California Shine the Light-lagen
| Shine the Light Law | |
|---|---|
 State Seal of California
| |
| California State Legislature, session 2003–2004 | |
| |
| Citat | CA Civil Code § 1798.83 |
| Antagen av | California State Legislature, session 2003–2004 |
| Antagen | Senaten: 24 september 2003; Montering: 8 september 2003 |
| Signerad | 23 september 2003 |
| Påbörjat | 1 januari 2005 |
| Lagstiftningshistoria | |
| Bill titel | Personlig information: utlämnande till direktmarknadsförare. |
| Bill citat | CA SB 27 |
| Bill publicerad den | 2 december 2002 |
| Introducerad av | Liz Figueroa |
| Nyckelord | |
| sekretess, personlig information, avslöjande, listförmedling | |
Kaliforniens "Shine the Light"-lag (CA Civil Code § 1798.83) är en integritetslag som antogs av California State Legislature 2003. Den blev en aktiv del av California Civil Code den 1 januari 2005. Den anses vara en av de första försöken från en statlig lagstiftare i USA att ta itu med praxis att dela kunders personliga information för marknadsföringsändamål, även känd som "list brokerage". Lagen beskriver förfaranden som kräver att företag på begäran av en bosatt i Kalifornien avslöjar vilken personlig information som har delats med tredje part, såväl som de parter som informationen har delats med. Lagen beskriver också ett specifikt språk som företag som gör affärer med invånare i Kalifornien måste inkludera i sina sekretesspolicyer online .
Historia
Det ursprungliga lagförslaget, California SB 27, presenterades för Kaliforniens delstatssenat av Liz Figueroa i december 2002. Lagförfattarna inkluderade delstatssenatorerna Dede Alpert, Sheila Kuehl , Gloria Romero och Nell Soto .
Lagförslaget uppstod ur en ökad oro för affärsmetoder där konsumenternas personliga information, som samlats in av det företag som en konsument bedriver affärer med, såldes till andra tredjepartsföretag utan konsumentens vetskap. Till stöd för lagförslaget erbjöd Figueroas kontor delstatssenaten ett flertal exempel på listor med personlig information som finns att köpa på Internet. Figueroa kontor skrev:
Transparens är provstenen för konsumenternas förtroende för informationshantering... Eftersom integritet per definition är så intensivt personligt, för en konsument att göra ett rationellt och informerat och personligt val att välja att välja att välja bort, välja bort eller helt enkelt ta sitt företag på andra håll måste konsumenten veta "vem, vad, var och när" för hur ett företag hanterar personuppgifter.
Efter godkännande i senaten gick lagförslaget till California State Assembly , där ett antal farhågor uppstod angående "otillbörlig börda" som läggs på företag. Författarna gjorde flera ändringar för att tillgodose affärsintressen, inklusive tillägget av en bestämmelse som ger ett företag 90 dagar för att "bota en kränkning" och ett undantag för småföretag. Revisioner gav också företag möjlighet att antingen svara på inkommande förfrågningar från konsumenter som vill veta hur deras information används eller att tillåta användare att välja bort och "stoppa deras information från att delas i marknadsföringssyfte."
Lagförslaget ändrades tre gånger i delstatssenaten och fem gånger i delstatsförsamlingen. Den antog församlingen den 8 september 2003 och senaten den 12 september 2003. Den 24 september 2003 guvernören Gray Davis den i lag. Lagförslaget trädde i kraft den 1 januari 2005.
Krav
Lagen gäller för alla vinstdrivande företag som bedriver affärer med någon som är bosatt i Kalifornien och har "delat kunduppgifter med andra företag för deras direktmarknadsföring under det närmast föregående kalenderåret", med undantag för företag med färre än 20 anställda , federala finansiella institutioner, ideella organisationer, politiska grupper och politiker, tillhandahållare av offentliga fastighetsregister och kreditupplysningsbyråer. Företag som upprätthåller en gratis och offentlig sekretesspolicy som tillåter användare att välja eller välja bort informationsdelning är också undantagna. Lagen definierar "kund" som "en individ som är bosatt i Kalifornien som tillhandahåller personlig information till ett företag under skapandet av, eller under hela varaktigheten av, en etablerad affärsrelation om affärsrelationen huvudsakligen är för personlig, familje- eller hushållsändamål." Ett företag behöver inte vara lokaliserat i Kalifornien, det behöver helt enkelt ha en enda kund som är bosatt i staten.
Personlig information
Enligt lagen "Shine the Light" definierar Kalifornien 27 kategorier som "personlig information" när den avslöjas för tredje part.
| Kategorier av personlig information | ||
|---|---|---|
| Namn och adress | E- postadress | Ålder eller födelsedatum |
| Namn på barn | E-post eller andra adresser till barn | Antal barn |
| Barns ålder eller kön | Höjd | Vikt |
| Lopp | Religion | Ockupation |
| Telefonnummer | Utbildning | Politisk partitillhörighet |
| Medicinskt tillstånd | Läkemedel, terapier eller medicinska produkter eller utrustning som används | Typ av produkt som kunden köpte, leasade eller hyrde |
| Fast egendom köpt, hyrt ut eller hyrt | Typ av tjänst som tillhandahålls | Personnummer |
| bankkontonummer | Kreditkortsnummer | Bankkortsnummer |
| Bank- eller investeringskonto, betalkort eller kreditkortssaldo | Betalningshistorik | Information som hänför sig till kundens kreditvärdighet, tillgångar, inkomster eller skulder |
Anmälan och kontaktpunkter
Lagen kräver att ett företag upprättar en utsedd kontaktpunkt – e-postadress, en postadress eller ett telefon- eller faxnummer – där de kan rikta förfrågningar om informationsdelning. Dessutom måste ett företag göra minst ett av följande:
- Tillräckligt tillhandahålla alla anställda som kan ha kontakt med konsumenter kontaktpunkterna så att om en konsument frågar om sekretesspraxis kan den anställde tillhandahålla kontaktinformationen;
- Lägg till en länk på dess hemsida med titeln "Dina integritetsrättigheter" eller "Dina sekretessrättigheter i Kalifornien", eller inkludera en av dessa fraser i samma stil som rubriken "Sekretesspolicy" på ett företags integritetspolicysida (länkad från företagets hem sida). Det avsnittet eller den separata sidan "Dina integritetsrättigheter" måste beskriva en kunds rättigheter enligt lagen och tillhandahålla information till konsumenten om den utsedda kontaktpunkten;
- Lägg tydligt upp eller gör kontaktinformationen tillgänglig överallt där en kund interagerar med företagets anställda i Kalifornien.
Avslöjande och kränkningar
Företag måste tillhandahålla konsumenten en fullständig lista över all personlig information som lämnas ut till tredje part och informationens art inom 30 dagar efter begäran (150 dagar om en begäran går till en annan adress eller kontaktpunkt som inte är den utsedda kontaktpunkten) . Lagen kräver dock att ett företag endast svarar på förfrågningar från en enskild kund en gång per kalenderår. Svaret ska innehålla de kategorier av information som lämnats ut och de företag som de lämnats till under det senaste kalenderåret. Företag med integritetspolicyer som tillåter användare att välja in eller välja bort kan svara på förfrågningar om informationsdelning med information om hur man väljer in eller väljer bort.
Om ett företag får meddelande om att de har underlåtit att följa efterlevnaden genom att lämna in ofullständig information eller inte svara på begäran alls, ger lagen en frist på 90 dagar för att de ska kunna tillhandahålla fullständig information enligt begäran. Men om ett företag misslyckas med att uppfylla en konsuments begäran enligt lagen, har kunden rätt att återkräva civilrättsligt skadestånd på upp till $500. Om ett företag avsiktligt underlåter att följa, ökar skadeståndet till upp till 3 000 USD plus advokatarvoden.
Grad av efterlevnad
Även om lagen officiellt trädde i kraft den 1 januari 2005, fann en oberoende studie från 2009 bevis på ojämn efterlevnad. Forskare sammanställde en lista över 112 företag som omfattades av SB 27 och som inte tillhandahöll ett opt-out-alternativ som skulle undanta dem från obligatoriskt avslöjande. När dessa 112 företag fick förfrågningar om informationsdelning svarade bara 59 av dem enligt lag.
- ^ CA Government Civil Code § 1798.83 Arkiverad 2013-08-23 på Wayback Machine . tillagd 2013-07-28.
- ^ a b c d e CA Civil Code § 1798.83 . Hämtad 2011-03-01.
- ^ a b Elektroniskt informationscenter för sekretess (EPIC). "California SB 27, "Shine the Light" lag.'
- ^ Nick Lieber. " Varför din webbplatss sekretesspolicy betyder mer än du tror ." BusinessWeek 12 augusti 2009. Hämtad 11-03-01.
- ^ a b Kalifornien statlig lagstiftande församling. Senatets lagförslag 27, kapitelad version Arkiverad 2006-08-29 på Wayback Machine . Inlämnad till CA Secretary of State den 25 september 2003. Hämtad den 11-03-01.
- ^ a b c Kaliforniens senaträttsutskott. Bill Analysis, SB 27 Senaten Bill Arkiverad 2008-12-26 på Wayback Machine , 2003. Hämtad 2011-03-01.
- ^ "SB 27 komplett räkningshistorik" . Kaliforniens delstatssenat. Arkiverad från originalet 2006-08-29 . Hämtad 2 mars 2011 .
- ^ a b c d Clearinghouse för integritetsrättigheter. " Kaliforniens "Shine the Light"-lag träder i kraft 1 januari 2005 Arkiverad 2011-05-24 på Wayback Machine ." Pressmeddelande. Upplagt 29 december 2004. Hämtad 11-03-01.
- ^ Lauren Thomas och Chris Jay Hoofnagle. Utforska informationsdelning genom Kaliforniens "Shine the Light"-lag . 13 augusti 2009
externa länkar
- SB 27 (2003-2004): California State Senate
- California Civil Code § 1798.83
- Chris Hoofnagle och Jennifer King. "Dela konsumentinformation: Där solen fortfarande inte skiner" . 17 december 2007. Studie av praxis för informationsutbyte från avslöjande som begärts enligt SB 27.
- International Association of Privacy Professionals. " Kaliforniens integritetslagar når bortom Kalifornien ." York, Maine: 7 december 2004.
- Anthony D. Milewski Jr. " Efterlevnad av Kaliforniens integritetslagar: federal lag ger också vägledning till företag i hela landet. " University of Washington, Shidler School of Law. 2 Shidler JL Com. & Tech. 19 (14 april 2006).
- ReedSmith. " Förgreningar av Kaliforniens "Shine the Light"-lag ." Client Alert, 1 juli 2005.
- Vit & fodral. " Spirande integritetsutveckling i USA ." Presentation. Femte årliga Global Privacy Symposium, 12 april 2005