CPRA 定义了一种新的“敏感个人信息”类别,其中包括政府标识符驶执照号码)、精确地理位置、种族和族裔信息以及基因数据等,类似于 GDPR 对收集和处理施加更严格限制的“特殊类别”个人数据。CPRA 允许消费者将敏感个人信息的使用和披露限制在提供消费者要求的商品或服务以及其他兼容目的所必需的范围内。企业必须在其网站上清晰醒目地显示“限制使用我的敏感信息”链接,除非企业允许消费者通过偏好信号(例如从浏览器)行使此选项。
《消费者隐私法》(CPRA)扩展了CCPA的知情权义务,涵盖受保企业对个人信息的“共享”和披露,并将销售选择退出机制扩展至共享。“共享”的定义是为“跨情境”行为广告(即基于消费者在不同企业或互联网平台上的活动 股东数据库 而投放的定向行为广告)而传输信息,无论该传输是否以有价对价为交换。企业必须在其网站上清晰醒目地显示“请勿出售或共享我的个人信息”链接,除非其允许消费者通过偏好信号(例如通过浏览器)选择退出。
CPRA 将消费者的知情权延长至 CCPA 目前规定的十二个月回顾期之外。
《CPRA》将故意违法行为或涉及违法者个人信息的违法行为的行政罚款提高至最高 7,500 美元,而违法者的实际年龄为违法者未满 16 岁。
CPRA 将 CCPA 的私人诉讼权利扩展到因公司未能采取合理安全措施而导致的数据泄露,涵盖其他类型的个人信息,特别是电子邮件地址以及允许访问帐户的密码或安全问题和答案
与GDPR一样,CPRA对数据保留提出了新的要求,它要求企业在其隐私声明中披露“企业计划保留每类个人信息(包括敏感个人信息)的时间长度,如果无法做到这一点,则披露用于确定该期限的标准……”。但是,企业不得将消费者的个人信息或敏感个人信息用于信息收集的披露目的,“保留时间超过该披露目的合理必要的时间”。因此,公司需要在收集信息时或之前,使其保留协议与向消费者披露的收集目的(例如,在隐私政策中)保持一致,并更新其隐私政策,以纳入CPRA要求的具体保留披露。对于许多公司来说,这将是一个巨大的合规障碍。