加州消费者隐私法案/加州隐私权法案

第一章 总则

第1节 立法目的

本法案旨在保护加州消费者的隐私权，赋予消费者对其个人信息更大的控制权，并建立企业收集、使用和分享个人信息的透明度机制。

第2节 定义

在本法案中：
（一）"个人信息"是指识别、关联、描述、能够合理关联或链接特定消费者或家庭的信息；
（二）"消费者"是指加州居民的自然人；
（三）"企业"是指符合特定收入或数据量门槛的在加州运营的商业实体；
（四）"出售"是指为金钱或其他有价对价向另一企业出售、出租、发布、披露、提供访问权限、传播、提供交易等。

第二章 消费者权利

第3节 知情权

消费者有权了解企业收集的个人信息类别、收集来源、收集目的、出售或分享的个人信息类别等。

第4节 访问权

消费者有权请求企业披露其收集的个人信息，包括：
（一）收集的个人信息类别；
（二）具体个人信息内容；
（三）个人信息来源；
（四）收集和出售目的；
（五）共享信息的第三方类别。

第5节 删除权

消费者有权要求企业删除其个人信息，企业应在收到请求后四十五天内删除。企业在以下情况可拒绝删除请求：
（一）完成交易或履行合同所必需；
（二）检测安全事件或欺诈；
（三）调试或修复错误；
（四）行使言论自由权；
（五）遵守法律义务；
（六）用于科学研究；
（七）用于内部研究与统计；
（八）与消费者预期一致的其他合法用途。

第6节 选择退出权

消费者有权选择退出企业出售或分享其个人信息。企业应提供清晰、明显的"请勿出售或分享我的个人信息"链接。

第7节 更正权

消费者有权要求企业更正不准确的个人信息。

第8节 限制敏感个人信息使用权

消费者有权限制企业使用和披露敏感个人信息，包括：
（一）社会安全号码；
（二）驾驶执照或身份证号码；
（三）财务账户信息；
（四）精确地理位置；
（五）种族或民族；
（六）宗教信仰；
（七）工会会员身份；
（八）邮件、电子邮件、短信内容；
（九）基因信息；
（十）生物特征信息；
（十一）健康信息；
（十二）性取向信息。

第三章 企业义务

第9节 通知义务

企业应在其网站上提供隐私政策，清晰说明：
（一）收集的个人信息类别；
（二）收集目的；
（三）是否出售个人信息；
（四）消费者权利及行使方式；
（五）过去12个月的个人信息处理活动。

第10节 响应请求义务

企业应在收到消费者请求后四十五天内响应，必要时可延长至九十天。企业不得因消费者行使权利而歧视消费者。

第11节 验证身份义务

企业应建立合理的身份验证程序，确保请求来自消费者本人或授权代表。

第12节 服务提供商义务

企业应与服务提供商签订合同，要求服务提供商：
（一）仅按企业指示处理个人信息；
（二）保护个人信息安全；
（三）不得出售个人信息；
（四）允许企业审计其合规情况。

第四章 敏感个人信息

第13节 敏感个人信息的定义

敏感个人信息包括：
（一）政府标识符（如社会安全号码）；
（二）财务账户信息；
（三）精确地理位置（半径1850英尺内）；
（四）种族或民族；
（五）宗教或哲学信仰；
（六）工会会员身份；
（七）私人通信内容；
（八）遗传数据；
（九）生物特征信息；
（十）健康信息；
（十一）性取向或性别身份；
（十二）消费者账户登录凭证。

第14节 敏感个人信息的处理限制

企业应在使用敏感个人信息前获得消费者同意，并提供限制使用的选项。

第五章 执行与处罚

第15节 执行机构

加州隐私保护局负责执行本法案。总检察长办公室也有权执行本法案。

第16节 民事处罚

（一）违反本法案的企业，每次违规可处以最高2500美元罚款；
（二）故意违反的，每次可处以最高7500美元罚款。

第17节 私人诉权

消费者因企业未能维护合理安全措施导致个人信息泄露而遭受损害的，可提起民事诉讼，索赔金额为：
（一）每次事件100至750美元；
（二）实际损害赔偿；
（三）以较高者为准。

第六章 加州隐私保护局

第18节 机构设置

加州隐私保护局设于商业、消费者服务和住房局下，由五名成员组成的董事会领导。

第19节 职责

隐私保护局应：
（一）执行本法案；
（二）制定实施细则；
（三）开展消费者教育；
（四）接收和处理投诉；
（五）进行调查和审计。

第七章 生效与适用

第20节 生效日期

本法案自2023年1月1日起生效。消费者应自该日起享有本法案规定的权利。