绝向顾客提供商品、服务或利益。
(2) 对商品或服务收取不同的价格或费率,包括通过使用折扣或其他奖励措施或施加惩罚。
(3) 向消费者提供不同水平或质量的商品、服务或利益。
(4) 暗示消费者将获得不同的商品、服务或利益的价格或费率,或不同水平或质量的商品、服务或利益。
(5) 将消费者行使本章规定的权利作为怀疑犯罪行为或非法行为的依据。
(f) (1) 尽管本节有其他规定,除第(2)款规定外,直接面向消费者的基因测试公司不得向任何负责管理健康保险、人寿保险、长期护理保险、残疾保险或就业的实体或向负责履行这些职能的实体提供建议的实体披露消费者的基因数据。
(2) 如果以下所有情况属实,直接面向消费者的基因检测公司可向第(1)款所述实体披露消费者的基因数据或生物样本。
(A) 该实体不是主要从事健康保险、人寿保险、长期护理保险、残疾保险或就业管理的。
(B) 消费者的基因数据或生物样本不是以该实体作为负责管理医疗保险、人寿保险、长期护理保险、残疾保险或就业的一方的身份向该实体披露的。
(C) 该实体的任何代理人或部门,如果参与管理健康保险、人寿保险、长期护理保险、残疾保险或就业的管理、咨询或决策,则禁止访问消费者的基因数据或生物样本。
56.182. (a) 任何因疏忽而违反本章规定的人,将被处以不超过一千美元的民事罚款,外加法庭费用,具体数额由法院决定。
(b) 任何故意违反本章的人,应被评估为不低于一千美元和不超过一万美元的民事罚款,外加法庭费用,由法院决定。
(c) 根据本章规定的救济诉讼应专门由总检察长或地区检察官在有管辖权的法院起诉,或由经与地区检察官协议授权的县律师在涉及违反县条例的诉讼中起诉,或由人口超过75万的城市律师起诉,或由市和县的城市律师起诉。经地方检察官同意,由市检察官以加利福尼亚州人民的名义,根据其本人的投诉或董事会、官员、个人、公司或协会的投诉,任命一名全职的市检察官,或因违反本章而遭受实际伤害并损失金钱或财产的人员提出申诉。
(d) 根据本节收回的法庭费用应支付给起诉违法行为的一方或多方。根据本节收回的罚金应支付给有争议的基因数据所涉及的个人。
(e) 消费者与受本章管辖的人之间的合同或协议中的所有条款,如果具有或将具有延迟或限制对违反本章的行为获得法律补救的效果,则不适用于根据本章行使权利或执行。
(f) 每一次违反本章的行为都是单独的、可起诉的违法行为。
56.184. (a) 本章的规定不应减少直接面向消费者的基因检测公司在任何适用的州和联邦法律下保护隐私和安全的责任、义务、要求或标准。
(b) 如果本章的规定与任何其他法律发生冲突,应以对消费者隐私权提供最大保护的法律规定为准。
(c) 本章不适用于以下任何一种情况。
(1) 受《医疗信息保密法》第2.6部分(从第56节开始)管辖的医疗信息,或受《隐私、安全和信息法》管辖的受保护实体或业务伙伴收集、维护、使用或披露的受保护健康信息,以及美国卫生和公共服务部发布的违反通知规则,根据1996年《联邦健康保险可携带性和责任法案》(公法104-191)制定的《联邦法规》第45编第160和164部分以及《联邦卫生信息技术促进经济和临床卫生法》(公法111-5)。
(2) 受《医疗信息保密法》(第2.6部分(从第56节开始))管辖的医疗保健提供者或受美国卫生和公共服务部颁布的《隐私、安全和违约通知规则》管辖的涵盖实体,以及《联邦法规》第45编第160和164部分,根据1996年《健康保险可携带性和责任法案》(公法104-191)和《联邦健康信息技术促进经济和临床健康法案》,2009年《联邦美国复苏和再投资法案》(公法111-5)第十三章,在提供商或受保实体维持的范围内,如第(1)款所述,以与医疗信息或受保护健康信息相同的方式使用和披露遗传信息。
(3) 受美国卫生与公众服务部颁布的隐私、安全和数据泄露通知规则管辖的承保实体的商业伙伴,该规则是根据1996年联邦《健康保险可携性和责任法》(公法104-191)和联邦《经济和临床健康信息技术法》制定的,编号为160和164部。2009 年联邦《美国复苏与再投资法》(公法 111-5)第十三章,在业务伙伴以与第(1)款所述医疗信息或受保护健康信息相同的方式维护、使用和披露遗传信息的情况下。
(4)根据《联邦法规》第45编第46部分的规定,由公共或私营非营利高等教育机构进行的科学研究或教育活动,该机构向美国卫生和公共服务部提供保证,前提是该机构进行的科学研究和教育活动必须遵守所有适用的联邦和州法律和法规,以保护研究中的人体受试者,包括但不限于第46部分规定的通用规则(从第46.101节开始)《联邦法规》第45篇、《联邦法规》第21篇第50和56部分规定的美国食品和药品管理局条例、《联邦家庭教育权利和隐私法》(20 U.S.C.第1232g节)和《医学实验中人体受试者保护法》第1.3章《健康与安全法典》第20章(从第24170节开始)。
(5) 《健康与安全法典》第106部分第5部分第1章(从第124975节开始)授权的加利福尼亚新生儿筛查计划。
(6) 如第(1)款所述,仅为诊断个人是否患有特定疾病而进行的测试,只要参与测试的所有人员以与医疗信息或受保护健康信息相同的方式维护、使用和披露遗传信息。
(7) 雇主使用或维护的遗传数据,或雇员向雇主披露的遗传数据,只要该数据的使用、维护或披露是遵守当地、州或联邦工作场所健康和安全条例、法律或法规所必需的。
(d) 本章中的任何内容均不得解释为影响消费者获取向公众提供的信息。
56.186.本章的规定是可分割的。如果本章的任何规定或其应用被认定为无效,则该无效不得影响在没有无效规定或应用的情况下可以生效的其他规定或应用。
第3节 如果州授权委员会确定本法案包含州授权的费用,则应根据《政府法典》第2编第4部分第7部分(从第17500节开始)向地方机构和学区报销这些费用。
*来源:加利福尼亚州州长办公室
「国内+国际」隐私保护人员权威认证培训
赛博研究院是国内个人信息保护专业人员权威认证品牌(CISP-PIP)的官方指定授权培训机构,BSI中国是国际隐私专业协会(IAPP)独家授权的中国区官方培训合作伙伴,双方就CISP-PIP与IAPP两大培训认证课程体系展开重磅合作,共同推进数据隐私专业人才培养,提升各类企业数据安全合规能力。
11月1日前报名,最高优惠6080元
点击图片查看详情
扫描下方二维码立即报名,关于CISP-PIP、IAPP认证培训更多信息,请联系专属顾问:
咨询电话:021-61432696
丁老师 15601773140
陈老师 17821177889