作者: Michael Magotsch 合伙人
John Isaza 合伙人
在美国,并没有一部在所有州通行的通用数据保护法。加州在已有的《加州消费者隐私法》(CCPA)基础上,最近又通过了新的《加州隐私权利法》(CPRA),该法已经是美国最严格的法律。可以说,CPRA已经与以严格著称的欧盟《通用数据保护条例》(GDPR/DSGVO)标准接轨,加州的德国和欧盟公司是否无需做出调整、依然上演 "西线无战事 "?事实远非如此。德国公司如果符合一定标准,也可以归入CCPA和CPRA管辖的范围。公司也不一定要设在加州:CCPA也适用于域外、面向居住在加州的消费者的公司。加州隐私保护局(CPPA)的成立意味着加州现在拥有美国第一个州级数据保护机构。CPRA 的几大要点:
不得出售或分享个人信息
Do not Sell or Share my Personal Information
随着CPRA的出台,美国将引入类似GDPR/DSGVO的关于收集、处理和披露个人数据的数据主体权利。未来,加州的消费者将能够选择拒绝为跨语境、行为广告的目的进行任何数据共享。且在行使这些新的消费者保护权利时,不应遭到任何歧视和随之而来的不利因素,例如价格方面的不利因素。保护敏感个人信息
Protection to Sensitive Personal Data
CPRA还对敏感的个人数据提供了额外的保护,这包括性别、年龄、性取向、健康、种族和生物识别信息。诸如 "限制使用我的敏感个人信息 "的链接今后将在网站上更多地看到。即使与我们熟悉的GDPR/DSGVO要求有相似之处,但也有区别和特殊之处。生命科学和医疗卫生领域
Life Science and Healthcare Sector
在生命科学和医疗保健领域,尤其应该谨慎行事。在这个领域,其他的相关法律有严格的合规性要求,如美国健康保险可携性法案(HIPAA)关于网络和程序的安全措施,以及HIPAA隐私规则,该规则在实现健康信息流通的同时保护病人隐私。即使在HIPAA的适用范围之外,在存储健康数据时也有特殊的数据保护功能,特别是在能够存储敏感数据的医疗设备的生产领域。询问 以 下 七 个 问题
Seven Key Questions to Ask Clients
律所在为客户提供咨询时,应注意以下关键问题:
01
客户是否向消费者提供产品/服务?
Does the client offer products/services to consumers?
如果是,他们则会受到保护消费者的隐私法规的约束,这些法规包括美国的5个州(加利福尼亚州、科罗拉多州、犹他州、弗吉尼亚州和康涅狄格州)和联邦贸易委员会,以及欧盟的隐私法规,还有日本、中国、韩国、加拿大、印度、即使客户是一个企业对企业(B2B)的商业模式,但他们的产品最终被消费者使用,他们将受到一些不能转嫁给商业客户的要求约束。02
客户是否向大型企业出售解决方案?
Does the client sell their solutions to large businesses?
如果他们销售的解决方案收集任何个人信息,他们的大客户将已经受到所有隐私法规的约束,并将这些要求传递给你的客户。通常,大客户在全球范围内经营,因此,即使你的客户只在美国经营,他们仍然可能被要求满足他们的大客户在其中经营的一个或多个司法管辖区的要求。
03
客户是否属于高度管制行业,如金融、教育或医疗?
Is the client in a highly regulated industry ?
如果是,他们将需要考虑其行业特定的法规以及一般的隐私法规。这些法规经常以有趣的方式重叠和互动。此外,许多产品都有一些被高度监管的组成部分。例如,一家使用信用卡收钱的公司至少会有一些业务部分受到支付卡行业数据安全标准的约束。04
客户是否出售或分享任何个人信息?
Does the client sell or share any personal information?
有时作为其业务的一部分,客户有可能向其他公司出售或分享个人信息(即使没有报酬)。此情形下,客户将必须满足各州和联邦贸易委员会下的多种隐私保护要求。这些要求还会影响他们的网站,即使他们没有其他在线产品。05
客户是否收集敏感个人信息?
Is the client collecting sensitive personal information?
敏感的个人信息包括性别、年龄、性取向、健康、种族和生物识别信息。
客户需要关注如何获得同意以及如何存储和处理这些信息,从今年2023年1月起,这包括雇主从雇员那里收集的信息。几乎每一个客户都将属于这个类别。他们应该审查他们如何获得雇员的同意,以确保它满足2023年加州隐私法规的要求。
06
客户是否针对18岁以下的未成年人?
Does the client target children under 18 years of age?
07
客户是否在全球销售?
Does the client sell globally?
隐私规则因管辖区而异,几乎所有主要管辖区都有隐私法规。跨司法管辖区的数据移动是一个公司不能忽视的主要问题,从一个市场扩展到另一个市场时应该仔细研究当地法规,处理隐私的方式会有所变化。
有关法规需要进一步修订
Recommended Ongoing Review
需要修订的政策和程序清单很长:隐私政策、网站、同意书和通知书、数据存储和保留程序,以及数据泄露计划。公司不应低估所需的时间和所涉及的费用。措施从修订他们的政策开始,在许多情况下,要对他们的样本表格进行全面审查。
Michael Magotsch有超过30年的经验,为全球公司提供德国劳动和就业法各方面的咨询。他的工作重点是与国内和跨国重组、收购、裁员和外包措施有关的劳动和就业问题。Magotsch先生为转型或离职情况下的C级管理人员以及与C级管理人员发生敏感纠纷的监事会提供咨询。
Magotsch先生十多年来一直被《钱伯斯全球》、《法律500强》和《德国最佳律师》评为劳动与就业法方面的专家。在加入睿盟之前,Magotsch先生是Coudert Brothers的欧盟就业业务主管和国家管理合伙人。他创建了DLA Piper的法兰克福办事处,并担任办事处管理合伙人直至2009年。Magotsch先生目前在德国海德堡SRH大学讲授商业和社会法。
Michael
Magotsch
合伙人
劳动就业法
michael.magotsch@rimonlaw.com
OFFICE
Frankfurt
霍洛维茨女士是并购和私募股权律师
John Isaza 专注于数据隐私和网络安全方面的业务,是该领域中世界上最重要的专家之一。他已经为一些监管最严格的全球1000强企业制定了信息治理和记录保留计划。他是《ESI和其他文件合法保留的7个步骤》的合著者,是美国律师协会《商业律师的互联网法》第二版的撰稿人,也是《商业律师的全球社交媒体法手册》的主编和合著者。Isaza先生是美国律师协会社交媒体小组委员会的前任联合主席。
John
Isaza
合伙人
数据隐私 网络安全
john.isaza
@rimonlaw.com
OFFICE:
Boston
Miami
洛维茨女士是并购和私募股权律师
上期导读:睿盟精英团队助力SPAC交易(续)
关于睿盟
睿盟是一家发源于硅谷的国际律所,拥有一支精通中国事务的律师团队。二十多位资深合伙人专注于与中国相关的业务,包括公司法、国际商法、科技创新、商业地产、知识产权及维权、商业诉讼、白领犯罪辩护等领域。他们助力中国各种所有制的公司、中美跨境科创公司、美籍华人等在美国及全世界拓展业务。他们在美国法庭上代表中国公司与竞争对手对抗,指导他们应对美国日益复杂的监管环境。由于睿盟独特的商业模式,对于客户而言极具性价比。睿盟的情况请复制网址:
https://rimonlaw.com/about
这些律师中有一部分母语是中文,本科毕业于清华、中科大、复旦、北师大等985名校,并在哈佛、斯坦福、哥伦比亚、伯克利这样的美国名校取得法学博士学位,经历了美国传统一流国际大所的历练。了解这些资深律师的情况请复制网址:
https://rimonlaw.com/experience/china_zh