吳沈括

（北京師范大學刑科院暨法學院副教授、中國互聯(lián)網協(xié)會研究中心秘書長）

2018年6月28日,美國加利福尼亞州州長簽署公布一項數據隱私法案——《加利福尼亞州消費者隱私保護法案》，其將于2020年1月1日起正式施行。該法案旨在改變企業(yè)在這個人口眾多的州進行數據處理的方式, 法案一經生效, 包括谷歌 和 Facebook在內的科技公司將面臨非常嚴格的隱私保護要求, 包括披露其收集的關于消費者的個人信息的類別和具體要素、收集信息的來源、收集或出售信息的業(yè)務目的以及與之共享信息的第三方的類別等。

正如電子隱私信息中心執(zhí)行主任Marc Rotenberg先生指出,該法案的公布是美國隱私法律的一個里程碑時刻, 它表明人們關注隱私,立法者也將采取行動保護隱私的立場。代表包括Facebook、谷歌、優(yōu)步、亞馬遜和微軟等科技公司的游說團體互聯(lián)網協(xié)會在一份聲明中表示該法案尚未進行充分的公開辯論。

法案的主要內容涉及四項要素:法案出臺的背景、消費者的權利、企業(yè)的義務以及法案中一些用語的詳細解釋。

關于法案出臺的時代背景,法案表明隱私權是加州憲法中規(guī)定的一項不可剝奪的權利, 隨著消費者與企業(yè)共享的個人數據數量的激增,消費者數據泄露將會為個人帶來諸如財務欺詐、身份盜竊、聲譽損害等破壞性影響, 因此為了防止企業(yè)濫用個人信息,保護個人對于隱私信息的控制權,特制定該法案。

對于消費者的權利內容, 該法案規(guī)定了消費者對于個人數據信息所擁有的一系列權利, 這些權利包括: ①要求收集消費者個人信息的企業(yè)向消費者披露企業(yè)收集的個人信息的類別和具體要素的權利;②要求商家刪除其所收集的有關消費者的個人信息的權利;③要求企業(yè)向消費者披露收集個人信息的目的以及與之共享信息的第三方的權利;④選擇不出售個人數據信息的權利等等。

有關企業(yè)的義務范圍,該法案規(guī)定了：①企業(yè)根據消費者的要求披露收集信息的種類和目的以及共享數據的第三方的義務;②根據消費者的要求刪除所收集信息的義務; ③尊重消費者選擇不出售個人數據信息權利的義務, 不得通過拒絕給消費者提供商品或服務, 對商品或者服務收取不同的價格或費率等方式來歧視消費者行使該項權利等等。

相關術語的界定，該法案對“個人信息”、“商業(yè)目的”、“收集”、“處理”等詞語進行了詳細的立法解釋。其中“個人信息”是指能夠直接或間接的識別、描述與特定的消費者或家庭相關或合理相關的信息,這些信息包括但不限于真實姓名、別名、郵政地址、唯一的個人標識符、在線標識符、互聯(lián)網協(xié)議地址、電子郵件地址、生物信息、商業(yè)信息、地理位置數據以及教育信息等。

此外, 根據該法案的規(guī)定,一旦企業(yè)違反隱私保護要求,將面臨支付給每位消費者最高750美元的賠償金以及最高7500美元的罰款。加利福尼亞總檢察長將負責決定是否針對違法企業(yè)采取法律行動。該法案中的主體規(guī)定與歐盟《一般數據保護條例》(GDPR)相類似, 但并非完全是該條例的翻版,例如并沒有如GDPR一樣規(guī)定告知消費者數據泄露事件的特定時限。

美國《2018年加州消費者隱私法案》全譯文

美國《2018年加州消費者隱私法案》大會第375號法案

第55章

本法案就民法典有關隱私的第三篇第四部分增加第1.81.5章（自第1798.100節(jié)始）。

【2018年6月28日由州長批準。同日呈交國務卿備案?！?/p>

立法顧問提要

AB 375，Chau。隱私：個人信息：企業(yè)。

加利福尼亞州憲法賦予一項隱私權?，F行法律明確各種情境下個人信息的保密性要求，并且規(guī)定企業(yè)或者個人在其含個人信息的計算機數據遭受安全侵害時按規(guī)定披露侵害事實。本法案授頒《2018年加州消費者隱私法案》。自2020年1月1日起，本法案將賦予消費者一項權利：要求企業(yè)披露其所收集的消費者個人信息的類別和具體要素、信息的收集來源類別，收集或出售信息的企業(yè)目的以及信息共享第三方的類別。法案要求企業(yè)披露信息及其使用目的。法案賦予消費者要求刪除個人信息以及要求企業(yè)收到正當請求后按照規(guī)定刪除的權利。法案賦予消費者一項權利，其有權要求出售或者為商業(yè)目的披露個人信息的企業(yè)披露其收集的信息類別以及出售或者披露的信息類別和所涉第三方身份。法案要求企業(yè)提供這些信息以回應消費者的正當性請求。法案明確消費者可以要求退出個人信息的企業(yè)銷售，禁止企業(yè)因為消費者行使該權利而付諸歧視措施，包括對要求退出的消費者適用不同的價格或者向其提供不同質量的產品或者服務，除非該差異與消費者數據的價值合理相關。法案授權企業(yè)為收集個人信息提供財務激勵。法案禁止企業(yè)出售16歲以下消費者的個人信息，除非按規(guī)定有明確的授權，是謂“選擇進入權”。法案規(guī)定接收、處理和滿足消費者請求的各項要求。法案為其目的規(guī)定各種定義，基于廣泛的個人和商業(yè)性特質與行為的清單及其推演元素而界定“個人信息”。法案禁止上述規(guī)定限制企業(yè)遵守聯(lián)邦、州或地方法律等規(guī)范的能力。

本法案的規(guī)定由州總檢察長根據相關規(guī)范負責執(zhí)行，并賦予訴訟私權以應對未經授權的訪問和泄露、盜竊或披露消費者未加密或未編輯個人信息等特定行為。法案規(guī)定州總檢察長訴訟收益的分配方法。法案在“一般基金”中設立“消費者隱私基金”，根據立法機關確定的比例，基金中的款項將用于支持法案的目的及其執(zhí)行。法案規(guī)定將罰款存入基金。法案要求州總檢察長推動公眾參與以通過相關法規(guī)。法案將授權企業(yè)、服務提供者或第三方獲得州總檢察長有關如何遵守其規(guī)定的意見。法案可以根據其規(guī)定取消消費者權利的放棄。法案可以在特定動議撤回時限制自身的效力。

加利福尼亞州人民制頒如下規(guī)范：

第一節(jié) 本法案應被公布并引作《 2018年加州消費者隱私法案》。

第二節(jié) 立法機構認可并申明：

（a）1972年，加利福尼亞選民修改了《加利福尼亞州憲法》，將隱私權納為全體人民“不可剝奪”的權利之一。該修正案賦予每位加利福尼亞州人法定且可執(zhí)行的隱私權。個人就其個人信息的使用包括銷售的控制能力對于該隱私權而言具有基礎性意義。

（b）由于加利福尼亞選民批準了隱私權，加利福尼亞州立法機關采取特別機制以保護加利福尼亞人的隱私，其中包括《在線隱私保護法案》、《數字世界加利福尼亞未成年人隱私權法案》以及《陽光法案》，后者旨在向加利福尼亞人指明企業(yè)處理消費者個人信息過程中的“何人、何物、何地與何時”信息。

（c）此外，加利福尼亞州是新技術和相關產業(yè)發(fā)展的全球領先者之一。然而，個人信息的激增限制了加州人相應保護和保障其隱私的能力。沒有個人信息共享，幾乎無法實現求職、撫養(yǎng)孩子、駕車或者預約等活動。

（d）隨著技術和數據在消費者日常生活中的作用日益突出，消費者與企業(yè)之間共享的個人信息數量也在增加。加利福尼亞州的法律沒有跟上這些發(fā)展的步伐，回應個人信息收集、使用和保護對個人隱私的影響。

（e）許多企業(yè)收集加利福尼亞消費者的個人信息。他們可能知道消費者的居住地址、孩子數量、駕駛速度、人格、睡眠習慣、生物識別與健康信息、財務信息、準確的定位信息以及社交網絡，等等。

（f）個人信息無授權披露和隱私損害可能對個人造成破壞性影響，包括財務欺詐、身份盜竊、對個人時間和財務的不必要成本、財產損害、騷擾、名譽損害、情感壓力甚至可能的身體傷害。

（g）2018年3月，數千萬人的個人數據被名為Cambridge Analytica的數據挖掘公司濫用。一系列國會聽證強調，我們的個人信息在互聯(lián)網上分享時極容易被濫用。因此，我們對數據業(yè)務中隱私控制和透明度的期待已有加強。

（h）人們期許隱私和其信息的更多控制。加利福尼亞消費者應當能夠就其個人信息行使控制權，并且期待防治個人信息濫用的保護措施。企業(yè)可能在尊重消費者隱私的同時，就其企業(yè)活動提供高水平的透明度。

（i）因此，立法機關的意圖是通過確保以下各項權利，為消費者控制其個人信息提供有效途徑，從而進一步拓展加州人的隱私權：

（1）加利福尼亞人有權知曉其正在被收集的個人信息。

（2）加利福尼亞人有權知曉其個人信息是否被出售或者披露及其流向。

（3）加利福尼亞人有權拒絕個人信息的出售。

（4）加利福尼亞人有權訪問其個人信息。

（5）加利福尼亞人有權享有平等服務與價格，即使其行使隱私權。

第三節(jié) 第1.81.5章（自第1798.100節(jié)以下）增列入《民法》第三篇第四部分中，內容如下：

1.81.5 2018年加利福尼亞消費者隱私法案

1798.100 （a）消費者有權要求收集消費者個人信息的企業(yè)向其披露企業(yè)收集的個人信息的類別和具體要素。

（b）收集消費者個人信息的企業(yè)應當在收集時或者收集前告知消費者所收集個人信息的類別以及個人信息的使用目的。在未向消費者提供符合本節(jié)要求的告知情況下，企業(yè)不得收集其他類別的個人信息，或者將所收集個人信息用于其他目的。

（c）企業(yè)應當僅在收到可驗證消費者請求后才向消費者提供本節(jié)（a）條中規(guī)定的信息。

（d）企業(yè)從可驗證消費者處收到要求訪問個人信息的請求后，應立即采取措施向消費者免費披露和提供本節(jié)所要求的個人信息。個人信息的提供可通過信件或電子方式，如果以電子方式提供，信息應以便攜方式提供并且在技術可行限度內采用易于使用的形式，以允許消費者無障礙地將此信息傳輸給其他單位。企業(yè)可以隨時向消費者提供個人信息，但不應被要求在12個月期間內向消費者提供兩次以上個人信息。

（e）本節(jié)不得要求企業(yè)留存為單次的、一次性交易所收集的任何個人信息，前提是這些信息不會被企業(yè)用于出售或保留，或者不會再識別或以其他方式聯(lián)結到不被視為以個人信息方式保存的信息。

（1）如果信息未被企業(yè)出售或保留，則留存為單次的、一次性交易所收集的任何個人信息。

（2）再識別或以其他方式聯(lián)結到在普通業(yè)務過程中不被視為以個人信息方式保存的任何數據。

1798.105 （a）消費者有權要求企業(yè)刪除從該消費者處收集的個人信息。

（b）收集消費者個人信息的企業(yè)應根據第1798.130節(jié)第（a）條項下第（5）款 （A）項的要求，告知消費者要求刪除其個人信息的權利。

（c）根據本節(jié)第（a）條的規(guī)定，收到消費者要求刪除其個人信息的可驗證請求的企業(yè)應當從其記錄中刪除消費者的個人信息，并指示所有服務提供者從其記錄中刪除該消費者的個人信息。

（d）如果企業(yè)或服務提供者有必要維護消費者個人信息的，其不應被要求遵守消費者請求刪除其個人信息的規(guī)定，以便：

（1）完成收集個人信息的交易，提供消費者要求的商品或服務，或者在企業(yè)與消費者正在進行的業(yè)務關系場景中可合理地預期，或以其他方式履行企業(yè)與消費者之間的合同義務。

（2）檢測安全事件，防止惡意的、欺騙的、虛假的或非法活動;或起訴那些對此活動負責的人。

（3）調試以識別和修復因損害現有預期功能而產生的錯誤。

（4）行使言論自由，確保其他消費者行使言論自由的權利，或行使法律規(guī)定的其他權利。

（5）遵守《刑法》第2部分第12標題項下第3.6章（從第1546節(jié)開始）《加州電子通信隱私法》。

（6）參與公開的或有同行評審的科學、歷史或統(tǒng)計研究符合所有適用的道德和隱私法律的公共利益，如果企業(yè)刪除信息可能導致研究成果難以實現或遭到嚴重損害的（消費者已提供了知情同意）。

（7）僅僅用于企業(yè)內部，該使用是根據消費者與企業(yè)的關系，使消費者擁有該等合理期待。

（8）遵守法定義務。

（9）在內部以其他合法方式使用消費者的個人信息，該方式與消費者提供其信息的場景相匹配。

1798.110 （a）消費者有權要求收集消費者個人信息的企業(yè)向消費者披露以下信息：

（1）該企業(yè)收集的關于該消費者個人信息的類別。

（2）收集個人信息的來源類別。

（3）收集或出售個人信息的企業(yè)或商業(yè)目的。

（4）與企業(yè)共享個人信息的第三方類別。

（5）收集的有關該消費者的具體個人信息。

（b）收集消費者個人信息的企業(yè)，在收到消費者的可核實請求后，應根據第1798.130節(jié)第（a）條第（3）款向消費者披露第（a）條中規(guī)定的信息。

（c）收集消費者個人信息的企業(yè)應根據第1798.130條第（a）款第（5）款第（B）項披露：

（1）該企業(yè)收集的關于該消費者個人信息的類別。

（2）收集個人信息的來源類別。

（3）收集或出售個人信息的企業(yè)或商業(yè)目的。

（4）與企業(yè)共享個人信息的第三方類別。

（5）企業(yè)收集的關于該消費者的具體個人信息內容。

（d）本節(jié)不要求企業(yè)做以下事情：

（1）如果在正常業(yè)務過程中不保留有關消費者的信息，則保留為單次的一次性交易而收集的任何有關消費者的個人信息。

（2）重新識別或以其他方式連結在日常業(yè)務過程中不會被視為個人信息方式維護的任何數據。

1798.115 （a）消費者有權要求出售消費者個人信息或因商業(yè)目的而披露消費者個人信息的企業(yè)向該消費者披露：

（1）該企業(yè)收集的有關該消費者的個人信息類別。

（2）通過對某一類或者某幾類個人信息出售給任一第三方，企業(yè)出售的消費者個人信息類別以及出售消費者個人信息的第三方類別。

（3）企業(yè)為商業(yè)目的而披露的個人信息類別。

（b）出售消費者個人信息或出于商業(yè)目的披露消費者個人信息的企業(yè)，在收到消費者的可核實請求后，應根據第1798.130節(jié)第（a）條第（4）款向消費者披露第（a）條中規(guī)定的信息。

（c）出售消費者個人信息或為商業(yè)目的披露消費者個人信息的企業(yè)，應根據第1798.130節(jié)第（a）條第（5）款第（C）項向消費者披露：

（1）其出售的消費者個人信息的類別，或者企業(yè)未曾出售消費者的個人信息，則應披露該事實。

（2）其為商業(yè)目的披露的消費者個人信息的類別，或者企業(yè)尚未因商業(yè)目的披露消費者的個人信息，則應披露該事實。

（d）除非消費者已收到明確通知并且有機會根據第1798.120節(jié)行使退出選擇權，否則第三方不得再出售從企業(yè)購買的消費者個人信息。

1798.120（a）消費者有權在任何時候指示一個欲將消費者個人信息出售給第三方的企業(yè)不得出售該消費者的個人信息。這項權利可以被稱為“選擇退出”權。

（b）向第三方出售消費者個人信息的企業(yè)應根據第1798.135節(jié)第（a）條的規(guī)定向消費者發(fā)出通知，告知消費者該信息可能會被出售并且消費者有權選擇不出售他們的個人信息。

（c）如果一家企業(yè)從消費者那里收到指示不得出售其個人信息，或者出售小部分消費者的個人信息沒有得到該部分消費者同意的情況下，根據第1798.135節(jié)第（a）條第4款的規(guī)定，出售這部分消費者信息的行為應該被禁止，直到收到消費者指示后方可進行，除非消費者隨后明確授權可出售其個人信息。

（d）盡管有第（a）條規(guī)定，如果企業(yè)實際明知消費者年齡小于16歲，企業(yè)不應出售該消費者的個人信息，除非消費者的年齡是在13至16歲之間，或父母或監(jiān)護人已明確授權企業(yè)可以出售年齡小于13歲的消費者個人信息。企業(yè)任何故意忽視消費者年齡的行為應被視為其已明確知曉該消費者年齡。這一權利可以被稱為“選擇加入”權。

1798.125 （a）（1）企業(yè)不得因為消費者行使本標題下任何消費者的權利而歧視消費者，包括但不限于：

（A）拒絕向消費者提供者商品或服務。

（B）對商品或服務收取不同的價格或費率，包括通過給予不同的折扣、其他福利或處罰。

（C）如果消費者行使本標題項下消費者的權利，向消費者提供不同等級或質量的商品或服務。

（D）提示消費者將獲得不同價格或費率的商品或服務，或者將向消費者提供不同水平或質量的商品或服務。

（2）如果企業(yè)通過消費者的數據向消費者提供的商品或者服務，其價格是有差異的但差異是合理的情況下，本款并不禁止企業(yè)向消費者收取不同的價格或費率，或向消費者提供不同級別或質量的商品或服務。

（b）（1）企業(yè)可以為個人信息的收集、出售或者刪除提供財務激勵，包括向消費者支付賠償金。企業(yè)還可以以不同的價格、費率、水平或質量向消費者提供商品或服務，如果價格或差異與消費者通過提供其數據而產生的價值直接相關。

（2）企業(yè)應根據第1798.135節(jié)的規(guī)定通知消費者第（a）條中的規(guī)定以提供任何財務激勵。

（3）只有當消費者根據第1798.135節(jié)（該節(jié)明確規(guī)定了財務激勵計劃的實質性條款并可以由消費者隨時撤銷）在事先選擇同意的情況下，企業(yè)才可以將消費者納入財務激勵計劃中。

（4）企業(yè)不得采用任何不正當、不合理、強制或有高利貸性質的財務激勵措施。

1798.130 （a） 為 了 遵 守 第 1798.100、1798.105、1798.110、1798.115和1798.125節(jié)的規(guī)定，企業(yè)應該以一種消費者可以合理訪問的形式：

（1）向消費者提供兩種或更多種指定方法，用于提交根據第1798.110和1798.115節(jié)的要求來披露信息的請求，包括，至少有一個可以免費撥打的電話號碼，以及如果該企業(yè)維護互聯(lián)網網站，那么應有一個它的網站地址。

（2）在收到消費者的請求且經核實后45天內向消費者免費披露并向其提供所需信息。企業(yè)應立即采取措施確定該請求是否可經驗證，但這不因此延長企業(yè)在收到消費者請求后的45天內披露和提供信息的義務。只有在合理必要的情況下，企業(yè)提供消費者所需信息的時間段可再延長45天，但前提是在第一個45天期限內企業(yè)向消費者發(fā)出了延期通知。披露應涵蓋企業(yè)收到經核實的請求之前的12個月，并應以書面形式提交，如果消費者持有該企業(yè)的用戶賬戶，則應通過消費者的用戶賬戶來交付，如果消費者未開設該企業(yè)的用戶賬戶，則通過郵件或其他消費者自行選擇的電子方式來交付，但無論如何都應有一種便捷有效的方式允許消費者在不受阻礙的情況下將這些信息從一個實體傳輸到另一個實體。企業(yè)不應以提出需經核實請求為由，要求消費者創(chuàng)建該企業(yè)的用戶賬戶。

（3）第1798.110節(jié)第（b）條的目的：

（A）將消費者在其經核實的請求中提供的信息與企業(yè)先前收集的有關消費者的任何個人信息相結合，識別消費者。

（B）通過參考第（c）條（最詳細描述收集個人信息的條款）中列舉的某一類或多個類別，識別過去12個月內收集的與消費者相關的個人信息。

（4）第1798.115節(jié)第（b）條的目的：

（A）將消費者在其經核實的請求中提供的信息與企業(yè)先前收集的關于消費者的任何個人信息相結合，識別消費者。

（B）通過參考第（c）條（最詳細描述個人信息的條款）中列舉的某一類或多個類別，

識別企業(yè)在過去12個月內出售的消費者的個人信息，并通過參考第（c）條（最詳細描述出售個人信息的條款）中列舉的某一類或多個類別，提供企業(yè)在過去12個月內將消費者的個人信息出售給第三方的類別。企業(yè)應將所披露的信息生成一個清單，該清單與因第（C）款之目的而生成的清單不同。

（C）通過參考第（c）條（最詳細描述個人信息的條款）中所列舉的某一類或多個類別，識別企業(yè)在過去12個月內為商業(yè)目的而披露的消費者個人信息，并通過參考第（c）條（最詳細描述披露個人信息的條款）中列舉的某一類或多個類別，提供企業(yè)在過去12個月內為商業(yè)目的而將消費者個人信息披露給第三方的類別。企業(yè)應將所披露的信息生成一個清單，該清單與因第（B）款之目的而生成的清單不同。

（5）如果企業(yè)有在線隱私政策的，則企業(yè)應當在其隱私政策中或者任何關于加利福尼亞州消費者隱私權的具體描述中披露以下信息；或者倘若企業(yè)對其網站上的這些政策不做維護的情況下，至少每12個月需要更新一次信息：

（A）根據第1798.110、1798.115和1798.125節(jié)的規(guī)定，應對消費者的相關權利和指定一個或多個提交請求的方法進行描述。

（B）根據第1798.110節(jié)第（c）條的目的，通過參考第（c）條（最詳細描述收集個人信息的條款）中列舉的某一類或多個類別，列出企業(yè)在過去12個月內收集有關消費者個人信息的類別清單。

（C）根據第1798.115節(jié)第（c）條第（1）和（2）款的目的，列出兩個單獨的清單：

（i）通過參考第（c）條（最詳細描述出售個人信息的條款）中列舉的某一類或多個類別，制作企業(yè)在過去12個月內所出售的消費者個人信息的類別清單，或者如果該企業(yè)在過去12個月內尚未出售消費者個人信息的，企業(yè)亦應披露該事實。

（ii）通過參考第（c）條（最詳細描述披露個人信息的條款）中列舉的類別，制作企業(yè)在過去12個月中出于商業(yè)目的而披露的有關消費者個人信息的類別清單，或者如果企業(yè)在過去12個月內未出于商業(yè)目的而披露消費者個人信息的，則企業(yè)亦應披露該事實。

（6）確保所有負責處理消費者有關企業(yè)隱私實踐或企業(yè)在本標題項下合規(guī)做法之問詢的個人均已經知道第1798.110、1798.115、1798.125節(jié)和本節(jié)中的所有要求，以及知道如何引導消費者行使其在這些條款下的權利。

（7）僅為了核實的目的，需要驗證消費者的請求，而使用從消費者處收集的任何個人信息。

（b）企業(yè)沒有義務在12個月內向同一消費者提供兩次以上根據第1798.110和1798.115節(jié)所要求的信息。

（c）根據第1798.110和1798.115條要求而披露的個人信息類別應遵循第1798.140節(jié)中個人信息的定義。

1798.135 （a）需要遵守第1798.120節(jié)規(guī)定的企業(yè)，應采取消費者可合理獲取的形式：

（1）在其互聯(lián)網主頁上提供一個清晰且明顯的，命名為“不得出售我的個人信息”的鏈接，使消費者或經消費者授權的人可以選擇不出售消費者的個人信息。企業(yè)不應為了只是不出售消費者的個人信息而要求消費者創(chuàng)建用戶賬戶。

（2）根據第1798.120節(jié)的規(guī)定，制作關于消費者權利的描述，同時在如下界面中有一個單獨的“不得出售我的個人信息”的鏈接：

（A）如果企業(yè)擁有在線隱私政策的話，則在線隱私政策中要有鏈接。

（B）在任何加利福尼亞州對消費者隱私權的具體描述中要有鏈接。

（3）確保所有負責處理消費者有關企業(yè)隱私實踐或本企業(yè)在本標題項下合規(guī)做法之問詢的個人均已經知道第1798.120節(jié)和本節(jié)中所有要求，以及知道如何引導消費者行使其在這些條款下的權利。

（4）對于選擇行使不出售其個人信息權利的消費者，該企業(yè)不得出售收集的關于該消費者的個人信息。

（5）對于已經選擇不出售個人信息的消費者，企業(yè)需尊重消費者選擇退出的決定，至少在其選擇后的12個月內不得再要求消費者授權出售其個人信息。

（6）僅為遵守退出要求的目的，使用與消費者發(fā)送退出請求相關的從消費者處收集的任何個人信息。

（b）如果企業(yè)維護著一個獨立且額外的網頁來專用于加州消費者并且含有被要求的鏈接和文本，并且企業(yè)采取合理的措施確保加州消費者會被引導至這一為加州消費者單獨設置的主頁（而不是面向一般公眾的主頁），則本標題中的任何內容均不得解釋為要求企業(yè)在面向一般公眾的企業(yè)主頁上插入所要求的鏈接和文字來遵守本標題。

（c）根據州總檢察長通過的規(guī)定，消費者可授權別人代表消費者不出售消費者的個人信息，并且企業(yè)應遵守該消費者的授權代表以消費者的名義發(fā)出的退出請求。

1798.140 這個標題的目的是：

（a）“總和消費者信息”是指涉及個體消費者身份被刪除的且無法（包括使用設備在內）與任何消費者或其家庭進行連結或合理關聯(lián)的消費者群體或類別的信息。 “總和消費者信息”并不意味著一個或多個已被去標識化的個體消費者記錄。

（b）“生物信息” 是指個人的生理、生物或行為特征，包括個人的脫氧核糖核酸（DNA），這些可以單獨或組合使用或與其他識別數據一起使用，以建立個人身份。生物特征信息包括但不限于虹膜、視網膜、指紋、臉部、手掌、靜脈圖案和語音記錄的圖像，從其識別模板（例如面部印記、細節(jié)模板或聲紋）可以被提取，以及包含識別信息的點擊模式或節(jié)奏、步態(tài)模式或節(jié)奏以及睡眠、健康或運動數據。

（c）“企業(yè)”是指：

（1）為股東或其他所有人的利潤或經濟利益而組織或經營的獨資企業(yè)、合伙企業(yè)、有限責任公司、公司、協(xié)會或其他法律實體。這些實體收集消費者的個人信息或代表其收集了這些信息，并且單獨或與他人共同確定處理消費者個人信息的目的和方法，這些實體在加利福尼亞州從事經營活動并且滿足以下一個或多個閾值：

（A）根據第1798.185節(jié)第（a）條第（5）款的規(guī)定調整后，年度總收入超過2500萬美元。

（B）為了商業(yè)目的，每年單獨或組合購買、收取、出售或共享50000人甚至更多的消費者、家庭或設備的個人信息。

（C）通過銷售消費者的個人信息獲得其年收入的50%甚至更多。

（2）任何如第（1）款所定義的，控制或受企業(yè)控制的和與企業(yè)共享共同品牌的任何實體?！翱刂啤被颉氨豢刂啤笔侵笇ζ髽I(yè)任何一類有投票權的股票中已發(fā)行股票有超過50%的所有權或投票權;以任何方式控制大多數董事的選舉或行使類似職能的個人;或者有對公司管理層施加影響力的權力。 “共同品牌”是指共享名稱，服務標記或商標。

（d）“商業(yè)目的”是指為商業(yè)或服務提供者的經營目的或其他通知目的使用個人信息，前提是個人信息的使用應是合理必要且成比例的，以實現個人信息被收集或處理，或用于與收集個人信息的情境得以兼容的另一個經營目的。商業(yè)目的是指：

（1）與當前企業(yè)與消費者的交互和同步交易相關的審核，包括但不限于計算針對獨立訪客的廣告展示次數，核驗廣告展示的定位和質量以及審查是否遵守了本規(guī)范和其他標準。

（2）檢測安全事件，防止惡意的、欺騙的、虛假的或非法活動，并對那些違法活動的負責人進行起訴。

（3）調試以識別和修復因損害現有預期功能而產生的錯誤。

（4）短期的、短暫的使用，前提是未透露給其他第三方，或未對消費者進行“畫像”，也未改變除當前交互之外個體消費者的體驗，包括但不限于在同一交互頁面上根據界面內容顯示場景化定制廣告。

（5）代表業(yè)務或服務提供者提供服務，包括維護或服務賬戶、提供客戶服務、處理或履行訂單和交易、驗證客戶信息、處理付款、提供融資、提供廣告或營銷服務、提供分析服務或者代表商業(yè)或服務提供者提供類似的服務。

（6）開展技術開發(fā)和示范的內部研究。

（7）開展活動以驗證或維持由企業(yè)擁有、制造、生產或控制的服務或設備的質量或安全，并改進、升級或增強由該企業(yè)擁有、制造、生產或控制的服務或設備。

（e）“收集”、“被收集”或“收集的信息”是指以任何方式購買、出租、收集、獲取、接收或訪問與消費者有關的任何個人信息。這包括主動或被動地以及通過監(jiān)測消費者的行為來接收來自消費者的信息。

（f）“商業(yè)目的”是指促進某人的商業(yè)或經濟利益，例如誘使他人購買、出租、租賃、加入、訂閱、提供或交換產品、貨物、財產、信息或服務，或者直接或間接地達成或實現商業(yè)交易。 “商業(yè)目的”不包括參與被州或聯(lián)邦法院認定為非商業(yè)言論的目的，包括政治言論和新聞。

（g）“消費者”系指加利福尼亞州居民的自然人，如加利福尼亞州法規(guī)第18篇第17014部分所定義的那樣，該部分在2017年9月1日閱讀，但包括任何獨特的標識符。

（h）“去標識”系指不能合理識別、涉及、描述、能夠直接或間接與某一特定消費者相關聯(lián)的信息，但前提是使用了已識別信息的企業(yè)：

（1）已實施了技術保障措施，禁止重新識別信息所屬的消費者。

（2）已實施了明確禁止重新識別信息的業(yè)務流程。

（3）已實施業(yè)務流程以防止無意中發(fā)布已識別的信息。

（4）不嘗試重新識別信息。

（i）“提交請求的指定方法”系指郵寄地址、電子郵件地址、因特網網頁、因特網門戶網站、免費電話號碼或其他適用的聯(lián)系信息，消費者從而可提交本標題項下的請求或指示，以及根據第1798.185節(jié)由總檢察長批準的任何消費者友好型的聯(lián)系企業(yè)的方式。

（j）“設備”系指能夠直接或間接連接到互聯(lián)網或其他設備的任何物理客體。

（k）“健康保險信息”系指消費者的保險單號碼或用戶識別號碼，健康保險公司用于識別消費者的任何唯一標識符，或消費者申請和索賠歷史中的任何信息，包括任何上訴記錄，只要企業(yè)或服務提供者通過該等信息已連結或可合理地連結（包括通過設備）到消費者或家庭。

（l）“主頁”系指收集個人信息的互聯(lián)網網站和任何互聯(lián)網網頁的介紹性頁面。對于在線服務（如移動應用程序），主頁指應用程序的平臺頁面或下載頁面、應用程序中的鏈接，例如應用程序配置、“關于”、“信息”或設置頁面以及允許消費者在下載應用程序之前查看第1798.145條第（a）條所要求之通知的任何其他位置，包括但不限于下載應用之前。

（m）“推斷”或“推論”系指，從事實、證據或其他信息或數據來源推導出信息、數據、假設或結論。

（n）“人”系指個人、私有企業(yè)、公司、合伙、合資企業(yè)、辛迪加、商業(yè)信托，公司、集團公司、有限責任公司、協(xié)會、委員會以及任何其他一致行動的組織或團體。

（o）（1）“個人信息”系指直接或間接地識別、關系到、描述、能夠相關聯(lián)或可合理地連結到特定消費者或家庭的信息，包括但不限于以下內容：

（A）諸如真實姓名、別名、郵政地址、唯一的個人標識符、在線標識符、互聯(lián)網協(xié)議地址、電子郵件地址、帳戶名稱、社會安全號碼、駕駛證號碼、護照號碼的標識符或其他類似標識符。

（B）第1798.80節(jié)（e）條中描述的任何類別的個人信息。

（C）加州或聯(lián)邦法律下受保護的分類的特征。

（D）商業(yè)信息，包括購買、獲得或考慮過的個人財產，產品或服務的記錄，或其他采購或消費的歷史或傾向。

（E）生物信息。

（F）因特網或其他電子網絡活動信息，包括但不限于瀏覽歷史、搜索歷史和關于消費者與因特網網站、應用程序或廣告交互的信息。

（G）地理位置數據。

（H）音頻、電子、視覺、熱量、嗅覺或類似信息。

（I）專業(yè)或就業(yè)相關信息。

（J）教育信息界定為“家庭教育權利和隱私法案”（20 U.S.C.1232g，34 C.F.R.第99部分）中所定義的非公開的個人可識別信息。

（K）從本條中已識別的任何信息中得出的推論，以創(chuàng)建反映消費者偏好、特征、心理傾向、偏好、傾向、行為、態(tài)度、智力、能力和資質的畫像。

（2）“個人信息”不包含公開可得信息。出于這些目的，“公開可得”系指從聯(lián)邦、州或地方政府記錄中可合法獲取到的信息，如果符合與此類信息相關的任何條件。 “公開可用”并不意味著企業(yè)在沒有消費者的知識的情況下收集的關于消費者的生物信息。如果這些數據的用途與政府記錄中公布的或其公開維護的數據的目的不相符，則信息并非“公開可用”?！肮_可用”不包括去標識化的消費者信息或綜合消費者信息。

（p）“概率標識”系指對消費者或設備的識別能達到一定的確定性，這種識別更可能不是基于個人信息定義所列舉的類別中包含的或與之類似的任何類別的個人信息。

（q）“處理”系指對個人數據或個人數據集進行的任何操作或一組操作，無論是否通過自動化手段。

（r）“假名（Pseudonymize）”或“假名（Pseudonymization）”系指處理個人信息的一種方式，在這種方式中如果不使用附加信息則不能把個人信息歸于特定消費者，前提是附加信息單獨保存并受技術和組織措施的約束，以確保個人信息不歸于已識別或可識別的消費者。

（s）“研究”系指科學的、系統(tǒng)的研究和觀察，包括符合公共利益的基礎研究或應用研究，并遵守所有其他適用的道德和隱私法律或為公共衛(wèi)生領域公共利益開展的研究。在消費者與商業(yè)服務或設備進行其他目的的互動過程中，為其他目的而可能從消費者處收集個人信息的研究應為：

（1）與收集個人信息的商業(yè)目的相符。

（2）隨后被假名化和去標識化，或者被識別并且總體上使得信息不能合理地識別出、關系到、描述、能夠相關聯(lián)或直接或間接地連結到特定消費者。

（3）制定技術保護措施，禁止重新識別信息所涉及的消費者。

（4）受到明確禁止重新識別信息的業(yè)務流程的約束。

（5）根據業(yè)務流程制定，以防止無意地發(fā)布了去標識化的信息。

（6）防止重新識別的意圖。

（7）僅用于與收集個人信息的場景相兼容的研究目的。

（8）不得用于任何商業(yè)目的。

（9）由進行研究的企業(yè)采取額外的安全控制，將研究數據的訪問權限僅限于業(yè)務中進行研究目的所需的個人。

（t）（1）“銷售（Sell）”，“銷售（selling）”，“出售”或“被出售”系指以一個企業(yè)以口頭、書面或電子形式者其他方式來出售、出租、發(fā)布、披露、傳播、提供、轉讓消費者的個人信息給另一企業(yè)或第三方，以獲得金錢或其他有價值的對價。

（2）就本標題而言，企業(yè)在下列情況下并不出售個人信息：

（A）消費者使用或指導企業(yè)有意披露個人信息或使用企業(yè)有意與第三方交互，前提是第三方也不出售個人信息，除非披露信息符合本規(guī)定標題。有意的交互發(fā)生在消費者打算通過一個或多個故意的交互與第三方進行互動時。懸停、靜音、暫?；蜿P閉某段內容不構成消費者與第三方交互的意圖。

（B）對于已選擇退出銷售其個人信息的消費者，企業(yè)使用或共享了消費者的標識符，目的是為了提醒第三方這一消費者已選擇退出銷售個人信息。

（C）如果滿足以下兩個條件，業(yè)務使用或與服務提供者共享用于執(zhí)行業(yè)務目的所需的消費者個人信息：服務提供者代表業(yè)務執(zhí)行的服務，前提是服務提供者也不會出售個人信息。

（i）在符合第1798.135節(jié)規(guī)定的企業(yè)條款和條件中，企業(yè)已告知了信息會被使用或共享。

（ii）服務提供者不會進一步收集、出售或使用消費者的個人信息，除非為履行商業(yè)目的之必要。

（D）業(yè)務將個人信息作為合并、收購、破產或其他交易的一部分的資產向第三方轉讓，在此交易中第三方取得對該信息的全部或部分控制權，前提是信息的使用或共享與第1798.110和1798.115節(jié)的規(guī)定一致。如果第三方實質上改變其使用或分享消費者的個人信息的方式，與收集時所作承諾存在實質性不一致，則第三方應向消費者提前通知新的或改變的做法。通知應足夠突出和健全，以確?，F有消費者可以輕松地按照第1798.120節(jié)的要求做出他們的選擇。本小段沒有授權企業(yè)以違反“不公平和欺詐行為法”（第5章（從17200開始）第7部分“商業(yè)和專業(yè)守則”第2部分）的方式對其隱私政策進行重大的、追溯性修改或其他修改。

（u）“服務”或“服務”系指工作、勞動和服務，包括與銷售或修理商品有關而提供的服務。

（v）“服務提供者”系指為其股東或其他所有權人的利潤或經濟利益而組織或經營的獨資、合伙、有限責任公司、公司、協(xié)會或其他法律實體，這一實體代表企業(yè)處理個人信息并且企業(yè)根據書面合同向這一實體披露消費者個人信息，但前提是，該合同禁止接收信息的實體保留、使用或披露個人信息以用于任何目的，除非為了履行業(yè)務合同規(guī)定的服務或本標題所允許的其他目的，包括保留、使用或披露個人信息用于提供業(yè)務合同規(guī)定的服務之外的商業(yè)目的。

（w）“第三方”是指非以下任何一方的人：

（1）根據此標題收集消費者的個人信息的企業(yè)。

（2）根據書面合同，企業(yè)為了商業(yè)目的而披露消費者個人信息的人，前提是該合同：

（A）禁止接收個人信息的人：

（i）出售個人信息。

（ii）為了履行合同規(guī)定之服務外的其他特定目的而保留、使用或披露個人信息，包括為了提供合同規(guī)定的服務之外的商業(yè)目的而保留、使用或披露個人信息。

（iii）保留、使用或披露某人與企業(yè)之間直接業(yè)務關系之外的信息。

（B）包括接收個人信息的人所做的證明，證明該人理解（A）項中的限制并且將遵守這些限制。

第（2）款涵蓋的人違反本標題中規(guī)定的任何限制的，均應對該等違反承擔責任。如果是收到個人信息的人違反本標題中規(guī)定的限制而使用信息，則依照第（2）款向第（2）款涵蓋的人披露個人信息的企業(yè)不應承擔責任，條件是在披露個人信息時，該企業(yè)沒有真實的知識或理由相信該人有意于實施此類違反行為。

（x）“唯一標識符”或“唯一個人標識符”系指持久性標識符，該標識符可用于識別消費者、家庭或者隨時間推移并跨越不同服務而連結到消費者或家庭的設備，包括但不限于設備標識符；互聯(lián)網協(xié)議地址；cookies、beacons，像素標簽，移動廣告標識符或類似技術；客戶號碼，唯一假名或用戶別名；電話號碼或可用于識別特定消費者或設備的其他形式的持久或概率標識符。就本條而言，“家庭”系指監(jiān)護人父母或監(jiān)護人以及受父母或監(jiān)護人監(jiān)護的任何未成年兒童。

（y）“可核實的消費者要求”系指由如下主體提出的請求：消費者、消費者代表其未成年子女，或自然人或在州政府秘書長處注冊并經消費者授權采取行動的人，以及企業(yè)可以根據總檢察長依第1798.185節(jié)（a）條第（7）款的規(guī)定合理地核實該企業(yè)收集其個人信息的消費者。如果企業(yè)無法，根據本條或總檢察長依第1798.185節(jié)（a）條第（7）款采用的規(guī)定，核實提出請求的消費者是企業(yè)收集其信息的消費者或者是消費者授權代表該消費者行事的人，則企業(yè)沒有義務根據第1798.110和1798.115節(jié)向消費者提供信息。

1798.145（a）本標題下對企業(yè)施加的義務不應限制企業(yè)的如下能力：

（1）遵守聯(lián)邦、州或地方法律。

（2）遵守聯(lián)邦、州或地方當局的民事、刑事或監(jiān)管調查、調查、傳票或傳票。

（3）對于可合理且真誠地認為企業(yè)、服務提供者或第三方可能違反聯(lián)邦、州或地方法律的行為或活動，與執(zhí)法機構合作。

（4）行使或抗辯法律主張。

（5）收集、使用、保留、出售或披露已去標識化的或綜合消費者信息中的消費者信息。

（6）如果商業(yè)行為的各個方面完全在加利福尼亞境外發(fā)生，則企業(yè)收集或出售消費者的個人信息。就本標題而言，如果商家在加利福尼亞境外收集消費者的信息，加利福尼亞境內沒有銷售消費者個人信息的任何部分，且當消費者在加利福尼亞時已收集的其個人信息沒有被銷售，則該商業(yè)行為完全在加利福尼亞境外發(fā)生。當消費者在加利福尼亞州時，本款不允許企業(yè)存儲（包括在設備上）關于消費者的個人信息，也不允許企業(yè)當消費者和存儲的個人信息在加利福尼亞州以外時收集該個人信息。

（b）第1798.110至1798.135節(jié)（包括第1798.135節(jié)）對企業(yè)施加的義務不適用于企業(yè)違反加利福尼亞州法律規(guī)定的證據特權，且不得阻止企業(yè)將消費者個人信息，作為特權通信的一部分，提供給加利福尼亞州法律下享有證據特權的人。

（c）本法不適用于受到如下管轄的涵蓋實體所收集的受保護的或健康信息：“醫(yī)療信息保密法”（第2.6部分（從第1部分第56節(jié)開始），根據1996年健康保險流通性與可用性法案建立的聯(lián)邦衛(wèi)生和公眾服務部頒布的隱私、安全和泄露通知規(guī)則，聯(lián)邦法典第45標題下第160和164部分。為了本條的目的，應適用第56.05節(jié)中的“醫(yī)療信息”，并適用聯(lián)邦隱私規(guī)則中“受保護的健康信息”和“涵蓋實體”的定義。

（d）如果該信息要報告或用于生成聯(lián)邦法典第15標題下第1681a節(jié)（d）條定義的消費者報告以及該信息的使用受到聯(lián)邦公平信用報告法（15 USC Sec.1681 et seq.）的限制，則本標題不適用于向消費者報告機構出售或從消費者報告機構購買個人信息的情況。

（e）根據聯(lián)邦Gramm-Leach-Bliley法案（公法106-102）及實施規(guī)則來收集、處理、銷售或披露個人信息，如與本標題相抵觸的，則不適用本標題。

（f）根據1994年駕駛員隱私保護法（18U.S.C.Sec。2721 et seq）來收集、處理、出售或披露個人信息，如與本標題相抵觸的，則不適用本標題。

（g）盡管企業(yè)有義務根據本標題對消費者權利要求做出回應和承認：

（1）企業(yè)響應任何經過驗證的消費者請求的時間段，可以在必要時考慮到請求的復雜性和數量，延長至最多90天。企業(yè)應在收到請求后的45天內將任何此類延期以及延期原因通知消費者。

（2）如果企業(yè)未根據消費者的要求采取行動，企業(yè)應立即通知消費者，并且最遲在本節(jié)允許回應的時間內通知消費者企業(yè)未采取行動的理由和消費者享有的對企業(yè)之決定提出訴求的權利。

（3）如果消費者的要求顯然沒有根據或過度，特別是由于要求的其重復性，企業(yè)考慮到提供信息或溝通或采取所要求的行動之行政成本，可以收取合理的費用，或者拒絕根據請求采取行動，并通知消費者拒絕請求的理由。企業(yè)應承擔證明任何經核實的消費者要求明顯沒有根據或過度的責任。

（h）如果收到個人信息的服務提供者違反了標題中規(guī)定的限制，向服務提供者披露個人信息的企業(yè)不應承擔責任，前提是在披露個人信息時企業(yè)沒有實際知識或者沒有理由相信，服務提供者意圖采取這種違反的行為。服務提供者同樣不需要對接受其服務的企業(yè)承擔本標題規(guī)定的該企業(yè)的義務。

（i）本標題不得被解釋為要求企業(yè)重新識別或以其他方式連結到未被認為是個人信息的信息。

（j）本標題下賦予消費者的權利和施加于企業(yè)的義務不應對其他消費者的權利和自由產生不利影響。

1798.150（a）（1）任何消費者如其在第1798.81.5節(jié)（d）條（1）款（A）項下所定義的未加密或未經處理的個人信息，由于企業(yè)違反義務而未實施和維護合理安全程序以及采取與信息性質相符的做法來保護個人信息，從而遭受了未經授權的訪問和泄露、盜竊或披露，則消費者可因以下任何一項而提起民事訴訟：

（A）為每個消費者每次事件賠償不少于一百美元（100美元）且不超過七百五十美元（750美元）的損害賠償金或實際損害賠償金，以數額較大者為準。

（B）禁止令或宣告性法律救濟。

（C）法院認為適當的任何其他救濟。

（2）在評估法定損害賠償金額時，法院應考慮案件任何一方提出的任何一種或多種相關情況，包括但不限于不當行為的性質和嚴重性、違法行為數量，持續(xù)存在的不當行為，發(fā)生不當行為的時間長短，被告的不當行為的故意以及被告的資產、負債和凈值。

（b）如果滿足以下所有要求，消費者可以根據本節(jié)采取的行動：

（1）在基于個人或全類別的法定損害發(fā)起針對企業(yè)的任何訴訟之前，消費者應提前30天提供書面通知，標名消費者聲稱企業(yè)已經或正在違反本標題之具體規(guī)定。在可以改正的情形下，如果在30天內企業(yè)實際上改正了被通知到的違規(guī)行為，并向消費者提供明確的書面聲明，表明違規(guī)行為已經改正，并且不會再發(fā)生違規(guī)行為，則不會發(fā)生基于個人或全類別的法定損害賠償訴訟。在個人消費者僅為因企業(yè)涉嫌違反本標題而針對其遭受的實際金錢損失而提起訴訟之前，不需要發(fā)出通知。如果企業(yè)違背本條規(guī)定的向消費者提供的明確書面聲明而繼續(xù)違反本條款的規(guī)定，消費者可以針對企業(yè)發(fā)起訴訟以執(zhí)行該書面聲明，并且可以追究違反明確書面聲明的每一項法定損害賠償金，以及任何其他違反本標題規(guī)定而延誤書面聲明的法定損害賠償金。

（2）發(fā)起（c）條第（1）款界定之訴訟的消費者應在提起訴訟的30天內通知總檢察長。

（3）總檢察長在收到通知后應在30天內采取下列其中一項：

（A）通知消費者提起總檢察長意圖起訴違法行為之行動。如果總檢察長在六個月內沒有起訴，消費者可以采取行動。

（B）避免在30天內提起訴訟，并允許消費者繼續(xù)采取訴訟。

（C）通知消費者提起消費者不應該繼續(xù)訴訟的行動。

（D）本法中的任何內容均不得解釋為任何其他法律規(guī)定的私人訴訟權利的依據。這不應被解釋為免除任何一方根據其他法律或美國或加利福尼亞州憲法規(guī)定的責任或義務。

1798.155任何企業(yè)或第三方均可就如何遵守本標題的規(guī)定以尋求總檢察長的意見。

（a）如果企業(yè)在收到涉嫌違規(guī)的通知后30天內未能糾正涉嫌違規(guī)的行為，則該企業(yè)應違反了本標題的規(guī)定。任何企業(yè)、服務提供者或其他違反本標題的人應按照“商業(yè)和職業(yè)規(guī)范”第17206節(jié)的規(guī)定，在加州人民以總檢察長名義提起的民事訴訟中承擔民事處罰責任。本節(jié)規(guī)定的民事處罰應由檢察總長以加州人民名義提起的民事訴訟進行專門評估和追討。

（b）盡管有“商業(yè)和職業(yè)規(guī)范”第17206節(jié)的規(guī)定，任何故意違反本標題的個人，企業(yè)或服務提供者，每次違規(guī)行為可能要承擔高達七千五百美元（7,500美元）的民事罰款。

（c）盡管有“商業(yè)和職業(yè)法”第17206節(jié)，但根據第17206節(jié)對違反本標題的行為進行的民事處罰，以及根據（a）條提起訴訟的達成任何和解的收益，應分配如下：

（1）百分之二十給予根據第1798.109節(jié)（a）條在普通基金內設立的消費者隱私基金，旨在完全抵銷州法院和總檢察長因此而支付的任何成本。

（2）百分之八十給予代表提起產生民事賠償的之訴訟的司法管轄區(qū)。

（d）立法機關的意圖是，第（c）條中規(guī)定的百分比應根據需要進行調整，以確保對違反本標題的民事處罰評估金額能夠全額抵消州法院和總檢察長產生的與本標題有關的成本，包括足夠的金額以彌補上一個財政年度的任何赤字。

1798.160 （a）茲在州財政的普通基金內設立一個稱為“消費者隱私基金”的特別基金，并可在立法機關撥款后用于抵消州法院就執(zhí)行本標題所采取行動而產生的任何成本以及總檢察長執(zhí)行本標題項下職責所產生的任何成本。

（b）轉移到消費者隱私基金的資金應專門用于抵消州法院和總檢察長就本標題產生的任何成本。這些資金不應由立法機構撥款或轉移用于任何其他目的，除非州財務總監(jiān)確定資金超過了完全抵消州法院和總檢察長承擔的成本所需之資金，在這種情況下，立法機關可以將超額資金用于其他目的。

1798.175 此標題旨在進一步增強作為憲法性權利的隱私權，并補充有關消費者個人信息的現行法律，包括但不限于商業(yè)和專業(yè)法典第8部分第22章（從第22575節(jié)開始）和標題1.81（從1798.80節(jié)開始）。本標題的條款不限于以電子方式或通過互聯(lián)網收集的信息，而是適用于企業(yè)從消費者處收集及企業(yè)出售的所有個人信息。只要有可能，與消費者個人信息有關的法律均應該被解釋為與本標題下條款保持一致，但是如果其他法律與本標題下條款發(fā)生沖突，那么法律中最能夠保護消費者隱私權的條款應當有控制權。

1798.180 本標題屬于全州范圍內的問題，以接替和取代市、縣、市和縣、市政或地方機構就企業(yè)收集和銷售消費者個人信息所采用的所有規(guī)則、法規(guī)、法案，法令和其他法律。

1798.185（a）2020年1月1日或之前，總檢察長應廣泛征求公眾的參與，以通過法規(guī)來推進實現本標題的目的，其中包括但不限于以下方面：

（1）根據需要更新第1798.130節(jié)（c）條和第1798.140節(jié)（o）條列舉的個人信息的其他類別，以解決技術、數據收集實踐、實施障礙和隱私問題的變化。

（2）根據需要來更新唯一標識符的定義，以解決技術、數據收集實踐、實施障礙和隱私問題的變化，以及更新消費者提交請求的額外方法，以增強消費者根據第1798.130節(jié)的規(guī)定獲得企業(yè)信息的能力。

（3）在本標題通過后一年內以及此后根據需要，依據州或聯(lián)邦法律制定任何必要的例外規(guī)定，包括但不限于有關商業(yè)秘密和知識產權的例外規(guī)定。

（4）在本標題通過后一年內以及此后根據需要，制定以下規(guī)則和程序：

（A）促進和管理消費者根據第1798.145節(jié)（a）條（1）款的規(guī)定提出停止銷售個人信息的請求。

（B）管理企業(yè)采取符合消費者之選擇退出請求的合規(guī)做法。

（C）所有企業(yè)開發(fā)和使用可識別的和統(tǒng)一的選擇退出標志或按鈕，以促進消費者意識到有機會選擇退出個人信息銷售。

（5）在每一奇數年的一月調整第1798.106節(jié)（b）條（1）款（A）項中的金額門檻，以反映消費物價指數的任何提升。

（6）設立規(guī)則、程序和任何必要的例外，以確保企業(yè)按照本標題要求應提供的通知和信息能以普通消費者容易理解的方式提供，且殘疾消費者也可以獲得，以及主要采用與消費者互動的語言提供，包括在本標題通過后一年內以及此后根據需要來建立有關提供財政激勵的規(guī)則和指南。

（7）建立規(guī)則和程序以促進實現第1798.110節(jié)和1798.115節(jié)的目的，增強消費者或消費者的授權代理人根據第1798.130節(jié)獲取信息的能力，目的是最大限度地減少消費者的行政負擔，同時考慮可用的技術、安全問題和企業(yè)負擔，并管理企業(yè)如何決定消費者收到的信息請求是可核實的請求，包括處理通過消費者維護的密碼保護帳戶提交的請求而消費者登錄賬戶即作為可核實的請求，以及在本標題通過后一年內以及此后根據需要為未維持賬戶的消費者提供一種機制，以通過企業(yè)對消費者身份的認證來處理請求信息。

（b）總檢察長可以根據需要采取額外的規(guī)定來進一步實現本標題的目的。

1798.190 如果一系列步驟或交易是單一交易的組成部分，意圖從一開始就避免觸及本標題，包括企業(yè)向第三方披露信息以避免被定義為出售信息，法院應為實現本標題之目的而忽略中間步驟或交易。

1798.192 旨在以任何方式放棄或限制消費者在本標題下之權利的合同或協(xié)議的任何規(guī)定，包括但不限于獲得救濟或強制執(zhí)行的權利，均應被視為違反公共政策并且無效和不得執(zhí)行。本節(jié)不應阻止消費者拒絕向企業(yè)索取信息，拒絕選擇退出同意企業(yè)銷售其個人信息，或在先前不再同意后又授權企業(yè)出售其個人信息。

1798.194 本標題應被自由地解釋為踐行其目的。

1798.196 如果允許，本標題旨在補充聯(lián)邦和州法律，但如果此類申請被先占或與聯(lián)邦法律或加州憲法發(fā)生沖突時則不適用。

1798.198（a）在（b）分節(jié)規(guī)定的限制下，本標題應于2020年1月1日生效。

（b）只有根據“選舉法”第9604節(jié)的規(guī)定，“2018消費者隱私權法案”第17-0039號主動措施退出投票的情況下，本法案才能生效。

第4節(jié).（a）本法案的規(guī)定是可以分割的。如果本法案的任何條款或其申請被認定無效，則該等無效將不會影響在沒有該無效條款或申請的情況下仍可生效的其他條款或申請。