カリフォルニア州プライバシー権利法

提案24

2020年11月3日 ( 2020-11-03 )
プライバシー権および執行法イニシアチブ
結果
選択 投票 % はい 9,384,125 56.23% いいえ 7,305,026 43.77%
賛成   60%～70%   50%～60% 反対   60%～70%   50%～60%

2020年カリフォルニア州プライバシー権法（CPRA ）は、提案24としても知られ、2020年11月3日の総選挙の投票用紙に掲載され、有権者の過半数によって承認されたカリフォルニア州の投票提案です。 ^{[ 1 ] [ 2 ] [ 3 ]}この提案は、カリフォルニア州の消費者プライバシー法を拡大し、消費者プライバシー規制の基礎を確立した2018年のカリフォルニア州消費者プライバシー法（CCPA）に基づいています。^{[ 4 ]}

CPRAはカリフォルニア州法にさらなる規定を設け、消費者が企業による個人データの共有を阻止し、不正確な個人データを修正し、企業による「センシティブな個人情報」（正確な位置情報、人種、民族、宗教、遺伝データ、プライベートな通信、性的指向、特定の健康情報など）の利用を制限することを可能にします。カリフォルニア州プライバシー保護局は、州のプライバシー法の施行と執行、違反の調査、違反者への罰則の査定を行うために設立されました。^{[ 5 ]} CPRAはまた、企業が罰則なしに違反を是正できる期間を廃止し、必要以上に個人データを保持することを禁止し、16歳未満の児童が関与する違​​反に対する最高罰金を3倍（最高7,500ドル）に引き上げ、特定のログイン情報の盗難に対して民事罰を科すことを認可しています。^{[ 6 ] [ 7 ]}

CPRAは2023年1月1日に発効し、2022年1月1日以降に収集された個人データに適用されます。^{[ 8 ]}この法律は州議会によって廃止することはできず、修正は「この法律の目的と意図と一致し、さらに促進するもの」でなければなりません。^{[ 9 ]}

テクノロジーが日常生活にますます溶け込むようになるにつれ、世界中の立法者はデータプライバシーの規制強化を求めてきました。^{[ 10 ]} 1950年、欧州人権条約はデータプライバシーは法的保護の対象となるべきだと主張しました。^{[ 10 ] [ 11 ]}ケンブリッジ・アナリティカ事件など、消費者データの知られざる使用と販売のいくつかのエピソードが、米国の立法者が特に州レベルでより優れたデータプライバシー保護を追求するきっかけとなりました。^{[ 10 ] [ 12 ]}さらに、2018年に欧州連合（EU）の一般データ保護規則（GDPR）が可決されたことで、米国でも同様の措置を導入しようという関心が高まりました。^{[ 11 ]} GDPRは、例外がほとんどなく高額な罰金が科される、世界で最も厳格なデータプライバシー法です。カリフォルニア州では、これらの懸念から、EUのGDPRを多少モデルにしたカリフォルニア州消費者保護法が制定されました。^{[ 11 ]}

CCPAの最初の起草と2018年の投票への掲載は、アラステア・マクタガートが主導しました。^{[ 12 ]}彼はその後、カリフォルニア州議会と合意し、CCPAの縮小版を可決しました。この法律は最終的にブラウン知事によって署名され、2018年に可決されましたが、CCPAは2020年1月1日に発効しました。^{[ 11 ]} 2020年には、提案24、またはCPRAがカリフォルニア州の投票にかけられました。この法律は、消費者データのプライバシーを拡大するためにCCPAを改正することを目的としていました。^{[ 13 ]}最も注目すべきは、CPRAが企業をその規則の対象となる基準を変更し、CCPAの執行を主導するためにカリフォルニアプライバシー保護局を設立したことです。^{[ 11 ]} CPRAは、カリフォルニア州の有権者の56.2％の賛成を得て可決され、2023年1月1日に発効しました。^{[ 14 ]}

このイニシアチブは、CCPAで最初に定められた規定の拡大を表しています。主な変更点としては、企業が16歳未満の消費者からデータを収集する前に許可を得ること、13歳未満の消費者からデータを収集する前に親または保護者の許可を得ることが義務付けられることなどが挙げられます。 ^{[ 15 ]} CPRAはまた、CCPAを改正し、従来の5万人以上の消費者の個人情報を売買または共有する企業に適用するようにしました。^{[ 15 ]}カリフォルニア州プライバシー保護局は、これらの規定を保護および執行するために設立され、カリフォルニア州司法省から以前の責任を引き継ぎました。^{[ 4 ]}

この法律の全体的な意図は、個人情報の利用に関する消費者と事業者間の情報の非対称性を解消することです。そのために、この法律の主要な権利には以下が含まれます

1. 販売拒否権を通じて個人情報の使用を制御し、機密性の高い個人情報の使用を制限します。
2. 個人情報を修正、削除、転送する機能。
3. 個人データの販売をオプトアウトしたり、個人データの使用を制限したりするための、簡単にアクセスできるセルフサービスツールの権利
4. 罰せられたり差別されたりすることなくプライバシーの権利を行使します。
5. 適切な情報セキュリティ予防措置を講じなかった企業に責任を負わせます。
6. 誰が子供の個人情報を収集しているのか、それがどのように使用されているのか、そして誰に開示されているのかを知る必要があります。^{[ 16 ]}

CPRAの主な目的は、消費者の個人情報の保護を強化することです。^{[ 10 ]}この法律では、消費者情報を、特定の個人または世帯を合理的に識別または関連付けることができる情報と定義しています。^{[ 10 ] [ 16 ]}これには、名前、住所、電子メールアドレス、社会保障番号、および人種、性別、宗教など、カリフォルニア州法および連邦法で保護されていると定義されている特性が含まれます。^{[ 16 ]} CPRAはまた、この法律の対象となる企業の基準を変更します。この法律は、次の3つの基準のいずれかを満たす企業に適用されます。(1) 前年の年間総収入が2,500万ドルである (2) 10万人以上の消費者または世帯の個人情報を購入、販売、または共有している (3) 収入の大部分（50％以上）が消費者の個人情報の販売または共有から得られている企業。^{[ 11 ] [ 16 ]}

企業が消費者の情報を容易にアクセスできるツールを通じて販売または共有することへの同意を取り消すことができることは、CPRAによるCCPAの修正において不可欠な要素です。CPRAは、企業のホームページに「個人情報の販売を拒否する」というリンクを明示的に表示することを義務付けています。^{[ 16 ]}企業は、消費者にアカウントの作成やオプトアウトのための複数の手順を要求することはできません。^{[ 16 ]}この権利は、カリフォルニア州の消費者が企業に対し、個人情報の販売を停止するよう要求することを実質的に可能にし、CCPAの制定のきっかけとなったような個人データの悪用や不当な販売を防ぐことができます。^{[ 10 ]}

この提案は、カリフォルニア州の有権者の約55%が賛成票を投じ、可決されました。^{[ 17 ]}