California SB 354 dapat memperkenalkan undang -undang privasi baru untuk perusahaan teknologi yang melayani industri asuransi | Fenwick & West LLP

Deskripsi Umum RUU Senat 354

California sekali lagi berada di garis depan peraturan privasi, kali ini dengan pendekatan yang kuat di sektor asuransi.

RUU Senat 354 yang diusulkan oleh California, dirancang sebagai undang -undang perlindungan konsumen asuransi 2025 (“hukum ICPP” atau “hukum”), jika diumumkan, akan memperkenalkan peningkatan rezim privasi untuk sektor asuransi. Pembelanya menegaskan bahwa undang -undang ICPP melampaui perlindungan yang ditemukan dalam undang -undang privasi konsumen saat ini di California, termasuk undang -undang informasi asuransi dan perlindungan privasi California (“IIPPA”) dan hukum privasi konsumen California, dimodifikasi oleh undang -undang hak privasi California (secara kolektif, “CCPA”).

Undang -undang IPCC telah membersihkan Senat dan sekarang harus menyetujui majelis rendah negara sebelum gubernur mempertimbangkan tanda tangan. Jika diumumkan seperti yang ditulis saat ini, undang -undang ICPP akan membuat kerangka kerja spesifik dari sektor ini yang secara langsung berdampak pada lisensi asuransi ICPP

Mengapa industri teknologi harus diperhatikan

IIPPA hanya berlaku untuk agen berlisensi, pelari dan perusahaan asuransi; Sementara undang -undang ICPP akan berlaku untuk pemegang lisensi asuransi dan penyedia layanan eksternal yang menyediakan layanan untuk industri asuransi.

Undang -undang ICPP mendefinisikan “pemegang lisensi” sebagai orang berlisensi, berwenang untuk beroperasi, mendaftar, atau mensyaratkan bahwa itu adalah lisensi, berwenang atau terdaftar, termasuk perusahaan asuransi, produser, perusahaan asuransi jalur surplus dan direktur, resmi, karyawan atau agen pemegang lisensi. RUU ini juga mendefinisikan “Penyedia Layanan Partai Ketiga” seperti organisasi mana pun, termasuk direktur, pejabat, karyawan dan agen, yang mempekerjakan dengan penerima lisensi asuransi dan yang memberikan layanan kepada pemegang lisensi asuransi dan proses, tindakan atau diizinkan akses ke informasi pribadi melalui penyediaan layanan mereka ke lisensi asuransi.

Selain itu, undang -undang ICPP yang diusulkan memperluas definisi “penyedia layanan pihak ketiga” untuk memasukkan organisasi apa pun yang dapat berbagi informasi pribadi atau publik yang tersedia sehubungan dengan transaksi asuransi, bahkan jika orang atau organisasi tersebut tidak memiliki kontrak dengan lisensi asuransi.

Ini berarti bahwa perusahaan teknologi mana pun yang “memproses” (didefinisikan untuk memasukkan, menggunakan, berbagi, menyimpan, mengungkapkan, menganalisis, menghilangkan, mempertahankan atau memodifikasi) informasi pribadi atas nama pemegang lisensi asuransi California akan tunduk pada persyaratan hukum, bahkan jika perusahaan teknologi tersebut tidak memiliki hubungan kontrak langsung dengan lisensi asuransi. Ini termasuk perusahaan yang menyediakan layanan untuk asuransi asuransi atau perantara atau data yang terkait dengan asuransi, bahkan jika bisnis utama mereka tidak terkait dengan asuransi. Persyaratan undang -undang berlaku untuk informasi pribadi yang diproses sehubungan dengan transaksi asuransi, serta data yang dikumpulkan oleh lisensi asuransi atau penyedia layanan pihak ketiga dari pemegang lisensi melalui kegiatan yang, meskipun mungkin periferal atau tidak terkait dengan transaksi asuransi, menyiratkan pemrosesan data terkait asuransi.

Persyaratan kepatuhan utama untuk perusahaan teknologi

Jika diadopsi, undang -undang ICPP akan memerlukan lisensi asuransi dan penyedia layanan pihak ketiga mereka untuk mematuhi standar privasi yang ketat. Beberapa ketentuan penting yang harus dipertimbangkan oleh perusahaan teknologi termasuk:

1. Pemberitahuan privasi yang jelas dan mencolok: Undang -undang akan memberi konsumen hak untuk menerima pemberitahuan tentang bagaimana pemegang lisensi dan orang lain akan memproses informasi pribadi mereka. Sementara kewajiban utama untuk memberikan pemberitahuan tersebut disampaikan kepada pemegang lisensi, perusahaan teknologi yang bertindak sebagai pemasok layanan pihak ketiga diwajibkan untuk memberikan pemberitahuan kepada konsumen ketika memproses informasi pribadi terlepas dari pemegang lisensi, seperti melalui situs web mereka sendiri atau untuk tujuan yang tidak terkait dengan transaksi asuransi. Jika perusahaan teknologi tidak hanya beroperasi di bawah kontrak yang ditulis dengan pemegang lisensi atau menggunakan informasi pribadi di luar ruang lingkup kontraknya dengan pemegang lisensi, perusahaan teknologi harus mempublikasikan dan mematuhi pemberitahuan privasi sendiri. Namun, ketika pemrosesan dilakukan secara eksklusif atas nama pemegang lisensi di bawah kontrak, pemberitahuan privasi lulusan umumnya mengatur kecuali perusahaan teknologi yang bertindak sebagai penyedia layanan eksternal secara tegas didelegasikan untuk memberikan pemberitahuan.
2. Persetujuan konsumen: Undang -undang ICPP mensyaratkan bahwa perizinan asuransi dan penyedia layanan pihak ketiga memperoleh persetujuan konsumen untuk segala penggunaan informasi pribadi dari konsumen yang tidak terkait dengan transaksi asuransi. Ini berarti bahwa perizinan asuransi dan perusahaan teknologi harus menerapkan mekanisme untuk menangkap dan mencatat persetujuan konsumen, memastikan bahwa itu spesifik, terinformasi, dan tegas.
3. Kebijakan minimalisasi dan retensi data: Perusahaan teknologi harus mengikuti ketentuan retensi dan pembuangan data yang dijelaskan dalam kontrak mereka dengan pemegang lisensi dan harus mengadopsi praktik minimalisasi data, mengumpulkan dan menyimpan hanya informasi pribadi yang diperlukan untuk transaksi asuransi. Selain itu, mereka harus dengan aman menghancurkan informasi pribadi yang tidak lagi diperlukan.
4. Pengawasan Pemasok Layanan Eksternal: Undang -undang memberikan penekanan signifikan pada pengawasan penyedia layanan pihak ketiga. Lisensi asuransi harus menghubungkan penyedia layanan pihak ketiga, termasuk perusahaan teknologi, kontrak yang mengatur pemrosesan informasi pribadi, termasuk sifat dan tujuan pemrosesan, jenis informasi pribadi yang terlibat, durasi pemrosesan dan pembatasan penggunaan pemasok layanan informasi pribadi -bagian hanya untuk penyediaan layanan ke lisensi.
5. Larangan penjualan informasi pribadi: Penjualan informasi pribadi akan sangat dilarang. Menurut hukum, “penjualan” didefinisikan sebagai “pertukaran informasi pribadi dengan pihak ketiga untuk pertimbangan moneter atau berharga lainnya.” Perusahaan teknologi harus memastikan bahwa mereka tidak berpartisipasi dalam penjualan informasi pribadi dan bahwa setiap pertukaran informasi dilakukan sesuai dengan hukum.
6. Hak konsumen: RUU tersebut akan memberi konsumen hak yang diperluas untuk mengakses, memperbaiki, mengubah, atau menghilangkan informasi pribadi mereka. Perusahaan teknologi harus siap untuk menanggapi permintaan konsumen dengan cepat dan tepat, memberikan informasi yang diperlukan dan membuat koreksi, amandemen, atau penghapusan yang diperlukan.

Kewajiban Langsung dan Langkah Tindakan untuk Perusahaan Teknologi

Implikasi yang mungkin dari undang -undang ICPP untuk sektor teknologi adalah signifikan. Jika disetujui, RUU tersebut akan memberlakukan kewajiban langsung dan afirmatif kepada penyedia layanan pihak ketiga, tidak hanya untuk melisensikan asuransi sendiri. Tingkat pengawasan peraturan ini baru bagi banyak perusahaan teknologi yang beroperasi di ruang asuransi dan akan membutuhkan pemikiran ulang mendasar dari program pemerintah, manajemen kontrak, dan kepatuhan data.

Perusahaan teknologi yang menyediakan layanan asuransi harus memantau dengan cermat pengembangan SB 354 dan mempertimbangkan meninjau dan memperbarui kontrak mereka dengan klien asuransi, memetakan dan mengevaluasi aliran data mereka dan menerapkan sistem manajemen persetujuan yang solid. Tindakan keamanan dan privasi bersama dengan protokol respons insiden mungkin karena penguatan, dan proses untuk mendukung permintaan data konsumen harus ditetapkan. Perencanaan kepatuhan proaktif sangat penting untuk menghindari sanksi peraturan dan mempertahankan hubungan komersial yang andal dengan gelar asuransi.

Kesimpulan

Undang -undang ICPP yang diusulkan merupakan perubahan signifikan dalam pendekatan California untuk privasi data asuransi dengan implikasi langsung dan tinggi untuk perusahaan teknologi yang menyediakan layanan untuk sektor asuransi. Komisaris Asuransi California dan Departemen Asuransi akan diberdayakan dengan otoritas aplikasi yang signifikan berdasarkan hukum. Itu juga akan memberikan otoritas besar Departemen Asuransi California untuk menyelidiki, mengadakan dengar pendapat dan mengeluarkan penghentian dan pesanan penghentian.

Sanksi untuk pelanggaran pengetahuan dapat bervariasi dari $ 5.000 hingga $ 1 juta bersama -sama untuk berbagai pelanggaran, dengan denda tambahan untuk kejahatan berulang. Layanan Layanan Bisnis Teknologi Pihak Ketiga harus dilakukan dengan penghargaan dengan pasangan peraturan. Kami merekomendasikan perusahaan teknologi untuk meninjau praktik pemrosesan data mereka, perjanjian kontrak dan sistem manajemen hak -hak konsumen untuk menjamin persiapan untuk persetujuan dan implementasi undang -undang yang mungkin.