这项法律解释了加州企业在收集消费者个人信息时需要做什么。他们必须告知消费者正在收集哪些信息、收集原因以及计划保留多长时间。如果他们收集敏感信息，例如社会安全号码，他们也必须提供类似的详细信息。此外，企业必须与任何共享数据的第三方签订协议，确保这些第三方遵守相同的隐私规则。另外，企业需要有良好的安全措施来保护这些信息。该法律不要求企业泄露任何商业秘密。

这项法律赋予人们要求公司删除其已收集的个人信息的权利。公司必须告知人们他们拥有这项权利，并且一旦收到请求，公司必须删除这些信息，并从其共享信息的其他方的记录中删除。然而，在某些情况下，公司不必删除信息，例如完成交易、确保安全或遵守其他法律。企业可以保留删除请求的记录，以确保他们遵守规定。服务提供商或承包商也必须配合删除信息。

这项法律赋予消费者权利，可以要求企业更正其持有的任何不准确的个人信息。企业必须告知消费者这项权利，并在收到请求时，根据既定指南，尽合理努力修正任何不正确的数据。

这项法律规定，如果企业收集您的个人信息，您有权了解相关细节。您可以要求企业告知您他们拥有哪些类型的个人信息、这些信息从何而来、他们为何收集或共享这些信息，以及他们与谁共享这些信息。您还可以索取他们所拥有的关于您的具体个人信息的副本。一旦您提出可验证的请求，企业必须提供这些信息。本质上，您有权了解您的个人数据是如何被处理的。

这项加州法律赋予您向企业查询其如何处理您的个人信息的权利。您可以询问他们收集了您哪些类型的个人数据，将其出售或共享给了谁，以及为商业目的披露给了谁。如果您提出可验证的请求，企业必须提供这些信息。此外，未经您的通知和提供拒绝选项，第三方不得出售或共享您的信息。

加州法律赋予消费者一项权利，可以告诉企业不要将他们的个人信息出售或分享给其他公司。这被称为“选择退出权”。企业如果分享或出售个人信息，必须通知消费者，并告知他们选择退出的权利。如果消费者未满16岁，企业不得出售或分享其个人信息，除非获得消费者本人或其监护人的明确许可。如果消费者指示不分享信息，企业必须遵守，除非消费者之后同意。如果公司明知或故意忽视消费者未成年，则必须严格遵守这些规定。

这项法律赋予消费者限制企业使用和共享其敏感个人信息的权利。如果消费者指示企业限制此类使用，企业必须遵守，除非满足特定条件或消费者随后同意。企业在使用消费者敏感数据用于其他目的时，必须告知消费者，并尊重他们的隐私决定。与这些企业合作的服务提供商也必须遵守这些规定，并且只能将信息用于约定的目的。如果数据并非用于推断个人特征，则不受这些规则约束，而是受更广泛的隐私法律管辖。

这项法律确保企业不能因为消费者行使其隐私权（例如选择不出售其个人数据）而对其进行不公平对待。公司不能仅仅因为客户行使了这些权利就拒绝提供服务、收取不同价格或提供不同质量的产品。但是，如果价格或服务差异与消费者数据为公司带来的价值合理相关，企业可以提供不同的价格或服务。此外，企业可以设立与个人数据相关的忠诚度计划或经济激励措施，但必须首先告知消费者并获得他们的同意。这些计划不得不公平或具有操纵性，并且消费者可以随时撤回其同意。

这项法律要求企业提供便捷的方式，让消费者可以查询自己的个人数据、进行更正或要求删除数据。企业必须提供至少两种提交这些请求的方式，其中应包括一个免费电话号码；如果企业仅在线运营，则提供一个电子邮件地址即可。一旦请求得到验证，企业必须在 45 天内完成处理，必要时可额外延长 45 天。企业必须免费提供信息，并以易于访问的格式呈现，涵盖过去 12 个月的数据，或在要求下提供更长时间的数据。他们还应在其隐私政策中披露数据类别、来源和共享详情，并至少每年更新一次。最后，处理这些请求的员工必须充分了解消费者权利，用于请求验证的个人数据不得用于其他目的。

出售或共享消费者数据的企业必须提供简便的方式，让消费者能够阻止此类行为。他们需要在网站上设置清晰的链接，例如“请勿出售或共享我的个人信息”和“限制我的敏感个人信息使用”，以帮助消费者选择退出。公司也可以选择使用一个单一链接来管理这两个选项。如果公司因选择退出而收取费用，则必须向消费者清楚说明任何经济补偿。公司必须尊重消费者发出的选择退出偏好信号，并确保员工了解这些权利。对于企业而言，处理消费者选择退出请求必须合规且透明，包括针对 16 岁以下消费者。此外，未经消费者再次同意，他们不得在至少一年内使用或出售这些信息。如果企业将请求重定向或与他人共享信息，则这些方只能将数据用于其提供的特定服务。合同中关于这些权利的谬误或限制均无效。

本法律条款解释了加利福尼亚州消费者隐私权和数据保护相关的各种术语。“广告和营销”指为鼓励购买而进行的传播。“汇总消费者信息”指关于群体而非个人的数据。“生物识别信息”包括用于身份识别的指纹等特征。“企业”被定义为处理消费者数据并符合特定标准的营利性实体。“个人信息”涵盖可识别或与个人关联的数据，例如姓名、地址等。法律还详细阐述了数据使用的“商业目的”，包括服务履行和安全。“同意”要求消费者明确同意数据使用，“承包商”和“服务提供商”在处理数据方面负有特定责任。其他定义包括“跨情境行为广告”和“暗模式”等概念，这些概念影响消费者互动和隐私。

本节概述了加州特定隐私法对企业施加的义务的各种豁免情况。它允许企业在不面临限制的情况下，遵守传票或调查等法律义务，在紧急情况下进行合作，或在加州境外开展某些商业活动。它也不适用于受其他法律管辖的敏感领域，如医疗、金融和教育信息。其他豁免涵盖与员工信息、非商业活动以及与车辆维修、研究和信用报告相关的某些类型数据有关的活动。消费者的删除和信息请求等权利在特定情况下（例如工作职责或官方调查）受到限制。最后，如果服务提供商或第三方滥用个人信息，只要企业在共享时不知道任何潜在的违规行为，企业就不承担责任。

本法律条款规定，某些医疗和健康相关信息不属于本篇所列隐私规则的管辖范围。它特别豁免了已受加州和联邦现有法律（如HIPAA）管辖的医疗信息。这包括医疗保健提供者、受保实体及其业务伙伴在遵守HIPAA规则的情况下管理的医疗数据。本条款还涵盖了在特定条件下的去识别化信息和研究数据。如果任何数据被重新识别，则必须遵守相关的隐私法律。此外，本条款还根据联邦法规定义了“业务伙伴”、“受保实体”和“受保护健康信息”等关键术语。

本节禁止任何人获取已匿名化的数据并试图找出其原始所有者，但某些情况除外。这些情况包括用于医疗治疗、公共卫生目的、符合联邦标准的研究、在严格合同下测试去识别化方法，或法律另有要求时。如果匿名化数据被重新识别，它需要遵守像HIPAA这样的隐私法律。此外，加州任何涉及匿名化健康数据的合同必须声明该数据不能被重新识别，并且只能在这些相同规则下共享。

这项法律允许加州居民在企业未能妥善保护其个人数据，导致个人信息被访问或窃取时，起诉这些企业。如果公司因疏忽导致数据泄露，受影响的消费者可以根据情况，要求每次事件100美元至750美元不等的赔偿金，或更高的金额。法院在评估赔偿金时，会考虑企业不当行为的严重性和持续时间等因素。在提起法定赔偿诉讼之前，消费者必须给企业30天时间来纠正问题。然而，仅仅在泄露发生后修复安全漏洞，并不足以避免诉讼。消费者也可以在不事先通知的情况下，就实际经济损失提起诉讼。这种起诉权仅适用于此类特定违规行为，不包括违反其他法律的情况。

如果企业违反本篇中的隐私法律，每次违规可被处以最高 (2,500) 美元的罚款。如果企业故意处理未满 (16) 岁未成年人的数据，或故意违规，罚款将增至每案 (7,500) 美元。所收取的罚款大部分将用于支持加州隐私保护局执行这些法律的工作，而一小部分将用于隐私相关的补助金基金。

本节在加州州金库内设立了消费者隐私基金。该基金分为三个子基金，每个子基金都有特定的目的和要求：消费者隐私子基金、检察长消费者隐私执法子基金和消费者隐私拨款子基金。因侵犯隐私而产生的罚款和民事罚款的很大一部分将存入这些子基金。前两个子基金分别侧重于支持加州隐私保护局和检察长的活动，而第三个子基金则发放拨款，以促进消费者隐私和在线隐私问题的教育。子基金必须将其资金专门用于其预期目的，不得由立法机关重新分配到其他地方。未被2025年预算案拨款的未使用资金将按特定比例在这些子基金之间重新分配。

本法律明确规定，加州关于企业如何收集和出售个人信息的规定由州政府而非地方政府控制。地方规定不能与这些州规定相抵触或取代它们。

本节概述了总检察长以及自2022年7月起加州隐私保护局的职责，即制定和更新保护消费者隐私的法规。主要领域包括更新个人信息和敏感信息的定义，为消费者设定数据不出售等权利的规则，并确保企业在不欺骗消费者的情况下尊重这些权利。法规还将指导企业如何使用自动化决策以及如何通过审计处理隐私风险。此外，重点还在于协调不同的隐私法规，并确保所有消费者沟通清晰易懂且无障碍。该法律还为这些规则的制定和执行设定了明确的时间表。

这项法律规定，如果有人为了规避隐私规定而设置一系列交易或步骤，法院或机构将不予理会这些步骤。例如，如果企业向第三方提供信息以规避关于出售或共享数据的规定，就可能发生这种情况。如果存在有价值的交换，但没有明确的金钱支付，以规避这些规定，也可能发生这种情况。

这项法律规定，合同中任何试图放弃或限制本篇项下权利（特别是获得补救或执行权利的方式）的部分，都将自动无效且不可执行。但是，这并不阻止消费者选择不请求信息、选择退出数据销售，或者在之前选择退出后，允许企业出售或共享他们的个人数据。

本条规定，该法律旨在补充现有的联邦法和州法，只要是允许的。但是，如果它与联邦法或美国宪法或加利福尼亚州宪法相冲突，则不适用。

本节阐明了某一套隐私法何时开始实施。具体而言，这些法律仅在 2020 年 1 月 1 日开始生效，前提是另一项特定的隐私倡议，即《2018 年消费者隐私权法案》，从投票选票中移除。

本条规定，尽管第 1798.198 条有其他规定，第 1798.180 条的规定将在包含本条的法律生效后立即开始适用。

本法律条款概述了机构董事会成员的规定。他们必须在隐私和技术方面具备专业技能，对信息保密，并避免外部影响。在任职期间，他们不能从事与职责冲突的活动或工作，并有权获取机构信息。离职后，他们一年内不能为某些公司工作，两年内不能有偿代表他人在机构面前处理事务，特别是如果目的是影响机构的行动。

这项法律规定，机构的理事会可以允许主席或执行董事在理事会不开会的时候为机构做决定。但是，他们不能在未经全体理事会同意的情况下处理执法行动或制定新规则。

本节阐述了一个机构在《加州消费者隐私法案》（CCPA）方面的职责。该机构负责实施和执行法律，制定规章以支持CCPA，并保护与个人信息相关的隐私权。它还旨在提高公众对隐私风险的认识，向消费者和企业提供指导，并任命一名首席隐私审计师进行合规检查。此外，该机构将就隐私立法提供建议，监测技术发展，与其他隐私机构合作，为企业提供自愿合规认证，批准拨款申请，并在消费者隐私与企业影响之间取得平衡。

本节允许机构根据公民投诉或主动调查企业或服务提供商的潜在违规行为。如果机构认为没有违规意图，或者企业在被通知之前已采取措施纠正问题，机构可以选择不调查。机构必须将他们的决定和理由告知投诉人，但与调查相关的任何保密或特权信息不会在回复中披露。

在机构决定是否有足够理由相信某个商家、服务提供商、承包商或个人违反了规定之前，必须至少提前30天通知他们涉嫌的违规行为。此通知必须通过挂号信或法律文书送达，并附上证据摘要。被通知方有权出席任何讨论潜在违规的机构会议，并可由律师陪同。如果他们希望会议公开，可以书面提出请求；否则，会议将不公开进行。

如果政府机构认为有人违反了这项隐私法，他们将举行听证会来查明情况。机构将遵循特定的听证规则。如果他们发现违规行为，可以要求当事人停止违规并支付罚款。对于一般违规行为，罚款最高可达2,500美元；如果是故意为之或涉及儿童个人信息，罚款最高可达7,500美元。大部分罚款将存入一个特殊的消费者隐私基金。如果不止一人负责，则每个人都对罚款负有全部责任。

如果政府机构不同意行政法法官作出的裁决，它必须书面明确解释驳回该裁决的原因。

如果政府机构施加了行政罚款但未获支付，该机构可以将此事提交法院追讨。他们可以选择根据罚款金额，在小额索赔法庭或更高级别的法院提起诉讼，但只能在最初施加罚款的县进行。要赢得此案，机构必须证明罚款是合法施加的，当事人已收到通知，并且已提出付款要求但未获履行。机构在施加罚款后，有长达四年的时间启动这一法院程序。

这项法律允许政府机构在无人对行政罚款提出异议，或所有法庭挑战尝试结束后，将行政罚款转化为法院判决。为此，机构必须向发出罚款的法院提出申请，并出示最终命令的证明。法院书记员随后立即将其记录为判决，使其像任何其他法院裁决一样具有强制执行力。然而，在所有法律审查解决后，机构有长达四年的时间采取此行动，并且此程序是其可能采取的任何其他法律行动之外的额外选择。

这项法律规定，如果企业、服务提供商、承包商或个人违反隐私规定，他们可能面临每次违规最高2,500美元的罚款，如果是故意违规或涉及未成年人数据，则最高7,500美元。这些罚款的大部分将用于资助总检察长执行隐私法的工作。部分资金可能会根据调查情况存入其他基金。如果总检察长接手案件，其他机构必须暂停其行动，除非总检察长决定退出。如果对同一违规行为已经做出了决定或命令，他们就不能再采取行动。最后，这项法律不影响个人根据另一条款（1798.150）提起诉讼的权利。

本法律条款阐述了加州某特定机构的资金和运营指南，包括州政府提供的500万美元初始预算，以及此后每年1000万美元（根据生活成本调整）的预算。财政部负责将这些金额纳入预算报告。司法部长将在该机构聘用自己的工作人员之前提供支持，费用由该机构承担。自2025年起，该机构将每两年根据消费者物价指数调整财务门槛。这些调整旨在与通货膨胀保持一致，并且不受标准法规制定程序的约束。

如果商家违反了某些规定，如果他们真诚地尝试合作，他们可能面临的任何罚款或处罚可能会降低。他们不必为同一个错误同时支付行政罚款和民事罚款。