米国 NY州 プライバシー保護法 (New York privacy act) に再チャレンジ
こんにちは、丸山満彦です。
ニューヨーク州の議会にプライバシー保護法案があがっていますね。。。
・2022.01.06 Bill No.: A00680 New York privacy act
・[PDF]
・2022.01.06 Bill No.: A00680 New York privacy act
ほぼ機械翻訳なので、概要を理解する程度に...
| Section 1. Short title. This act shall be known and may be cited as the "New York privacy act". | セクション 1. 短いタイトル。この法律は、「ニューヨーク・プライバシー法」として知られ、引用されることがある。 |
| § 2. Legislative intent. | § 2. 立法趣旨 |
| 1. Privacy is a fundamental right and an essential element of freedom. Advances in technology have produced rampant growth in the amount and categories of personal data being generated, collected, stored, analyzed, and potentially shared, which presents both promise and peril. Companies collect, use and share our personal information in ways that can be difficult for ordinary consumers to understand. Opaque data processing policies make it impossible to evaluate risks and compare privacy-related protections across services, stifling competition. Algorithms quietly make decisions with critical consequences for New York consumers, often with no human accountability. | 1. プライバシーは基本的な権利であり、自由の不可欠な要素である。技術の進歩により、生成、収集、保存、分析、共有される可能性のある個人データの量と種類は急激に増加しており、期待と危険の両方をもたらしている。企業は、一般消費者には理解しがたい方法で個人情報を収集、使用、共有しています。不透明なデータ処理ポリシーにより、リスクを評価したり、サービス間でプライバシー関連の保護を比較することができず、競争が阻害されています。アルゴリズムは、ニューヨークの消費者に重大な影響を与える決定を黙々と行い、多くの場合、人間による説明責任を果たしない。 |
| Behavioral advertising generates profits by turning people into products and their activity into assets. New York consumers deserve more notice and more control over their data and their digital privacy. | 行動広告は、人々を商品に変え、その活動を資産に変えることで利益を生み出する。ニューヨークの消費者は、自分のデータとデジタル・プライバシーについて、より多くの告知と管理を受けるべきである。 |
| 2. This act seeks to help New York consumers regain their privacy. It gives New York consumers the ability to exercise more control over their personal data and requires businesses to be responsible, thoughtful, and accountable managers of that information. To achieve this, this act provides New York consumers a number of new rights, including clear notice of how their data is being used, processed and shared; the ability to access and obtain a copy of their data in a commonly used electronic format, with the ability to transfer it between services; the ability to correct inaccurate data and to delete their data; and the ability to challenge certain automated decisions. This act also imposes obligations upon businesses to maintain reasonable data security for personal data, to notify New York consumers of foreseeable harms arising from use of their data and to obtain specific consent for that use, and to conduct regular assessments to ensure that data is not being used for unacceptable purposes. These data assessments can be obtained and evaluated by the New York State Attorney General, who is empowered to obtain penalties for violations of this act and prevent future violations. This act also grants New York consumers who have been injured as the result of a violation a private right of action, which includes reasonable attorneys' fees to a prevailing plaintiff. | 2. この法律は、ニューヨークの消費者がプライバシーを取り戻すことを支援するものである。この法律は、ニューヨークの消費者が自分の個人データをよりコントロールできるようにし、企業が責任を持って思慮深く、説明責任を持ってその情報を管理することを求めるものである。具体的には、自分のデータがどのように使われ、処理され、共有されているかを明確に通知すること、一般的に使用されている電子フォーマットで自分のデータにアクセスし、そのコピーを入手し、サービス間でデータを転送することができること、不正確なデータを修正し、自分のデータを削除することができること、特定の自動化された決定に異議を唱えることができること、などが挙げられます。この法律はまた、個人データの合理的なセキュリティを維持すること、ニューヨークの消費者に自分のデータの使用から生じる予測可能な害について通知し、その使用について具体的な同意を得ること、データが許容できない目的で使用されていないことを確認するために定期的な評価を行うこと、などの義務を企業に課しています。これらのデータ評価は、ニューヨーク州の検事総長が入手して評価することができ、検事総長は本法の違反に対する罰則を獲得し、将来の違反を防止する権限を有しています。また、本法は、違反行為の結果として損害を受けたニューヨーク州の消費者に、勝訴した原告に対する合理的な弁護士費用を含む私的訴訟権を付与するものである。 |
| § 3. The general business law is amended by adding a new article 42 to read as follows: | § 3. 一般商取引法を改正し、新たに第42条を追加して次のように読み替える。 |
| ARTICLE 42 NEW YORK PRIVACY ACT Section 1100. Definitions. | 第42条 NEW YORK PRIVACY ACT 第1100条。定義 |
| 1101. Jurisdictional scope. | 1101. 管轄権の範囲 |
| 1102. Consumer rights. | 1102. 消費者の権利 |
| 1103. Controller, processor, and third-party responsibilities. | 1103. 管理者・処理事業者・第三者の責任 |
| 1104. Data brokers. | 1104. データブローカー |
| 1105. Limitations. | 1105. 制限事項 |
| 1106. Enforcement and private right of action. | 1106. 施行及び私的訴訟権 |
| 1107. Miscellaneous. | 1107. その他 |
| § 1100. Definitions. The following definitions apply throughout this article unless the context clearly requires otherwise: | § 1100. 第1条 定義 以下の定義は、文脈上明らかに別の意味を持つ場合を除き、本条全体に適用される。 |
| 1. "Automated decision-making" or "automated decision" means a computational process, including one derived from machine learning, artificial intelligence, or any other automated process, involving personal data that results in a decision affecting a consumer. | 1. 「自動化された意思決定」または「自動化された決定」とは、機械学習、人工知能、またはその他の自動化されたプロセスに由来するものを含む、消費者に影響を与える決定をもたらす個人データを含む計算プロセスをいう。 |
| 2. "Biometric information" means any personal data generated from the measurement or specific technological processing of an individual's biological, physical, or physiological characteristics, including fingerprints, voice prints, iris or retina scans, facial scans or templates, deoxyribonucleic acid (DNA) information, and gait. | 2. 「バイオメトリック情報」とは、指紋、声紋、虹彩・網膜スキャン、顔面スキャンまたはテンプレート、デオキシリボ核酸(DNA)情報、歩行など、個人の生物学的、物理学的、生理学的特性の測定または特定の技術的処理から生成される個人データを意味する。 |
| 3. "Business associate" has the same meaning as in Title 45 of the C.F.R., established pursuant to the federal Health Insurance Portability and Accountability Act of 1996. | 3. 「業務提携者」とは、1996年の連邦医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act of 1996)に基づいて制定された連邦規則集のタイトル45と同じ意味を持つ。 |
| 4. "Consent" means a clear affirmative act signifying a freely given, specific, informed, and unambiguous indication of a consumer's agreement to the processing of data relating to the consumer made in response to a dedicated prompt outlining in clear and conspicuous language the material nature of the processing to which the consumer is consenting. A pre-checked box or similar default is not affirmative consent. Consent may be withdrawn at any time, and a controller must provide clear, conspicuous, and consumer-friendly means to withdraw consent. The burden of establishing consent is on the controller. | 4. 「同意」とは、消費者が同意する処理の重要な性質を明確かつ目立つ言葉で説明する専用のプロンプトに応答して、消費者に関連するデータ処理に自由に与えられた、具体的で十分な情報を得た上での曖昧さのない同意を意味する明確な肯定的行為を意味する。事前にチェックされたボックスまたは同様のデフォルトは、肯定的な同意ではありない。同意は、いつでも撤回することができ、管理者は、同意を撤回するための明確でわかりやすい、消費者にとって使いやすい手段を提供しなければならない。同意を立証する責任は、管理者にあります。 |
| 5. "Consumer" means a natural person who is a New York resident acting only in an individual or household context. It does not include a natural person known to be acting in a commercial or employment context. | 5. 「消費者」とは、個人または家庭内でのみ行動するニューヨーク在住の自然人を意味する。消費者」とは、個人または家庭内でのみ行動するニューヨーク在住の自然人を意味し、商業または雇用のために行動していることが知られている自然人は含まれない。 |
| 6. "Controller" means the person who, alone or jointly with others, determines the purposes and means of the processing of personal data. | 6. 「管理者」とは、単独または他者と共同で、個人データの処理の目的および手段を決定する者をいう。 |
| 7. "Covered entity" has the same meaning as in Title 45 of the C.F.R., established pursuant to the federal Health Insurance Portability and Accountability Act of 1996. | 7. 「対象事業者」とは、1996年に制定された連邦医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act of 1996)に基づいて制定された連邦規則集のタイトル45と同じ意味を持つ。 |
| 8. "Data broker" means a person, or unit or units of a legal entity, separately or together, that does business in the state of New York and knowingly collects, and sells to controllers or third-parties, the personal data of a consumer with whom it does not have a direct relationship. "Data broker" does not include any of the following: | 8. 「データブローカー」とは、ニューヨーク州で事業を行い、直接の関係を持たない消費者の個人データを故意に収集し、管理者または第三者に販売する個人または法人の単位を、個別にまたは合同で意味する。なお、「データブローカー」には以下のものは含まれない。 |
| (a) a consumer reporting agency to the extent that it is covered by the federal Fair Credit Reporting Act (15 U.S.C. Sec. 1681 et seq.); or | (a) 連邦公正信用報告法(15 U.S.C. Sec. 1681 et seq.)が適用される範囲内の消費者報告機関、または |
| (b) a financial institution to the extent that it is covered by the Gramm-Leach-Bliley Act (Public Law 106-102) and implementing regulations. | (b) Gramm-Leach-Bliley Act (Public Law 106-102)およびその施行規則の適用を受ける金融機関。 |
| 9. "Deidentified data" means data that cannot reasonably be used to infer information about, or otherwise be linked to a particular consumer, provided that the processor or controller that possesses the data: | 9. 「非識別データ」とは、特定の消費者に関する情報を推測するために合理的に使用することができず、またその他の方法で特定の消費者に結びつけることができないデータをいいます。ただし、データを保有する処理事業者または管理者は、以下の条件を満たす必要があります。 |
| (a) takes reasonable measures to ensure that the data cannot be associated with a consumer or device; | (a) データを消費者または機器と関連付けることができないように、合理的な手段を講じる。 |
| (b) publicly commits to process the data only as deidentified data and not attempt to reidentify the data, except that the controller or processor may attempt to reidentify the information solely for the purpose of determining whether its deidentification processes satisfy the requirements of this subdivision; and | (b) 識別解除されたデータとしてのみデータを処理し、データの再識別を試みないことを公的に約束する。ただし、管理者または処理事業者は、その識別解除プロセスが本細則の要件を満たしているかどうかを判断する目的に限り、情報の再識別を試みることができる;および |
| (c) contractually obligates any recipients of the data to comply with all provisions of this article. | (c) データの受領者に対して、本条のすべての規定を遵守するように契約で義務付ける。 |
| 10. "Device" means any physical object that is capable of connecting to the Internet, directly or indirectly, or to another device and is intended for use by a natural person or household or, if used outside the home, for use by the general public. | 10. 「デバイス」とは、直接的または間接的にインターネットに接続することができるか、または他のデバイスに接続することができる物理的な物体で、自然人または家庭で使用することが意図されているか、家庭外で使用する場合には一般大衆が使用することが意図されているものをいう。 |
| 11. "Meaningful human review" means review or oversight by one or more individuals who (a) are trained in the capabilities and limitations of the algorithm at issue and the procedures to interpret and act on the output of the algorithm, and (b) have the authority to alter the automated decision under review. | 11. 「意味のある人間によるレビュー」とは、(a)問題となっているアルゴリズムの能力と限界、およびアルゴリズ ムの出力を解釈して行動する手順について訓練を受け、(b)レビュー中の自動化された意思決定を変更する権限を持つ、 1人以上の個人によるレビューまたは監督を意味する。 |
| 12. "Natural person" means a natural person acting only in an individual or household context. It does not include a natural person known to be acting in a commercial or employment context. | 12. 「自然人」とは、個人または家庭の文脈でのみ行動する自然人を意味する。商業的または雇用的な文脈で行動していることが知られている自然人は含まれない。 |
| 13. "Person" means a natural person or a legal entity, including but not limited to a proprietorship, partnership, limited partnership, corporation, company, limited liability company or corporation, association, or other firm or similar body, or any unit, division, agency, department, or similar subdivision thereof. | 13. 「個人」とは、自然人または法人を意味する。これには、個人事業主、パートナーシップ、リミテッド・パートナーシップ、法人、会社、リミテッド・ライアビリティー・カンパニーまたはコーポレーション、アソシエーション、その他の会社または類似の団体、またはそのユニット、ディビジョン、エージェンシー、部門、または類似のサブディビジョンが含まれますが、これらに限定されない。 |
| 14. "Personal data" means any data that is identified or could reasonably be linked, directly or indirectly, with a specific natural person, household, or device. Personal data does not include deidentified data. | 14. 「個人データ」とは、直接的または間接的に特定の自然人、世帯、または機器と識別されるか、または合理的に結び付けられる可能性のあるデータを意味する。個人データには、非識別データは含まれない。 |
| 15. "Identified or identifiable natural person" means a natural person who can be identified, directly or indirectly, such as by reference to an identifier such as a name, an identification number, location data, or an online or device identifier. | 15. 「識別されたまたは識別可能な自然人」とは、氏名、識別番号、位置情報、オンラインまたはデバイスの識別子などの識別子を参照することにより、直接的または間接的に識別可能な自然人を意味する。 |
| 16. "Process," "processes" or "processing" means an operation or set of operations which are performed on data or on sets of data, including but not limited to the collection, use, access, sharing, monetization, analysis, retention, creation, generation, derivation, recording, organization, structuring, storage, disclosure, transmission, analysis, disposal, licensing, destruction, deletion, modification, or deidentification of data. | 16. 「プロセス」とは、データの収集、使用、アクセス、共有、収益化、分析、保持、作成、生成、派生、記録、組織、構造化、保存、開示、送信、分析、廃棄、ライセンス供与、破壊、削除、修正、または識別解除を含むがこれらに限定されない、データまたはデータの集合に対して実行される操作または操作の集合を意味する。 |
| 17. "Processor" means a person that processes data on behalf of the controller. | 17. 「処理事業者」とは、管理者の代わりにデータを処理する者をいう。 |
| 18. "Protected health information" has the same meaning as in Title 45 C.F.R., established pursuant to the federal Health Insurance Portability and Accountability Act of 1996. | 18. 「保護されるべき健康情報」とは、1996年に制定された連邦医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act of 1996)に基づいて制定された連邦規則集第45巻と同じ意味を持つ。 |
| 19. "Sale," "sell," or "sold" means the disclosure, transfer, conveyance, sharing, licensing, making available, processing, granting of permission or authorization to process, or other exchange of personal data, or providing access to personal data for monetary or other valuable consideration by the controller to a third-party. "Sale" includes enabling, facilitating or providing access to a consumer for targeted advertising. "Sale" does not include the following: | 19. 「販売」とは、管理者が第三者に対して金銭的またはその他の価値ある対価のために、個人データの開示、移転、伝達、共有、ライセンス供与、利用可能にすること、処理、処理の許可または承認の付与、その他の交換、または個人データへのアクセスを提供することを意味する。「販売」には、ターゲット広告のために消費者へのアクセスを可能にすること、容易にすること、または提供することが含まれます。"販売 "には以下のものは含まれない。 |
| (a) the disclosure of data to a processor who processes the data on behalf of the controller and which is contractually prohibited from using it for any purpose other than as instructed by the controller; or | (a) 管理者に代わってデータを処理し、管理者の指示以外の目的でデータを使用することを契約上禁止されている処理事業者へのデータの開示、または |
| (b) the disclosure or transfer of data as an asset that is part of a merger, acquisition, bankruptcy, or other transaction in which another entity assumes control or ownership of all or a majority of the controller's assets. | (b) 合併、買収、破産、または他の事業体が管理者の資産の全部または大部分を支配または所有するその他の取引の一部である資産としてデータを開示または移転すること。 |
| 20. "Targeted advertising" means displaying online advertisements to a consumer where the advertisement is selected based on personal data obtained from a consumer's activities over time and across one or more distinctly-branded websites, online applications, or services, to predict the consumer's preferences or interests. It does not include advertising | 20. 「ターゲティング広告」とは、消費者の好みや関心を予測するために、消費者の長期にわたる活動や、1つまたは複数の異なるブランドのウェブサイト、オンラインアプリケーション、またはサービスから得られた個人データに基づいて広告を選択し、消費者にオンライン広告を表示することをいいます。 なお、以下の広告は含まれない。 |
| (a) based on the context of the consumer's current search query or visit to a website or online application, or | (a)消費者の現在の検索クエリまたはウェブサイトもしくはオンラインアプリケーションへの訪問の文脈に基づく広告、または |
| (b) to a consumer in direct response to the consumer's request for information or feedback. | (b)消費者からの情報またはフィードバックの要求に直接応答する消費者への広告 |
| 21. "Third-party" means, with respect to a particular interaction or occurrence, a person, public authority, agency, or body other than the consumer, the controller, or processor of the controller. A third party may also be a controller if the third party, alone or jointly with others, determines the purposes and means of the processing of personal data. | 21. 「第三者」とは、特定の相互作用または発生に関して、消費者、管理者、または管理者の処理事業者以外の個人、公的機関、代理店、または団体を意味する。第三者が単独で、または他者と共同で、個人データの処理の目的および手段を決定する場合は、第三者も管理者となることができる。 |
| 22. "Verified request" means a request by a consumer to exercise a right authorized by this article, the authenticity of which has been ascertained by the controller in accordance with paragraph (c) of subdivision eight of section eleven hundred two of this article. | 22. 「検証された要求」とは、本条で認められた権利を行使するための消費者による要求であって、その真正性が本条第1102節第8項のパラグラフ(c)に従って管理者によって確認されたものをいう。 |
| § 1101. Jurisdictional scope. 1. This article applies to legal persons that conduct business in New York or produce products or services that are targeted to residents of New York, and that satisfy one or more of the following thresholds: | § 1101. 管轄権の範囲 1. 本条は、ニューヨークで事業を行う法人、またはニューヨークの居住者を対象とした製品もしくはサービスを生産する法人で、以下の基準の1つ以上を満たす法人に適用される。 |
| (a) have annual gross revenue of twenty-five million dollars or more; | (a) 年間総収入が2,500万ドル以上であること。 |
| (b) controls or processes personal data of one hundred thousand consumers or more; | (b) 10万人以上の消費者の個人データを管理・処理している。 |
| (c) controls or processes personal data of five hundred thousand natural persons or more nationwide, and controls or processes personal data of ten thousand consumers; or | (c) 全国で50万人以上の自然人の個人情報を管理・処理し、かつ1万人の消費者の個人情報を管理・処理している。 |
| (d) derives over fifty percent of gross revenue from the sale of personal data, and controls or processes personal data of twenty-five thousand consumers or more. | (d) 総収入の50%以上を個人データの販売から得ており、2万5千人以上の消費者の個人データを管理または処理している場合。 |
| 2. This article does not apply to: | 2. 本条は以下には適用されない。 |
| (a) Personal data processed by state and local governments, and municipal corporations, for processes other than sale (filing and processing fees are not sale); | (a) 州政府、地方自治体、および地方自治体の法人が、販売以外のプロセスで処理する個人データ(申請料および処理料は販売ではない)。 |
| (b) Information that meets the following criteria: | (b) 以下の条件を満たす情報。 |
| (i) personal data required to be collected, processed, sold, or disclosed pursuant to the federal Gramm-Leach-Bliley act (P.L. 106-102), and implementing regulations, if the collection, processing, sale, or disclosure is in compliance with such law; | (i) 連邦政府のグラム・リーチ・ブライリー法(P.L.106-102)およびその施行規則に従って収集、処理、販売、または開示が必要とされる個人データで、収集、処理、販売、または開示が当該法律に準拠している場合。 |
| (ii) personal data collected, processed, sold, or disclosed pursuant to the federal Driver's Privacy Protection Act of 1994 (18 U.S.C. Sec. 2721 et seq.), if the collection, processing, sale, or disclosure is in compliance with that law; | (ii) 1994年の連邦運転者プライバシー保護法(18 U.S.C. Sec. 2721 et seq.)に基づいて収集、処理、販売、または開示された個人データ(収集、処理、販売、または開示が同法に準拠している場合)。 |
| (iii) personal data regulated by the federal Family Educational Rights and Privacy Act, U.S.C. Sec. 1232g and its implementing regulations; | (iii) 連邦政府のFamily Educational Rights and Privacy Act (U.S.C. Sec. 1232g) およびその施行規則で規制されている個人データ。 |
| (iv) personal data collected, processed, sold, or disclosed pursuant to the federal Farm Credit Act of 1971 (as amended in 12 U.S.C. Sec. 2001-2279cc) and its implementing regulations (12 C.F.R. Part 600 et seq.) if the collection, processing, sale, or disclosure is in compliance with that law; | (iv) 1971年連邦ファームクレジット法(12 U.S.C. Sec. 2001-2279ccで改正)およびその施行規則(12 C.F.R. Part 600 et seq.)に従って収集、処理、販売、または開示された個人データ(収集、処理、販売、または開示が同法に準拠している場合)。 |
| (v) personal data regulated by section two-d of the education law; | (v) 教育法のセクション2-dによって規制される個人データ。 |
| (vi) data maintained for employment records purposes, for purposes other than sale; | (vi) 販売以外の目的で、雇用記録を目的として保持されているデータ。 |
| (vii) protected health information that is collected by a covered entity or business associate governed by the privacy, security, and breach notification rules issued by the United States Department of Health and Human Services, Parts 160 and 164 of Title 45 of the Code of Federal Regulations, established pursuant to the Health Insurance Portability and Accountability Act of 1996 (Public Law 104-191) ("HIPAA") and the Health Information Technology for Economic and Clinical Health Act (Public Law 111-5); | (vii) 1996年医療保険の相互運用性と説明責任に関する法律(Public Law 104-191)(「HIPAA」)および経済・臨床保健のための医療情報技術に関する法律(Public Law 111-5)に基づいて制定された、米国保健社会福祉省(United States Department of Health and Human Services)が発行するプライバシー、セキュリティ、および違反通知に関する規則(Code of Federal RegulationsのTitle 45のPart 160および164)が適用される対象事業者または業務提携者が収集する保護されるべき医療情報。 |
| (viii) patient identifying information for purposes of 42 C.F.R. Part 2, established pursuant to 42 U.S.C. Sec. 290dd-2; | (viii) 42 U.S.C. Sec.290dd-2に基づいて制定された42 C.F.R. Part 2の目的のための患者識別情報。 |
| (ix) information and documents created for purposes of the federal Health Care Quality Improvement Act of 1986, and related regulations; | (ix) 1986年の連邦医療品質向上法及び関連規則を目的として作成された情報及び文書。 |
| (x) patient safety work product for purposes of 42 C.F.R. Part 3, established pursuant to 42 U.S.C. Sec. 299b-21 through 299b-26; | (x) 42 U.S.C. Sec.299b-21から299b-26に基づき制定された42 C.F.R. Part 3を目的とした患者安全作業成果。 |
| (xi) information originating from, and intermingled to be indistinguishable from, or information treated in the same manner as, information exempt under this subdivision that is maintained by a covered entity or business associate as defined by HIPAA or a program or a qualified service organization as defined by 42 U.S.C. § 290dd-2; | (xi) HIPAAにより定義された対象事業者もしくは業務提携者、または42 U.S.C.§290dd-2により定義されたプログラムもしくは適格サービス組織により維持されている、本細則により免除される情報に由来し、それらの情報と区別できないように混ざり合った情報、またはそれらの情報と同じ方法で扱われた情報。 |
| (xii) deidentified health information that meets all of the following conditions: | (xii) 以下の条件をすべて満たす、非識別化された健康情報。 |
| (A) it is deidentified in accordance with the requirements for deidentification set forth in Section 164.514 of Part 164 of Title 45 of the Code of Federal Regulations; | (A) 連邦規則集第 45 編第 164 部第 164.514 項に定められた識別解除の要件に従って識別解除されたもの。 |
| (B) it is derived from protected health information, individually identifiable health information, or identifiable private information consistent with the Federal Policy for the Protection of Human Subjects, also known as the Common Rule; and | (B) 保護されるべき健康情報、個別に識別可能な健康情報、または識別可能な個人情報から派生したものであり、コモン・ルールとして知られる「Federal Policy for the Protection of Human Subjects」に準拠したものであること。 |
| (C) a covered entity or business associate does not attempt to reidentify the information nor do they actually reidentify the information except as otherwise allowed under state or federal law; | (C) 被保険者または業務提携者が、州法または連邦法で認められている場合を除き、情報の再識別を試みず、また実際に情報を再識別しないこと。 |
| (xiii) patient information maintained by a covered entity or business associate governed by the privacy, security, and breach notification rules issued by the United States Department of Health and Human Services, Parts 160 and 164 of Title 45 of the Code of Federal Regulations, established pursuant to the Health Insurance Portability and Accountability Act of 1996 (Public Law 104-191), to the extent the covered entity or business associate maintains the patient information in the same manner as protected health information as described in subparagraph (vii) of this paragraph; | (xiii) 1996年医療保険の相互運用性と説明責任に関する法律(Public Law 104-191)に基づいて制定された、米国保健社会福祉省(United States Department of Health and Human Services)が発行したプライバシー、セキュリティ、および違反通知に関する規則(Code of Federal RegulationsのTitle 45のPart 160および164)が適用される対象事業者または業務提携先が保持する患者情報であって、対象事業者または業務提携先が本項(vii)号に記載された保護されるべき医療情報と同様の方法で患者情報を保持する範囲内のものをいう。 |
| (xiv) data collected as part of human subjects research, including a clinical trial, conducted in accordance with the Federal Policy for the Protection of Human Subjects, also known as the Common Rule, pursuant to good clinical practice guidelines issued by the International Council for Harmonisation or pursuant to human subject protection requirements of the United States Food and Drug Administration; or | (xiv) Common Rule として知られる Federal Policy for the Protection of Human Subjects に従って、International Council for Harmonisation によって発行された Good Clinical Practice Guidelines に従って、または United States Food and Drug Administration のヒト被験者保護要件に従って実施された臨床試験を含むヒト被験者研究の一部として収集されたデータ、または |
| (xv) personal data processed only for one or more of the following purposes: | (xv) 以下の1つまたは複数の目的のためにのみ処理された個人データ。 |
| (A) product registration and tracking consistent with applicable United States Food and Drug Administration regulations and guidance; | (A) 米国食品医薬品局の規制およびガイダンスに準拠した製品の登録および追跡。 |
| (B) public health activities and purposes as described in Section 164.512 of Title 45 of the Code of Federal Regulations; and/or | (B) 連邦規則集のタイトル45の164.512項に記載された公衆衛生活動および目的 |
| (C) activities related to quality, safety, or effectiveness regulated by the United States Food and Drug Administration; | (C) 米国食品医薬品局が規制する品質、安全性、または有効性に関連する活動。 |
| (c) (i) An activity involving the collection, maintenance, disclosure, sale, communication, or use of any personal data bearing on a consumer's credit worthiness, credit standing, credit capacity, character, general reputation, personal characteristics, or mode of living by a consumer reporting agency, as defined in Title 15 U.S.C. Sec. 1681a(f), by a furnisher of information, as set forth in Title 15 U.S.C. Sec. 1681s-2, who provides information for use in a consumer report, as defined in Title 15 U.S.C. Sec. 1861a(d), and by a user of a consumer report, as set forth in Title 15 U.S.C. Sec. 1681b.; and | (c) (i) 米国連邦規則集第15編第1681条に定義される消費者報告機関による、消費者の信用力、信用状態、信用能力、性格、一般的な評判、個人的な特徴、または生活様式に関連する個人データの収集、維持、開示、販売、通信、または使用を含む活動。 また、タイトル15 U.S.C. Sec. 1681a(f)に定義される消費者報告機関、タイトル15 U.S.C. Sec. 1861a(d)に定義される消費者報告書に使用する情報を提供するタイトル15 U.S.C. Sec. 1681s-2に定義される情報提供者、タイトル15 U.S.C. Sec. 1681bに定義される消費者報告書の利用者による消費者の信用力に関わるデータ。 |
| (ii) This paragraph shall apply only to the extent that such activity involving the collection, maintenance, disclosure, sale, communication, or use of such data by that agency, furnisher, or user is subject to regulation under the Fair Credit Reporting Act, Title 15 U.S.C. Sec. 1681 et seq., and the data is not collected, maintained, used, communicated, disclosed, or sold except as authorized by the Fair Credit Reporting Act. | (ii) 本項は、当該機関、提供者、または使用者による当該データの収集、維持、開示、販売、伝達、または使用に関わる活動が、公正信用報告法(Title 15 U.S.C. Sec. 1681 et seq.)に基づく規制の対象であり、かつ、公正信用報告法によって許可された場合を除き、当該データが収集、維持、使用、伝達、開示、または販売されない範囲内でのみ適用される。 |
| § 1102. Consumer rights. 1. Right to notice. (a) Notice. Each controller that processes a consumer's personal data must make publicly and persistently available, in a conspicuous and readily accessible manner, a notice containing the following: | § 1102. 消費者の権利 1. 1. 通知を受ける権利 (a) 通知。消費者の個人データを処理する各管理者は、以下の内容を含む通知を、目立つように、かつ容易にアクセスできる方法で、公にかつ継続的に提供しなければならない。 |
| (i) a description of the consumer's rights under subdivisions two through six of this section and how a consumer may exercise those rights, including how to withdraw consent; | (i) 本項の第2項から第6項までの規定に基づく消費者の権利と、同意を撤回する方法を含め、消費者がこれらの権利を行使する方法の説明。 |
| (ii) the categories of personal data processed by the controller and by any processor who processes personal data on behalf of the controller; | (ii) 管理者および管理者に代わって個人データを処理する処理事業者が処理する個人データのカテゴリー。 |
| (iii) the sources from which personal data is collected; | (iii) 個人データを収集する情報源。 |
| (iv) the purposes for processing personal data; | (iv) 個人データを処理する目的。 |
| (v) the identity of each processor or third party to whom the controller discloses, shares, transfers, or sells personal data and, for each identified processor or third party, | (v) 管理者が個人データを開示、共有、移転、または販売する各処理事業者または第三者の身元、および特定された各処理事業者または第三者については |
| (A) the categories of personal data being shared, disclosed, transferred, or sold to the processor or third party, | (A) 処理事業者または第三者に共有、開示、移転、または販売される個人データのカテゴリー。 |
| (B) the purposes for which personal data is being shared, disclosed, transferred, or sold to the processor or third party, | (B) 個人データが処理事業者または第三者と共有、開示、譲渡、または販売される目的。 |
| (C) the third party's retention period for each category of personal data processed by the third party or processed on their behalf, or if that is not possible, the criteria used to determine the period, and | (C) 第三者によって処理された、または第三者のために処理された個人データの各カテゴリーに対する第三者の保持期間、またはそれが不可能な場合は期間を決定するために使用された基準、および |
| (D) whether the entity uses the personal data for targeted advertising; | (D) 企業がターゲット広告のために個人データを使用するかどうか。 |
| (vi) the controller's retention period for each category of personal data that they process or is processed on their behalf, or if that is not possible, the criteria used to determine that period; and | (vi) 管理者が処理する、または管理者に代わって処理される個人データの各カテゴリーに対する管理者の保存期間、またはそれが不可能な場合は、その期間を決定するために使用された基準;および |
| (vii) for controllers engaging in targeted advertising, average expected revenue per user (ARPU) or a similar metric for the most recent fiscal year for the region that covers New York. | (vii) ターゲティング広告に従事する管理者については、ニューヨークを管轄する地域の直近の会計年度におけるユーザー1人当たりの平均期待収益(ARPU)または同様の指標。 |
| (b) Notice requirements. | (b) 通知の要件。 |
| (i) The notice must be written in easy-to-understand language at an eighth grade reading level or below. | (i) 通知は、中学2年生以下の読解力でわかりやすい言葉で書かれていなければならない。 |
| (ii) The categories of personal data processed and purposes for which each category of personal data is processed must be described at a level specific enough to enable a consumer to exercise meaningful control over their personal data but not so specific as to render the notice unhelpful to a reasonable consumer. | (ii) 処理される個人データのカテゴリーおよび各カテゴリーの個人データが処理される目的は、消費者が自分の個人データに対して意味のあるコントロールを行うことができる程度に具体的に記述されていなければならないが、合理的な消費者にとって通知が役に立たなくなるほど具体的であってはならない。 |
| (iii) The notice must be dated with its effective date and updated at least annually. | (iii) 通知には発効日を記載し、少なくとも年1回は更新しなければならない。 |
| (iv) The notice, as well as each version of the notice in effect in the preceding six years, must be easily accessible to consumers and capable of being viewed by consumers at any time. | (iv) 通知は、過去6年間に有効であった通知の各バージョンと同様に、消費者が容易にアクセスでき、消費者がいつでも見ることができるものでなければならない。 |
| 2. Opt-in consent. | 2. オプトインによる同意 |
| (a) A controller must obtain freely given, specific, informed, and unambiguous opt-in consent from a consumer to: | (a) 管理者は、以下の事項について、消費者から自由に与えられた、具体的な情報に基づく、明確なオプトインの同意を得なければならない。 |
| (i) process the consumer's personal data for any purpose; or | (i) 目的を問わず、消費者の個人データを処理すること。 |
| (ii) make any changes in the processing or processing purpose, including the method and scope of collection, of the consumer's personal data that are less protective of the consumer's personal data than the processing to which the consumer has previously given their freely given, specific, informed, and unambiguous opt-in consent. | (ii) 消費者の個人データの処理または処理目的(収集方法および範囲を含む)を、消費者が以前に自由に与えた特定の情報に基づく明確なオプトインの同意を得た処理よりも消費者の個人データの保護が弱いものに変更する。 |
| (b) Any request for consent must, in a standalone disclosure, be provided to the consumer prior to processing their personal data, separate and apart from any contract or privacy policy. The request for consent must: | (b) 同意の要請は、契約またはプライバシーポリシーとは別に、個人データを処理する前に、独立した情報開示として消費者に提供されなければならない。同意の要請は以下の通りである。 |
| (i) include a clear and conspicuous description of each category of data and processing purpose for which consent is sought; | (i) 同意を求めるデータの各カテゴリーと処理目的について、明確で目立つ説明を含む。 |
| (ii) clearly identify and distinguish between categories of data and processing purposes that are necessary to provide the services or goods requested by the consumer and categories of data and processing purposes that are not necessary to provide the services or goods requested by the consumer; | (ii) 消費者が要求したサービスまたは商品を提供するために必要なデータおよび処理目的のカテゴリーと、消費者が要求したサービスまたは商品を提供するために必要ではないデータおよび処理目的のカテゴリーを明確に識別し、区別すること。 |
| (iii) enable a reasonable consumer to easily identify the categories of data and processing purposes for which consent is sought; | (iii) 合理的な消費者が、同意が求められているデータおよび処理目的のカテゴリーを容易に識別できるようにする。 |
| (iv) clearly present as the most conspicuous choice an option to provide only the consent necessary to provide the services or goods requested by the consumer; | (iv) 最も目立つ選択肢として、消費者が要求したサービスまたは商品の提供に必要な同意のみを提供するという選択肢を明確に提示する。 |
| (v) clearly present an option to deny consent; and | (v) 同意を拒否する選択肢を明確に提示する。 |
| (vi) where the request seeks consent to sharing, disclosure, transfer, or sale of personal data to third parties, identify each such third party, the categories of data sold or shared with them, the processing purposes, the retention period, or if that is not possible, the criteria used to determine the period, and for each third party state if such sharing, disclosure, transfer, or sale enables or involves targeted advertising. The details of identities of such third parties, and the categories of data, processing purposes, and the retention period, may be set forth in a different disclosure, provided that the request for consent contains a conspicuous and directly accessible link to that disclosure. | (vi) 個人データの第三者への共有、開示、移転、または販売への同意を求める場合は、かかる第三者を特定し、第三者と販売または共有するデータのカテゴリー、処理目的、保存期間、またはそれが不可能な場合は期間を決定するために使用する基準を示し、各第三者について、かかる共有、開示、移転、または販売がターゲット広告を可能にする、または関与するかどうかを明記する。このような第三者の身元、データのカテゴリー、処理目的、保存期間の詳細は、同意の要請にその開示への目立った直接アクセス可能なリンクが含まれていることを条件に、別の開示に記載することができる。 |
| (c) Targeted advertising and sale of personal data shall not be considered processing purposes that are necessary to provide services or goods requested by a consumer. | (c) ターゲット広告および個人データの販売は、消費者が要求したサービスまたは商品を提供するために必要な処理目的とはみなされない。 |
| (d) Once a consumer has provided freely given, specific, informed, and unambiguous opt-in consent to process their personal data for a processing purpose, a controller may rely on such consent until it is withdrawn. | (d) 消費者が個人データを処理目的で処理することに自由に与えられた、具体的で、情報を与えられた、曖昧でないオプトインの同意を得た場合、管理者はその同意が撤回されるまでその同意に依拠することができる。 |
| (e) A controller must provide a mechanism for a consumer to withdraw previously given consent at any time. Such mechanism shall make it as easy for a consumer to withdraw their consent as it is for such consumer to provide consent. The controller may style the mechanism allowing consumers to withdraw previously given consent as an opt-out. | (e) 管理者は、消費者が以前に提供した同意をいつでも撤回できる仕組みを提供しなければならない。当該メカニズムは、消費者が同意を撤回することが、消費者が同意を提供することと同様に容易でなければならない。管理者は、消費者が以前に与えられた同意を撤回できる仕組みを、オプトアウトとして提供することができる。 |
| (f) A controller must not infer that a consumer has provided freely given, specific, informed, and unambiguous opt-in consent from the consumer's inaction or the consumer's continued use of a service or product provided by the controller. | (f) 管理者は、消費者の不作為または管理者が提供するサービスもしくは製品の消費者による継続的な使用から、消費者が自由に与えられた、具体的で情報に基づいた、明確なオプトインの同意を提供したと推測してはならない。 |
| (g) To the extent that a controller must process internet protocol addresses, system configuration information, URLs of referring pages, locale and language preferences, keystrokes, or any other data that individually or collectively may comprise personal data in order to obtain a consumer's freely given, specific, informed, and unambiguous opt-in consent, the controller must: | (g) 管理者は、消費者が自由に与えた特定の情報に基づく明確なオプトインの同意を得るために、インターネットプロトコルアドレス、システム構成情報、参照ページのURL、ロケールおよび言語設定、キーストローク、または個別にまたは集合的に個人データを構成する可能性のあるその他のデータを処理しなければならない範囲において、以下のことを行わなければならない。 |
| (i) process only the personal data necessary to request freely given, specific, informed, and unambiguous opt-in consent; | (i) 自由に与えられた、特定の、情報を与えられた、曖昧でないオプトインの同意を求めるために必要な個人データのみを処理すること。 |
| (ii) process the personal data solely to request freely given, specific, informed, and unambiguous opt-in consent; and | (ii) 自由に与えられた、特定の、情報を与えられた、曖昧でないオプトインの同意を求めるためにのみ、個人データを処理する。 |
| (iii) immediately delete the personal data if consent is withheld, denied, or withdrawn. | (iii) 同意が保留、拒否、または撤回された場合、個人データを直ちに削除する。 |
| (h) Controllers must not request consent from a consumer who has previously withheld or denied consent, unless consent is necessary to provide the services or goods requested by the consumer. | (h) 管理者は、消費者が要求したサービスまたは商品を提供するために同意が必要な場合を除き、以前に同意を保留または拒否した消費者に同意を求めてはならない。 |
| (i) Controllers must treat user-enabled privacy controls in a browser, browser plug-in, smartphone application, operating system, device setting, or other mechanism that communicates or signals the consumer's choice not to be subject to targeted advertising or the sale of their personal data as a denial of consent under this act. To the extent that the privacy control conflicts with a consumer's consent, the privacy control settings govern, unless the consumer provides freely given, specific, informed, and unambiguous opt-in consent to override the privacy control. | (i) 管理者は、ブラウザ、ブラウザのプラグイン、スマートフォンのアプリケーション、オペレーティングシステム、デバイスの設定、またはターゲット広告や個人データの販売の対象にならないという消費者の選択を伝えるまたは合図するその他のメカニズムにおいて、ユーザーが有効なプライバシーコントロールを、本法令に基づく同意の拒否として扱わなければならない。プライバシーコントロールが消費者の同意と矛盾する範囲では、消費者がプライバシーコントロールを無効にするために自由に与えられた、具体的で情報を与えられた、明確なオプトインの同意を提供しない限り、プライバシーコントロールの設定が支配する。 |
| (j) A controller must not discriminate against a consumer for withholding or denying consent, including, but not limited to, by: | (j) 管理者は、同意の保留または拒否を理由に消費者を差別してはなりない(以下を含むがこれに限定されない)。 |
| (i) denying services or goods to the consumer, unless the consumer does not consent to processing necessary to provide the services or goods requested by the consumer; | (i) 消費者が要求したサービスまたは商品を提供するために必要な処理に消費者が同意しない場合を除き、消費者へのサービスまたは商品の提供を拒否すること。 |
| (ii) charging different prices for goods or services, including through the use of discounts or other benefits, imposing penalties, or providing a different level or quality of services or goods to the consumer; or | (ii) 商品またはサービスに対して、割引その他の特典の利用を含めて異なる価格を請求すること、罰則を課すこと、または、異なるレベルもしくは品質のサービスもしくは商品をお客様に提供すること。 |
| (iii) suggesting that the consumer will receive a different price or rate for goods or services or a different level or quality of services or goods. | (iii) 消費者が商品もしくはサービスに対して異なる価格もしくは料金、またはサービスもしくは商品に対して異なるレベルもしくは品質を受けることを示唆すること。 |
| (k) A controller may, with the consumer's freely given, specific, informed, and unambiguous opt-in consent given pursuant to this section, operate a program in which information, products, or services sold to the consumer are discounted based on such consumer's prior purchases from the controller, provided that the personal data used to operate such program is processed solely for the purpose of operating such program. | (k) 管理者は、本項に従って消費者が自由に与えた、特定の情報を与えられた、明確なオプトインの同意を得て、消費者に販売される情報、製品、またはサービスが、当該消費者の管理者からの過去の購入に基づいて割引されるプログラムを運営することができる。ただし、当該プログラムを運営するために使用される個人データは、当該プログラムを運営する目的でのみ処理される。 |
| (l) In the event of a merger, acquisition, bankruptcy, or other transaction in which another entity assumes control or ownership of all or majority of the controller's assets, any consent provided to the controller by a consumer prior to such transaction shall be deemed withdrawn. | (l) 合併、買収、破産、または他の事業体が管理者の資産の全部または大部分を支配または所有するその他の取引の場合、かかる取引の前に消費者が管理者に提供した同意は撤回されたものとみなされる。 |
| 3. Right to access. Upon the verified request of a consumer, a controller shall: | 3. アクセスの権利。消費者の確認された要求により、管理者は以下を行うものとする。 |
| (a) confirm whether or not the controller is processing or has processed personal data of that consumer, and provide access to a copy of any such personal data when requested; and | (a) 管理者が消費者の個人データを処理しているかどうか、または処理したことがあるかどうかを確認し、要求に応じて当該個人データのコピーへのアクセスを提供する。 |
| (b) provide the identity of each processor or third-party to whom the controller disclosed, transferred, or sold the consumer's personal data and, for each identified processor or third-party, | (b) 管理者が消費者の個人データを開示、移転、または販売した各処理事業者または第三者の身元、および身元が確認された各処理事業者または第三者について、以下の情報を提供する。 |
| (A) the categories of the consumer's personal data disclosed, transferred, or sold to each processor or third-party and | (A) 各処理業者または第三者に開示、譲渡、または販売された消費者の個人データのカテゴリーと |
| (B) the purposes for which each category of the consumer's personal data was disclosed, transferred, or sold to each processor or third-party. | (B) 消費者の個人データの各カテゴリーが各処理業者または第三者に開示、移転、または販売された目的。 |
| 4. Right to portable data. Upon a verified request, and to the extent technically feasible, the controller must: (a) provide to the consumer a copy of all of, or a portion of, as designated in a verified request, the consumer's personal data in a structured, commonly used and machine-readable format and (b) at the consumer's request, transmit the data to another person of the consumer's designation without hindrance. | 4. ポータブルデータの権利。確認された要求があった場合、技術的に可能な範囲で、管理者は以下を行わなければならない。(a) 確認された要求で指定されたとおり、消費者の個人データのすべて、または一部のコピーを、構造化された、一般的に使用される、機械で読み取り可能な形式で消費者に提供し、(b) 消費者の要求に応じて、消費者が指定した別の人物に、支障なくデータを送信する。 |
| 5. Right to correct. | 5. 訂正する権利 |
| (a) Upon the verified request of a consumer, a controller must conduct a reasonable investigation to determine whether personal data, the accuracy of which is disputed by the consumer, is inaccurate, with such investigation to be concluded within the time period set forth in paragraph (a) of subdivision eight of this section. | (a) 消費者の検証済みの要求があった場合、管理者は、消費者がその正確性に異議を唱えている個人データが不正確であるかどうかを判断するために合理的な調査を行わなければならず、当該調査は本節第8項の(a)に規定された期間内に終了しなければならない。 |
| (b) Notwithstanding paragraph (a) of this subdivision, a controller may terminate an investigation of personal data disputed by a consumer under such paragraph if the controller reasonably determines that the dispute by the consumer is frivolous, including by reason of a failure by a consumer to provide sufficient information to investigate the disputed personal data. Upon making any determination in accordance with this paragraph that a dispute is frivolous, a controller must, within the time period set forth in paragraph (a) of subdivision eight of this section, provide the affected consumer a statement in writing that includes, at a minimum, the specific reasons for the determination, and identification of any information required to investigate the disputed personal data, which may consist of a standardized form describing the general nature of such information. | (b) 本項(a)にかかわらず、管理者は、消費者による異議申し立てが軽薄であると合理的に判断した場合(異議申し立てされた個人データを調査するための十分な情報を消費者が提供しなかったことを含む)、本項に基づいて消費者が異議申し立てした個人データの調査を終了することができる。本項に従って紛争が軽薄であると判断した場合、管理者は、本項第8節の(a)項に規定された期間内に、影響を受ける消費者に対して、少なくとも、判断の具体的な理由、および紛争となった個人データを調査するために必要な情報の特定を含む声明を書面で提供しなければならず、この情報は、当該情報の一般的な性質を記述した標準的なフォームで構成することができる。 |
| (c) If, after any investigation under paragraph (a) of this subdivision of any personal data disputed by a consumer, an item of the personal data is found to be inaccurate or incomplete, or cannot be verified, the controller must: | (c) 消費者が異議を唱えた個人データについて本項(a)に基づく調査を行った結果、個人データの項目が不正確もしくは不完全であることが判明した場合、または検証できない場合、管理者は以下を行わなければならない。 |
| (i) correct the inaccurate or incomplete personal data of the consumer; and | (i) 消費者の不正確または不完全な個人データを修正する。 |
| (ii) unless it proves impossible or involves disproportionate effort, communicate such request to each processor or third-party to whom the controller disclosed, transferred, or sold the personal data within one year preceding the consumer's request, and to require those processors or third-parties to do the same for any further processors or third-parties they disclosed, transferred, or sold the personal data to. | (ii) 不可能または不均衡な労力を要する場合を除き、消費者の要求に先立つ1年以内に管理者が個人データを開示、譲渡、または販売した各処理事業者または第三者にその要求を伝え、それらの処理事業者または第三者がさらに個人データを開示、譲渡、または販売した処理事業者または第三者にも同様の要求をすること。 |
| (d) If the investigation does not resolve the dispute, the consumer may file with the controller a brief statement setting forth the nature of the dispute. Whenever a statement of a dispute is filed, unless there exists reasonable grounds to believe that it is frivolous, the controller must note that it is disputed by the consumer and include either the consumer's statement or a clear and accurate codification or summary thereof with the disputed personal data whenever it is disclosed, transferred, or sold to any processor or third-party. | (d) 調査によって紛争が解決されない場合、消費者は、紛争の性質を示す簡単な声明を管理者に提出することができる。紛争の声明が提出された場合、それが軽薄であると信じる合理的な理由がない限り、管理者は、消費者が紛争を起こしていることを記し、処理事業者または第三者に個人データを開示、譲渡、または販売する際には、紛争を起こしている個人データとともに、消費者の声明、またはその明確かつ正確な成文もしくは要約のいずれかを含めなければならない。 |
| 6. Right to delete. (a) Upon the verified request of a consumer, a controller must: | 6. 削除する権利 (a) 消費者の検証済みの要求があった場合、管理者は以下を行わなければならない。 |
| (i) within a reasonable amount of time after receiving the verified request, delete any or all personal data, as directed by the consumer, that the controller possesses or controls; and | (i) 確認された要求を受け取った後、合理的な時間内に、消費者の指示に従って、管理者が保有または管理している一部またはすべての個人データを削除しなければならない。 |
| (ii) unless it proves impossible or involves disproportionate effort, communicate such request to each processor or third-party to whom the controller disclosed, transferred or sold the personal data within one year preceding the consumer's request and to require those processors or third-parties to do the same for any further processors or third-parties they disclosed, transferred, or sold the personal data to. | (ii) 不可能であると証明されない限り、または不釣り合いな労力を伴わない限り、管理者が消費者の要求に先立つ1年以内に個人データを開示、譲渡、または販売した各処理事業者または第三者に当該要求を伝え、それらの処理事業者または第三者がさらに個人データを開示、譲渡、または販売した処理事業者または第三者にも同様の要求をすること。 |
| (b) For personal data that is not possessed by the controller but by a processor of the controller, the controller may choose to (i) communicate the consumer's request for deletion to the processor, or (ii) request that the processor return to the controller the personal data that is the subject of the consumer's request and delete such personal data upon receipt of the request. | (b) 管理者が所有しているのではなく、管理者の処理事業者が所有している個人データについては、管理者は、(i)消費者の削除要求を処理事業者に伝える、または(ii)処理事業者が消費者の要求の対象となっている個人データを管理者に返却し、要求を受領した時点で当該個人データを削除するよう要求する、のいずれかを選択することができる。 |
| (c) A consumer's deletion of their online account must be treated as a request to the controller to delete all of that consumer's personal data. | (c) 消費者がオンラインアカウントを削除することは、当該消費者のすべての個人データを削除することを管理者に要求したものとして扱わなければならない。 |
| (d) A controller must maintain reasonable procedures designed to prevent the reappearance in its systems, and in any data it discloses, transfers, or sells to any processor or third-party, the personal data that is deleted pursuant to this subdivision. | (d) 管理者は、本項に従って削除された個人データが、管理者のシステムおよび処理事業者や第三者に開示、譲渡、販売するデータに再び現れることを防止するための合理的な手順を維持しなければならない。 |
| (e) A controller is not required to comply with a consumer's request to delete personal data if: | (e) 管理者は、以下の場合、消費者からの個人データの削除要求に応じる必要はありない。 |
| (i) complying with the request would prevent the controller from performing accounting functions, processing refunds, effectuating a product recall pursuant to federal or state law, or fulfilling warranty claims, provided that the personal data that is the subject of the request is not processed for any purpose other than such specific activities; or | (i) 要求に応じることにより、管理者が会計機能の実行、返金の処理、連邦法または州法に基づく製品リコールの実施、または保証請求の履行を妨げる場合(ただし、要求の対象となる個人データが当該特定の活動以外の目的で処理されていない場合)。 |
| (ii) it is necessary for the controller to maintain the consumer's personal data to engage in public or peer-reviewed scientific, historical, or statistical research in the public interest that adheres to all other applicable ethics and privacy laws, when the controller's deletion of the information is likely to render impossible or seriously impair the achievement of such research, provided that the consumer has given informed consent and the personal data is not processed for any purpose other than such research. | (ii) 他のすべての適用される倫理およびプライバシー法を遵守する公共の利益のために、公的または査読付きの科学的、歴史的、または統計的な研究に従事するために、管理者が消費者の個人データを維持することが必要な場合で、管理者が情報を削除することにより、当該研究の達成が不可能になるか、または著しく損なわれる可能性がある場合で、消費者がインフォームドコンセントを得ており、個人データが当該研究以外の目的で処理されていない場合。 |
| 7. Automated decision-making. (a) Whenever a controller makes an automated decision involving solely automated processing that results in a denial of financial or lending services, housing, public accommodation, insurance, health care services, or access to basic necessities, such as food and water, the controller must: | 7. 自動化された意思決定 (a) 管理者が、金融サービスもしくは融資サービス、住宅、公共施設、保険、医療サービス、または食料や水などの基本的な必需品へのアクセスを拒否する結果となる、唯一の自動処理を含む自動化された決定を行う場合、管理者は以下のことを行わなければならない。 |
| (i) disclose in a clear conspicuous, and consumer-friendly manner that the decision was made by a solely automated process; | (i) 意思決定が完全に自動化されたプロセスによって行われたことを、明確に目立つように、かつ消費者が理解しやすい方法で開示する。 |
| (ii) provide an avenue for the affected consumer to appeal the decision, which must at minimum allow the affected consumer to | (ii) 影響を受けた消費者が決定に異議を申し立てるための手段を提供すること。この手段は、少なくとも影響を受けた消費者が以下を行えるようにしなければならない。 |
| (A) express their point of view, | (A) 自分の意見を述べること。 |
| (B) contest the decision, and | (B) 決定に異議を唱える。 |
| (C) obtain meaningful human review; and | (C) 意味のある人間による審査を受けることができなければならない。 |
| (iii) explain how to appeal the decision. | (iii) 決定に対する異議申し立ての方法を説明すること。 |
| (b) A controller must respond to a consumer's appeal within forty-five days of receipt of the appeal. That period may be extended once by forty-five additional days where reasonably necessary, taking into account the complexity and number of appeals. The controller must inform the consumer of any such extension within forty-five days of receipt of the appeal, together with the reasons for the delay. | (b) 管理者は、消費者からの異議申し立てを受領してから45日以内に、その異議申し立てに対応しなければならない。この期間は、異議申立ての複雑さと数を考慮して合理的に必要な場合は、45日間延長することができる。管理者は、訴状の受領後45日以内に、そのような延長について、遅延の理由とともに消費者に通知しなければならない。 |
| (c) (i) A controller or processor engaged in automated decision-making affecting financial or lending services, housing, public accommodation, insurance, education enrollment, employment, health care services, or access to basic necessities, such as food and water, or engaged in assisting others in automated decision-making in those fields, must annually conduct an impact assessment of such automated decision-making that: | (c) (i) 金融または貸付サービス、住宅、公共施設、保険、教育の登録、雇用、医療サービス、または食料や水などの基本的な必需品へのアクセスに影響を与える自動化された意思決定に従事する、またはこれらの分野の自動化された意思決定において他者を支援することに従事する管理者または処理事業者は、毎年、当該自動化された意思決定について以下のような影響評価を行わなければならない。 |
| (A) describes and evaluates the objectives and development of the automated decision-making processes including the design and training data used to develop the automated decision-making process, how the automated decision-making process was tested for accuracy, fairness, bias and discrimination; and | (A) 自動化された意思決定プロセスを開発するために使用された設計およびトレーニングデータ、自動化された意思決定プロセスが正確性、公正性、偏りおよび差別についてどのようにテストされたかを含む、自動化された意思決定プロセスの目的および開発について説明し、評価する。 |
| (B) assesses whether the automated decision-making system produces discriminatory results on the basis of a consumer's or class of consumers' actual or perceived race, color, ethnicity, religion, national origin, sex, gender, gender identity, sexual orientation, familial status, biometric information, lawful source of income, or disability. | (B) 自動意思決定システムが、消費者または消費者のクラスの実際のまたは認識されている人種、肌の色、民族性、宗教、国籍、性別、性同一性、性的指向、家族構成、生体情報、合法的な収入源、または障害に基づいて、差別的な結果を生み出すかどうかを評価する。 |
| (ii) A controller or processor must utilize an external, independent auditor or researcher to conduct such assessments. | (ii) 管理者または処理事業者は、外部の独立した監査人または研究者を利用して、当該評価を実施しなければならない。 |
| (iii) A controller or processor must make public all impact assessments prepared pursuant to this section, retain all such impact assessments for at least six years, and make any such retained impact assessments available to any state, federal, or local government authority upon request. | (iii) 管理者または処理事業者は、本項に従って作成されたすべての影響度評価を公開し、かかる影響度評価をすべて少なくとも6年間保持し、かかる保持された影響度評価を州、連邦、または地方の政府機関の要請に応じて提供しなければならない。 |
| (iv) For purposes of this paragraph, the limitations to jurisdictional scope set forth in paragraphs (b) and (c) of subdivision two of section eleven hundred one of this article shall not apply. | (iv) 本項の目的のために、本条第111001項の第2項の(b)および(c)に定める管轄範囲の制限は適用されないものとする。 |
| 8. Responding to requests. | 8. リクエストへの対応 |
| (a) A controller must take action under subdivisions three through six of this section and inform the consumer of any actions taken without undue delay and in any event within fortyfive days of receipt of the request. That period may be extended once by forty-five additional days where reasonably necessary, taking into account the complexity and number of the requests. The controller must inform the consumer of any such extension within forty-five days of receipt of the request, together with the reasons for the delay. When a controller denies any such request, it must within this period disclose to the consumer a statement in writing of the specific reasons for the denial. | (a) 管理者は、本条第3項から第6項に基づく措置を講じ、不当に遅延することなく、いかなる場合でも要求の受領から45日以内に、講じた措置を消費者に通知しなければならない。この期間は、要求の複雑さと数を考慮して合理的に必要な場合、45日間延長することができる。管理者は、要求を受領してから45日以内に、そのような延長について、遅延の理由とともに消費者に通知しなければならない。管理者は、かかる要求を拒否する場合、この期間内に、拒否の具体的な理由を書面で消費者に開示しなければならない。 |
| (b) A controller shall permit the exercise of rights and carry out its obligations set forth in subdivisions three through six of this section free of charge, at least twice annually to the consumer. Where requests from a consumer are manifestly unfounded or excessive, in particular because of their repetitive character, the controller may either (i) charge a reasonable fee to cover the administrative costs of complying with the request or (ii) refuse to act on the request and notify the consumer of the reason for refusing the request. The controller bears the burden of demonstrating the manifestly unfounded or excessive character of the request. | (b) 管理者は、本条第3項から第6項までに規定された権利の行使を許可し、その義務を消費者に対して少なくとも年2回、無料で実行しなければならない。消費者からの要求が明らかに根拠のないものまたは過剰なものである場合、特にその反復的な性格のために、管理者は、(i)要求に応じるための管理コストをカバーする合理的な料金を請求するか、または(ii)要求への対応を拒否し、要求を拒否する理由を消費者に通知することができる。管理者は、要求の性質が明らかに根拠のないものまたは過剰なものであることを証明する責任を負う。 |
| (c) (i) A controller shall promptly attempt, using commercially reasonable efforts, to verify that all requests to exercise any rights set forth in any section of this article requiring a verified request were made by the consumer who is the subject of the data, or by a person lawfully exercising the right on behalf of the consumer who is the subject of the data. Commercially reasonable efforts shall be determined based on the totality of the circumstances, including the nature of the data implicated by the request. | (c) (i) 管理者は、商業的に合理的な努力をもって、検証された要求を必要とする本条のいずれかの項に定められた権利を行使するすべての要求が、データの対象である消費者、またはデータの対象である消費者に代わって合法的に権利を行使する者によってなされたことを、速やかに検証するものとする。商業的に合理的な努力は、要求に関係するデータの性質を含む状況の全体性に基づいて決定されるものとする。 |
| (ii) A controller may require the consumer to provide additional information only if the request cannot reasonably be verified without the provision of such additional information. A controller must not transfer or process any such additional information provided pursuant to this section for any other purpose and must delete any such additional information without undue delay and in any event within forty-five days after the controller has notified the consumer that it has taken action on a request under subdivisions two through five of this section as described in paragraph (a) of this subdivision. | (ii) 管理者は、消費者が追加情報を提供しなければ要求を合理的に確認できない場合に限り、追加情報の提供を要求することができる。管理者は、本項に従って提供されたかかる追加情報を他の目的のために転送または処理してはならず、管理者が本項の(a)に記載されているように本項の第2項から第5項までの要求に対して措置を講じたことを消費者に通知した後、不当な遅延なく、いかなる場合でも45日以内にかかる追加情報を削除しなければならない。 |
| (iii) If a controller discloses this additional information to any processor or third-party for the purpose of verifying a consumer request, it must notify the receiving processor or third party at the time of such disclosure, or as close in time to the disclosure as is reasonably practicable, that such information was provided by the consumer for the sole purpose of verification. | (iii) 管理者が、消費者の要求を検証する目的で、この追加情報を処理事業者または第三者に開示する場合、管理者は、当該開示の時点で、または開示後合理的に実行可能な限り近い時点で、当該情報が検証のみを目的として消費者から提供されたものであることを、受領する処理事業者または第三者に通知しなければならない。 |
| 9. Implementation of rights. Controllers must provide easily accessible and convenient means for consumers to exercise their rights under this article. | 9. 権利の履行。管理者は、消費者が本条に基づく権利を行使するために、容易にアクセス可能で便利な手段を提供しなければならない。 |
| 10. Non-waiver of rights. Any provision of a contract or agreement of any kind that purports to waive or limit in any way a consumer's rights under this article is contrary to public policy and is void and unenforceable. | 10. 権利の不放棄。本条に基づく消費者の権利を放棄または制限することを意図したあらゆる種類の契約または合意の規定は、公序良俗に反しており、無効であり執行不能である。 |
| § 1103. Controller, processor, and third-party responsibilities. | § 1103. 管理者、処理事業者、および第三者の責任 |
| 1. Controller responsibilities. | 1. コントローラーの責任 |
| (a) Duty of loyalty. | (a) 忠実義務。 |
| (i) Where it is reasonably foreseeable to the controller that a process will be against a consumer's physical, financial, psychological, or reputational interests or against the physical, financial, psychological, or reputational interests of a class of consumers that the consumer is known to belong to, the controller must notify that consumer of any interest that may be harmed in advance of requesting consent and as close in time to the processing as practicable. This obligation does not apply with respect to processing: | (i) 処理が消費者の身体的、経済的、心理的、または評判の良い利益に反するものであること、または消費者が属することが知られている消費者のクラスの身体的、経済的、心理的、または評判の良い利益に反するものであることが、管理者にとって合理的に予見可能である場合、管理者は、同意を求める前に、かつ処理にできるだけ近い時期に、損害を受ける可能性のある利益を当該消費者に通知しなければならない。この義務は、以下の処理に関しては適用されない。 |
| (A) as required by law; | (A) 法律で要求された場合。 |
| (B) pursuant to a request by a federal, state, or local government or government entity; or | (B) 連邦政府、州政府、地方自治体、政府機関の要請に基づく処理。 |
| (C) that significantly advances protection against criminal or tortious activity. | (C)犯罪行為や不法行為からの保護を著しく促進するもの。 |
| (ii) Controllers must not engage in unfair, deceptive, or abusive acts or practices with respect to obtaining consumer consent, the processing of personal data, and a consumer's exercise of any rights under this article, including without limitation: | (ii) 管理者は、消費者の同意の取得、個人データの処理、および本条に基づく消費者の権利の行使に関して、以下を含むがこれらに限定されない、不公正、欺瞞的、または虐待的な行為または慣行を行ってはならない。 |
| (A) designing a user interface with the purpose or substantial effect of deceiving consumers, obscuring consumers' rights under this article, or subverting or impairing user autonomy, decision-making, or choice in order to obtain consent; or | (A) 同意を得るために、消費者を欺くこと、本条に基づく消費者の権利を不明瞭にすること、またはユーザーの自主性、意思決定、選択を破壊または損なうことを目的または実質的な効果として、ユーザーインターフェースを設計すること、または |
| (B) obtaining consent in a manner designed to overpower a consumer's resistance; for example, by making excessive requests for consent. | (B) 例えば、過剰な同意の要求をするなど、消費者の抵抗を圧倒するような方法で同意を得ること。 |
| (b) Duty of care. | (b) 注意義務 |
| (i) (A) Controllers must, on at least an annual basis, conduct and document risk assessments of all current processes of personal data. | (i) (A) 管理者は、少なくとも年に1回、個人データのすべての現行プロセスのリスクアセスメントを実施し、文書化しなければならない。 |
| (B) Risk assessments must assess at a minimum: | (B) リスクアセスメントでは、少なくとも以下を評価しなければならない。 |
| (I) the nature, sensitivity and context of the personal data that the controller processes; | (I) 管理者が処理する個人データの性質、感度、および状況。 |
| (II) the nature, purpose, and value of the processes; | (II) プロセスの性質、目的、および価値。 |
| (III) any risks or harms to consumers actually or potentially arising out of the processes, including physical, financial, psychological, or reputational harms; | (III) 物理的、金銭的、心理的、または風評被害を含む、プロセスから実際にまたは潜在的に生じる消費者へのリスクまたは被害。 |
| (IV) the adequacy and effect of safeguards implemented by the controllers; | (IV) 管理者が実施する保護措置の妥当性と効果。 |
| (V) the sufficiency of the controller's notices to consumers at describing and obtaining consent concerning the processes; and | (V) プロセスについて説明し、同意を得る際に、管理者が消費者に通知することの十分性。 |
| (VI) the adequacy of the safeguards and monitoring practices of processors and third parties to whom the controller has provided personal data. | (VI) 管理者が個人データを提供した処理事業者および第三者の保護措置および監視方法の妥当性。 |
| (C) The controller must retain risk assessments for at least six years and make risk assessments available to the attorney general upon request. | (C) 管理者は、リスク評価を少なくとも6年間保持し、司法長官の要請に応じてリスク評価を利用できるようにしなければならない。 |
| (ii) Controllers must develop, implement, and maintain reasonable safeguards to protect the security, confidentiality and integrity of the personal data of consumers including adopting reasonable administrative, technical and physical safeguards appropriate to the volume and nature of the personal data at issue. | (ii) 管理者は、消費者の個人データのセキュリティ、機密性、完全性を保護するために、問題となっている個人データの量と性質に適した合理的な管理的、技術的、物理的な保護手段を採用することを含め、合理的な保護手段を開発、実施、維持しなければならない。 |
| (iii) (A) A controller that collects a consumer's personal data shall limit its use and retention of that data to what is necessary to provide a service or good requested by a consumer or for purposes for which the consumer has provided freely given, specific, informed, and unambiguous opt-in consent. | (iii) (A) 消費者の個人データを収集する管理者は、そのデータの使用および保持を、消費者が要求したサービスまたは商品を提供するために必要なもの、または消費者が自由に与えた、具体的で、情報を与えられた、明確なオプトインの同意を得た目的のためのものに限定しなければならない。 |
| (B) At least annually, a controller must dispose of all personal data that is either no longer necessary to provide the services or goods requested by the consumer or for the purposes for which the consumer's freely given, specific, informed, and unambiguous opt-in consent is in effect, consistent with the retention period disclosed in notice pursuant to section eleven hundred two of this article. | (B) 管理者は、少なくとも年1回、消費者が要求したサービスまたは商品を提供するために必要でなくなった個人データ、または消費者が自由に与えた特定の情報に基づく明確なオプトインの同意が有効である目的のための個人データを、本条第11百2項に基づく通知で開示された保存期間と一致するように処分しなければならない。 |
| (iv) Controllers shall be under a continuing obligation to engage in reasonable measures to review their activities for circumstances that may have altered their ability to identify a specific natural person and to update their classifications of data as identified or identifiable accordingly. | (iv) 管理者は、特定の自然人を識別する能力が変化した可能性のある状況について、自らの活動を見直し、それに応じて識別または識別可能なデータの分類を更新する合理的な手段に従事する継続的な義務を負うものとする。 |
| (c) Non-discrimination. | (c) 差別しないこと |
| (i) A controller must not discriminate against a consumer for exercising rights under this act, including but not limited to, by: | (i) 管理者は、本法令に基づく権利を行使する消費者を以下のように差別してはならない。 |
| (A) denying services or goods to consumers; | (A) 消費者に対するサービスまたは商品の提供を拒否すること。 |
| (B) charging different prices for services or goods, including through the use of discounts or other benefits; imposing penalties; or providing a different level or quality of services or goods to the consumer; or | (B) サービスまたは商品に対して、割引やその他の特典を含めて異なる価格を請求すること、罰則を課すこと、または消費者に対して異なるレベルまたは品質のサービスまたは商品を提供すること、または |
| (C) suggesting that the consumer will receive a different price or rate for services or goods or a different level or quality of services or goods. | (C) 消費者に対して、サービスまたは商品の異なる価格もしくは料金、またはサービスまたは商品の異なるレベルもしくは品質を提供することを示唆すること。 |
| (ii) This paragraph does not apply to a controller's conduct with respect to opt-in consent, in which case paragraph (j) of subdivision two of section eleven hundred two of this article governs. | (ii) 本項は、オプトインの同意に関する管理者の行為には適用されない。この場合、本条第1102項第2節の(j)項が適用される。 |
| (d) Agreements with processors. | (d) 処理業者との契約 |
| (i) Before making any disclosure, transfer, or sale of personal data to any processor, the controller must enter into a written, signed contract with that processor. Such contract must be binding and clearly set forth instructions for processing data, the nature and purpose of processing, the type of data subject to processing, the duration of processing, and the rights and obligations of both parties. The contract must also include requirements that the processor must: | (i) 個人データを処理事業者に開示、移転、または販売する前に、管理者は処理事業者と署名入りの書面による契約を締結しなければならない。当該契約は、拘束力があり、データ処理の指示、処理の性質および目的、処理対象となるデータの種類、処理の期間、および両当事者の権利と義務を明確に定めたものでなければならない。また、契約には、処理事業者が以下のような要件を含まなければならない。 |
| (A) ensure that each person processing personal data is subject to a duty of confidentiality with respect to the data; | (A) 個人データを処理する各人が、データに関する守秘義務を負うことを保証する。 |
| (B) protect the data consistent with the requirements of this act and any statements made by the controller in their publicly available policies, notices, or similar statements; | (B) この法律の要件、および管理者が公開しているポリシー、通知、または同様の声明で行った声明と一致するようにデータを保護すること。 |
| (C) process the data only when and to the extent necessary to comply with its legal obligations to the controller unless otherwise explicitly authorized by the controller; | (C) 管理者から明示的に許可されていない限り、管理者に対する法的義務を遵守するために必要な場合およびその範囲内でのみデータを処理すること。 |
| (D) not combine the personal information which the processor receives from or on behalf of the controller with personal information which the processor receives from or on behalf of another person or collects from its own interaction with consumers; | (D) 処理事業者が管理者からまたは管理者に代わって受け取った個人情報を、処理事業者が他の人からまたは他の人に代わって受け取ったり、消費者とのやりとりから収集したりした個人情報と組み合わせないこと。 |
| (E) comply with any exercises of a consumer's rights under section eleven hundred two of this article upon the request of the controller, subject to the limitations set forth in section eleven hundred five of this article; | (E) 本条第1102項に基づく消費者の権利の行使を、本条第11100条第5項に定める制限のもと、管理者の要求に応じて行うこと。 |
| (F) at the controller's direction, delete or return all personal data to the controller as requested at the end of the provision of services, unless retention of the personal data is required by law; | (F) 管理者の指示により、サービスの提供終了時に要求に応じて、個人データの保持が法律で義務付けられている場合を除き、すべての個人データを削除するか、管理者に返却しなければならない。 |
| (G) upon the reasonable request of the controller, make available to the controller all information in its possession necessary to demonstrate the processor's compliance with the obligations in this act; | (G) 管理者の合理的な要求に応じて、処理事業者が本法の義務を遵守していることを証明するために必要な所有するすべての情報を管理者に提供すること。 |
| (H) allow, and cooperate with, reasonable assessments by the controller or the controller's designated assessor; alternatively, the processor may arrange for a qualified and independent assessor to conduct an assessment of the processor's policies and technical and organizational measures in support of the obligations under this article using an appropriate and accepted control standard or framework and assessment procedure for such assessments. The processor shall provide a report of such assessment to the controller upon request; | (H) 管理者または管理者が指定した評価者による合理的な評価を許可し、協力すること。代わりに、処理事業者は、資格を有する独立した評価者を手配して、そのような評価のための適切かつ受け入れられた管理基準またはフレームワークおよび評価手順を使用して、本条の義務をサポートする処理事業者のポリシーおよび技術的・組織的措置の評価を実施することができる。処理事業者は、要求に応じて、当該評価の報告書を管理者に提供するものとする。 |
| (I) a reasonable time in advance before disclosing or transferring the data to any further processors, notify the controller of such a proposed disclosure or transfer and provide the controller an opportunity to approve or reject the proposal; and | (I) 更なる処理事業者にデータを開示または転送する前の合理的な期間に、そのような開示または転送の提案を管理者に通知し、管理者にその提案を承認または拒否する機会を提供する。 |
| (J) engage any further processor pursuant to a written, signed contract that includes the contractual requirements provided in this paragraph, containing at minimum the same obligations that the processor has entered into with regard to the data. | (J) 本項に規定された契約上の要件を含み、少なくともデータに関して処理事業者が締結したのと同じ義務を含む、書面で署名された契約に従って、さらなる処理事業者に従事すること。 |
| (ii) A controller must not agree to indemnify, defend, or hold a processor harmless, or agree to a provision that has the effect of indemnifying, defending, or holding the processor harmless, from claims or liability arising from the processor's breach of the contract required by clause (A) of subparagraph (i) of this paragraph or a violation of this act. Any provision of an agreement that violates this subparagraph is contrary to public policy and is void and unenforceable. | (ii) 管理者は、処理事業者が本項(i)号の(A)項で要求される契約に違反したこと、または本法の違反に起因する請求または責任から、処理事業者を補償、防御、または免責することに同意したり、処理事業者を補償、防御、または免責する効果のある条項に同意してはならない。本項に違反する契約の条項は、公序良俗に反しており、無効であり、強制力を持たない。 |
| (iii) Nothing in this paragraph relieves a controller or a processor from the liabilities imposed on it by virtue of its role in the processing relationship as defined by this article. | (iii) 本項のいかなる規定も、管理者または処理事業者が、本条で定義された処理関係における役割によって課される責任を免除するものではありない。 |
| (iv) Determining whether a person is acting as a controller or processor with respect to a specific processing of data is a fact-based determination that depends upon the context in which personal data is to be processed. A processor that continues to adhere to a controller's instructions with respect to a specific processing of personal data remains a processor. | (iv) データの特定の処理に関して、個人が管理者または処理事業者として行動しているかどうかを判断することは、個人データが処理される状況に依存する事実に基づいた判断である。個人データの特定の処理に関して管理者の指示を継続して遵守する処理事業者は、処理事業者のままである。 |
| (e) Third parties. | (e) 第三者。 |
| (i) A controller must not share, disclose, transfer, or sell personal data, or facilitate or enable the processing, disclosure, transfer, or sale of personal data to a third party for which consent of the consumer pursuant to subdivision two of section eleven hundred two of this article, has not been obtained or is not currently in effect. Any request for consent to share, disclose, transfer, or sell personal data, or to facilitate or enable the processing, disclosure, transfer, or sale of personal data to a third party must clearly include the identity of the third party and the processing purposes for which the third-party may use the personal data. | (i) 管理者は、個人データの共有、開示、譲渡、もしくは販売、または本条第1102項第2節に基づく消費者の同意が得られていない、もしくは現在有効でない第三者への個人データの処理、開示、譲渡、もしくは販売を促進もしくは可能にしてはならない。個人データの共有、開示、譲渡、もしくは販売、または第三者への個人データの処理、開示、譲渡、もしくは販売を容易にする、もしくは可能にするための同意の要求には、第三者の身元および第三者が個人データを使用することができる処理目的を明確に含める必要があります。 |
| (ii) A controller must not share, disclose, transfer, or sell personal data, or facilitate or enable the processing, disclosure, transfer, or sale of personal data if it can reasonably expect the personal data of a consumer to be used for purposes that the consumer has not consented to pursuant to subdivision two of section eleven hundred two of this article, or if it can reasonably expect that any rights of the consumer provided in this article would be compromised as a result of such transaction. | (ii) 管理者は、消費者の個人データが、本条第11百2項の第2節に従って消費者が同意していない目的で使用されることが合理的に予想される場合、または本条に規定されている消費者の権利が当該取引の結果として損なわれることが合理的に予想される場合、個人データの共有、開示、移転、販売、または個人データの処理、開示、移転、もしくは販売を促進もしくは可能にしてはならないものとする。 |
| (iii) Before making any disclosure, transfer, or sale of personal data to any third party, the controller must enter into a written, signed contract. Such contract must be binding and the scope, nature, and purpose of processing, the type of data subject to processing, the duration of processing, and the rights and obligations of both parties. | (iii) 個人データの第三者への開示、移転、または販売を行う前に、管理者は署名入りの書面による契約を締結しなければならない。当該契約は、拘束力があり、処理の範囲、性質、目的、処理対象となるデータの種類、処理の期間、両当事者の権利と義務が記載されていなければならない。 |
| Such contract must include requirements that the third party: | このような契約には、第三者が以下を行うという要件が含まれていなければならない。 |
| (A) Process that data only to the extent permitted by the agreement entered into with the controller; and | (A) 管理者と締結した契約で認められた範囲内でのみ、データを処理すること。 |
| (B) Provide a mechanism to comply with any exercises of a consumer's rights under section eleven hundred two of this article upon the request of the controller, subject to any limitations thereon as authorized by this article; and | (B) 管理者の要求に応じて、本条で認められた制限のもとで、本条第11条第2項に基づく消費者の権利の行使を遵守する仕組みを提供すること。 |
| (C) To the extent the disclosure, transfer, or sale of the personal data causes the third party to become a controller, comply with all obligations imposed on controllers under this article. | (C) 個人データの開示、移転、または販売によって第三者が管理者となる範囲で、本条に基づいて管理者に課せられるすべての義務を遵守する。 |
| 2. Processor responsibilities. | 2. 処理事業者の責任 |
| (a) For any personal data that is obtained, received, purchased, or otherwise acquired by a processor, whether directly from a controller or indirectly from another processor, the processor must comply with the requirements set forth in clauses (A) through (J) of subparagraph (i) of paragraph (d) of subdivision one of this section. | (a) 処理事業者が取得、受領、購入、またはその他の方法で取得した個人データについては、管理者から直接取得したか、他の処理事業者から間接的に取得したかに関わらず、処理事業者は本節第1款(d)項(i)号の(A)から(J)項に記載された要件を遵守しなければならない。 |
| (b) A processor is not required to comply with a request by the consumer submitted pursuant to this article by a consumer directly to the processor to the extent that the processor has processed the consumer's personal data solely in its role as a processor for a controller. | (b) 処理事業者は、処理事業者が管理者のための処理事業者としての役割のみで消費者の個人データを処理した範囲内で、消費者が直接処理事業者に提出した本条に基づく消費者の要求に応じる必要はない。 |
| (c) Processors shall be under a continuing obligation to engage in reasonable measures to review their activities for circumstances that may have altered their ability to identify a specific natural person and to update their classifications of data as identified or identifiable accordingly. | (c) 処理事業者は、特定の自然人を識別する能力を変化させた可能性のある状況について自らの活動を見直し、それに応じて識別または識別可能なデータの分類を更新するための合理的な手段に従事する継続的な義務を負うものとする。 |
| (d) A processor shall not engage in any sale of personal data other than on behalf of the controller pursuant to any agreement entered into with the controller. | (d) 処理事業者は、管理者と締結した契約に基づいて管理者に代わって行う場合を除き、個人データの販売に従事してはならない。 |
| 3. Third-party responsibilities. | 3. 第三者の責任 |
| (a) For any personal data that is obtained, received, purchased, or otherwise acquired or accessed by a third-party from a controller or processor, the third-party must: | (a) 第三者が管理者または処理事業者から取得、受領、購入、またはその他の方法で取得またはアクセスした個人データについて、第三者は以下のことをしなければならない。 |
| (i) Process that data only to the extent permitted by any agreements entered into with the controller; A. 680--A 16 | (i) 管理者との間で締結された契約で許可された範囲内でのみ、当該データを処理する。 |
| (ii) Process only the personal data necessary for purposes for which freely given, specific, informed, and unambiguous opt-in consent is in effect, as conveyed by the controller, limit the use and retention of that data to what is necessary for such purposes, and shall immediately delete such personal data when notified that the consent is withheld, denied, or withdrawn; | (ii) 管理者から伝えられた、自由に与えられた、具体的で、情報を与えられた、明確なオプトインの同意が有効な目的のために必要な個人データのみを処理し、当該データの使用および保持を当該目的のために必要なものに制限し、同意が保留、拒否、または撤回されたことが通知された場合は、当該個人データを直ちに削除する。 |
| (iii) Comply with any exercises of a consumer's rights under section eleven hundred two of this article upon the request of the controller or processor, subject to any limitations thereon as authorized by this article; and | (iii) 管理者または処理事業者の要求に応じて、本条で認められた制限のもとで、本条第111002項に基づく消費者の権利の行使に応じること。 |
| (iv) To the extent the third party becomes a controller for personal data, comply with all obligations imposed on controllers under this article. | (iv) 第三者が個人データの管理者となる範囲で、本条に基づいて管理者に課せられるすべての義務を遵守する。 |
| 4. Exceptions. The requirements of this section shall not apply where: | 4. 例外。本項の要件は、以下の場合には適用されない。 |
| (a) The processing is required by law; | (a) 処理が法律で要求されている場合。 |
| (b) The processing is made pursuant to a request by a federal, state, or local government or government entity; or | (b) 連邦政府、州政府、地方政府または政府機関の要請に基づき処理が行われる場合。 |
| (c) The processing significantly advances protection against criminal or tortious activity. | (c) 犯罪または不法行為に対する保護を著しく促進する処理である場合。 |
| § 1104. Data brokers. 1. A data broker, as defined under this article, must: | § 1104. データ・ブローカー 1. 本条に基づき定義されるデータ・ブローカーは、以下を行わなければならない。 |
| (a) Annually, on or before January thirty-first following a year in which a person meets the definition of data broker in this article: | (a) 毎年、本条のデータ・ブローカーの定義に該当する年の翌年1月31日までに、以下を行う。 |
| (i) Register with the attorney general; | (i) 司法長官に登録する。 |
| (ii) Pay a registration fee of one hundred dollars or as otherwise determined by the attorney general pursuant to the regulatory authority granted to the attorney general under this article, not to exceed the reasonable cost of establishing and maintaining the database and informational website described in this section; and | (ii) 本条に基づき司法長官に付与された規制権限に基づき、本項に記載されたデータベースおよび情報提供ウェブサイトを構築・維持するための合理的な費用を超えない範囲で、100ドルまたは司法長官が別途定める登録料を支払う。 |
| (iii) Provide the following information: | (iii) 以下の情報を提供すること。 |
| (A) the name and primary physical, email, and internet website address of the data broker; | (A) データ・ブローカーの名前、主要な物理的、電子メール、およびインターネット・ウェブサイトのアドレス。 |
| (B) the name and business address of an officer or registered agent of the data broker authorized to accept legal process on behalf of the data broker; | (B) データブローカーを代表して法的手続きを取る権限を持つ、データブローカーの役員または登録代理人の名前と事業所の住所。 |
| (C) a statement describing the method for exercising consumers rights under section eleven hundred two of this article; | (C) 本条第111002項に基づく消費者の権利を行使する方法を記載した文章。 |
| (D) a statement whether the data broker implements a purchaser credentialing process; and | (D) データ・ブローカーが購入者の資格認定プロセスを実施しているかどうかの記述。 |
| (E) any additional information or explanation the data broker chooses to provide concerning its data collection practices. | (E) データ・ブローカーがデータ収集方法に関して提供することを選択した追加情報または説明。 |
| 2. Notwithstanding any other provision of this article, any controller that conducts business in the state of New York must: | 2. 本条の他の規定にかかわらず、ニューヨーク州で事業を行うすべての管理者は、以下を行わなければならない。 |
| (a) annually, on or before January thirty-first following a year in which a person meets the definition of controller in this act, provide to the attorney general a list of all data brokers or persons reasonably believed to be data brokers to which the controller provided personal data in the preceding year; and | (a) 毎年、本法令の管理者の定義に該当する年の翌年1月31日までに、前年に管理者が個人データを提供したすべてのデータ・ブローカーまたはデータ・ブローカーであると合理的に考えられる人物のリストを司法長官に提出すること。 |
| (b) not sell a consumer's personal data to a data broker that is not registered with the attorney general. | (b) 司法長官に登録されていないデータ・ブローカーに消費者の個人データを販売しないこと。 |
| 3. The attorney general shall establish, manage and maintain a statewide registry on its internet website, which shall list all registered data brokers and make accessible to the public all the information provided by data brokers pursuant to this section. Printed hard copies of such registry shall be made available upon request and payment of a fee to be determined by the attorney general. | 3. 司法長官は、インターネット・ウェブサイト上に州全体の登録簿を作成、管理、維持する。この登録簿には、登録されたデータ・ブローカーがすべて記載され、本項に基づいてデータ・ブローカーから提供されたすべての情報が一般に公開される。この登録簿の印刷されたハードコピーは、要求があれば、司法長官が決定する料金を支払って入手できるものとする。 |
| 4. A data broker that fails to register as required by this section or submits false information in its registration is, in addition to any other injunction, penalty, or liability that may be imposed under this article, liable for civil penalties, fees, and costs in an action brought by the attorney general as follows: | 4. 本節で要求される登録を怠ったデータ・ブローカー、または登録の際に虚偽の情報を提出したデータ・ブローカーは、本条に基づいて課される可能性のあるその他の差止命令、罰則、または責任に加えて、司法長官によって提起された訴訟において、以下のような民事罰、手数料、および費用を負うものとする。 |
| (a) a civil penalty of one thousand dollars for each day the data broker fails to register as required by this section or fails to correct false information, | (a) データ・ブローカーが本条で要求される登録を怠り、または虚偽の情報を訂正しなかった1日につき1,000ドルの民事罰。 |
| (b) an amount equal to the fees that were due during the period it failed to register, and | (b) 登録できなかった期間に支払われるべき料金に相当する金額。 |
| (c) expenses incurred by the attorney general in the investigation and prosecution of the action as the court deems appropriate. | (c) 裁判所が適切とみなす、訴訟の調査および起訴に司法長官が要した費用。 |
| § 1105. Limitations. 1. This article does not require a controller or processor to do any of the following solely for purposes of complying with this article: | § 1105. 制限事項 1. 本条は、管理者または処理事業者に、本条を遵守する目的でのみ、以下のいずれかを行うことを要求しない。 |
| (a) Reidentify deidentified data; | (a) 識別解除されたデータを再識別すること。 |
| (b) Comply with a verified consumer request to access, correct, or delete personal data pursuant to this article if all of the following are true: | (b) 以下のすべてが真である場合、本条に基づき個人データへのアクセス、訂正、または削除を求める検証済みの消費者の要求に従うこと。 |
| (i) The controller is not reasonably capable of associating the request with the personal data; | (i) 管理者が要求と個人データを合理的に関連付けることができない。 |
| (ii) The controller does not associate the personal data with other personal data about the same specific consumer as part of its normal business practice; and | (ii) 管理者が、通常の業務の一環として、個人データを同じ特定の消費者に関する他の個人データと関連付けていないこと。 |
| (iii) The controller does not sell the personal data to any third party or otherwise voluntarily disclose or transfer the personal data to any processor or third party, except as otherwise permitted in this article; or | (iii) 管理者が、本条で許可されている場合を除き、個人データを第三者に販売したり、自発的に処理事業者または第三者に開示または移転したりしないこと、または |
| (c) Maintain personal data in identifiable form, or collect, obtain, retain, or access any personal data or technology, in order to be capable of associating a verified consumer request with personal data. | (c) 検証された消費者の要求と個人データを関連付けることができるように、個人データを識別可能な形で維持したり、個人データまたは技術を収集、取得、保持、またはアクセスすること。 |
| 2. The obligations imposed on controllers and processors under this article do not restrict a controller's or processor's ability to do any of the following, to the extent that the use of the consumer's personal data is reasonably necessary and proportionate for these purposes: | 2. 本条に基づき管理者および処理事業者に課せられる義務は、消費者の個人データの使用がこれらの目的のために合理的に必要かつ比例する範囲内で、管理者または処理事業者が以下のいずれかを行う能力を制限するものではありない。 |
| (a) Comply with federal, state, or local laws, rules, or regulations; | (a) 連邦、州、または地域の法律、規則、または規制に従うこと。 |
| (b) Comply with a civil, criminal, or regulatory inquiry, investigation, subpoena, or summons by federal, state, local, or other governmental authorities; | (b) 連邦政府、州政府、地方自治体、またはその他の政府機関による民事、刑事、または規制に関する調査、捜査、召喚令状、または召喚に応じること。 |
| (c) Cooperate with law enforcement agencies concerning conduct or activity that the controller or processor reasonably and in good faith believes may violate federal, state, or local laws, rules, or regulations; | (c) 管理者または処理事業者が合理的かつ善意で、連邦、州、または地域の法律、規則、または規制に違反する可能性があると考える行為または活動に関して、法執行機関に協力すること。 |
| (d) Investigate, establish, exercise, prepare for, or defend legal claims; | (d) 法的請求の調査、確立、行使、準備、または防御。 |
| (e) Process personal data necessary to provide the services or goods requested by a consumer, unless the consumer withholds, denies, or withdraws consent; perform a contract to which the consumer is a party; or take steps at the request of the consumer prior to entering into a contract; | (e) 消費者が同意を留保、拒否、または撤回しない限り、消費者が要求したサービスまたは商品を提供するために必要な個人データの処理、消費者が当事者である契約の履行、または契約を締結する前に消費者の要求に応じて措置を講じること。 |
| (f) Take immediate steps to protect the life or physical safety of the consumer or of another natural person, and where the processing cannot be manifestly based on another legal basis; | (f) 消費者または他の自然人の生命または身体の安全を守るために、処理が他の法的根拠に基づいていることが明らかでない場合には、直ちに措置を講じる。 |
| (g) Prevent, detect, protect against, or respond to security incidents, identity theft, fraud, harassment, malicious or deceptive activities, or any illegal activity; preserve the integrity or security of systems; or investigate, report, or prosecute those responsible for any such action; or | (g) セキュリティインシデント、個人情報の盗難、詐欺、嫌がらせ、悪意のあるまたは欺瞞的な行為、または違法行為の防止、検出、保護、対応、システムの整合性やセキュリティの維持、またはそのような行為の責任者の調査、報告、起訴。 |
| (h) Identify and repair technical errors that impair existing or intended functionality. | (h) 既存の機能または意図された機能を損なう技術的エラーを特定し、修復すること。 |
| 3. The obligations imposed on controllers or processors under this article do not apply where compliance by the controller or processor with this article would violate an evidentiary privilege under New York law and do not prevent a controller or processor from providing personal data concerning a consumer to a person covered by an evidentiary privilege under New York law as part of a privileged communication. | 3. 本条に基づき管理者または処理事業者に課せられる義務は、管理者または処理事業者が本条を遵守することがニューヨーク州法に基づく証拠開示特権に違反する場合には適用されず、また、管理者または処理事業者が、ニューヨーク州法に基づく証拠開示特権の対象となる人物に、消費者に関する個人データを特権的なコミュニケーションの一部として提供することを妨げるものではありない。 |
| 4. The obligations imposed on controllers or processors under this article do not apply to the publication of newsworthy information of legitimate public concern to the public, or the processing or transfer of information by a controller for such purpose. | 4. 本条に基づいて管理者または処理事業者に課せられる義務は、一般市民に対する正当な公共の関心事であるニュース価値のある情報の公表、またはそのような目的のための管理者による情報の処理または転送には適用されない。 |
| 5. A controller that receives a request pursuant to subdivisions three through six of section eleven hundred two of this article, or a processor or third party to whom a controller communicates such a request, may decline to fulfill the relevant part of such request if: | 5. 本条第111002項の第3項から第6項までの規定に従って要求を受けた管理者、または管理者が当該要求を伝達する処理事業者もしくは第三者は、以下の場合、当該要求の関連部分の履行を拒否することができる。 |
| (a) the controller, processor, or third party is unable to verify the request using commercially reasonable efforts, as described in paragraph (c) of subdivision eight of section eleven hundred two of this article; | (a) 管理者、処理事業者、または第三者が、本条第111002項第8号の(c)項に記載されているように、商業的に合理的な努力を用いて要求を確認することができない場合。 |
| (b) complying with the request would be demonstrably impossible (for purposes of this paragraph, the receipt of a large number of verified requests, on its own, is not sufficient to render compliance with a request demonstrably impossible); | (b) 要求に従うことが明らかに不可能である場合(本項においては、多数の検証済み要求の受領は、それだけでは要求の遵守を明らかに不可能にするのに十分ではありません)。 |
| (c) complying with the request would impair the privacy of another individual or the rights of another to exercise free speech; or | (c) 要求に応じることで、他の個人のプライバシーまたは言論の自由を行使する他の個人の権利が損なわれる場合。 |
| (d) the personal data was created by a natural person other than the consumer making the request and is being processed for the purpose of facilitating interpersonal relationships or public discussion. | (d) 個人データが、要請を行った消費者以外の自然人によって作成され、対人関係または公開討論を促進する目的で処理されている場合。 |
| § 1106. Enforcement and private right of action. | § 1106. 施行及び私的訴訟権 |
| 1. Whenever it appears to the attorney general, either upon complaint or otherwise, that any person or persons has engaged in or is about to engage in any of the acts or practices stated to be unlawful under this article, the attorney general may bring an action or special proceeding in the name and on behalf of the people of the state of New York to enjoin any violation of this article, to obtain restitution of any moneys or property obtained directly or indirectly by any such violation, to obtain disgorgement of any profits obtained directly or indirectly by any such violation, to obtain civil penalties of not more than fifteen thousand dollars per violation, and to obtain any such other and further relief as the court may deem proper, including preliminary relief. | 1. 司法長官は、本条に基づき違法とされる行為または慣行を行っている、または行おうとしている人物がいることが訴状などにより司法長官に明らかになった場合、ニューヨーク州民の名において、本条の違反を差し止めるための訴訟または特別訴訟を提起することができる。本条の違反行為を阻止し、当該違反行為によって直接的または間接的に得られた金銭または財産を返還させ、当該違反行為によって直接的または間接的に得られた利益を没収させ、1回の違反行為につき1万5,000ドル以下の民事罰を科し、予備的な救済を含め、裁判所が適切と考えるその他の救済を得るために、ニューヨーク州民の名において、司法長官は訴訟または特別訴訟を提起することができる。 |
| (a) Any action or special proceeding brought by the attorney general pursuant to this section must be commenced within six years. | (a) 本項に基づき司法長官が提起する訴訟または特別訴訟は、6年以内に開始されなければならない。 |
| (b) Each instance of unlawful processing counts as a separate violation. Unlawful processing of the personal data of more than one consumer counts as a separate violation as to each consumer. Each provision of this article that is violated counts as a separate violation. | (b) 不法な処理の各事例は、個別の違反としてカウントされる。複数の消費者の個人データの違法な処理は、各消費者に関する個別の違反とみなされる。また、本条の各規定に違反した場合は、個別の違反とみなする。 |
| (c) In assessing the amount of penalties, the court must consider any one or more of the relevant circumstances presented by any of the parties, including, but not limited to, the nature and seriousness of the misconduct, the number of violations, the persistence of the misconduct, the length of time over which the misconduct occurred, the willfulness of the violator's misconduct, and the violator's financial condition. | (c) 罰則の金額を評価する際、裁判所は、違法行為の性質および重大性、違反の回数、違法行為の持続性、違法行為が発生した期間、違反者の違法行為の故意性、および違反者の財務状況を含むがこれらに限定されない、当事者のいずれかが提示した関連する状況のいずれか1つまたは複数を考慮しなければならない。 |
| 2. In connection with any proposed action or special proceeding under this section, the attorney general is authorized to take proof and make a determination of the relevant facts, and to issue subpoenas in accordance with the civil practice law and rules. The attorney general may also require such other data and information as he or she may deem relevant and may require written responses to questions under oath. Such power of subpoena and examination shall not abate or terminate by reason of any action or special proceeding brought by the attorney general under this article. | 2. 本項に基づく提案された訴訟または特別訴訟に関連して、司法長官は、民事訴訟法および規則に従って、証拠を採取し、関連する事実の決定を行い、召喚状を発行する権限を有する。 司法長官は、関連性があるとみなされるその他のデータおよび情報を要求し、宣誓に基づく質問に対する書面による回答を要求することもできる。このような召喚および検査の権限は、本条に基づいて司法長官が提起した訴訟または特別な手続きを理由に、軽減または終了しないものとする。 |
| 3. Any person, within or outside the state, who the attorney general believes may be in possession, custody, or control of any books, papers, or other things, or may have information, relevant to acts or practices stated to be unlawful in this article is subject to the service of a subpoena issued by the attorney general pursuant to this section. | 3. 州の内外を問わず、本条で違法とされている行為または慣行に関連する帳簿、書類、その他の物品を所有、保管、または管理していると司法長官が信じる者、または情報を持っていると司法長官が信じる者は、本項に基づいて司法長官が発行する召喚状の送達を受ける。 |
| Service may be made in any manner that is authorized for service of a subpoena or a summons by the state in which service is made. | 召喚状の送達は、送達が行われる州で召喚状の送達が認められている方法で行うことができる。 |
| 4. (a) Failure to comply with a subpoena issued pursuant to this section without reasonable cause tolls the applicable statutes of limitations in any action or special proceeding brought by the attorney general against the noncompliant person that arises out of the attorney general's investigation. | 4. (a) 合理的な理由なく本項に基づいて発行された召喚状に従わなかった場合、司法長官の調査に起因して司法長官が非遵守者に対して提起した訴訟または特別訴訟において、適用される時効が中断される。 |
| (b) If a person fails to comply with a subpoena issued pursuant to this section, the attorney general may move in the supreme court to compel compliance. If the court finds that the subpoena was authorized, it shall order compliance and may impose a civil penalty of up to five hundred dollars per day of noncompliance. | (b) 本項に基づいて発行された召喚状に従わない者がいる場合、司法長官は、最高裁判所において遵守を強制することができる。召喚状が許可されたと裁判所が判断した場合、裁判所は遵守を命じ、遵守しない1日あたり最大500ドルの民事罰を課すことができる。 |
| (c) Such tolling and civil penalty shall be in addition to any other penalties or remedies provided by law for noncompliance with a subpoena. | (c) このような一時停止および民事罰は、召喚状の不履行に対して法律で定められたその他の罰則または救済措置に加えて適用されるものとする。 |
| 5. This section shall apply to all acts declared to be unlawful under this article, whether or not subject to any other law of this state, and shall not supersede, amend or repeal any other law of this state under which the attorney general is authorized to take any action or conduct any inquiry. | 5. 本条は、本州の他の法律に従うか否かを問わず、本条に基づいて違法と宣言されたすべての行為に適用されるものとし、司法長官が何らかの措置を講じたり調査を実施する権限を有する本州の他の法律に取って代わるものでも、修正するものでも、廃止するものでもない。 |
| 6. Any consumer who has been injured by a violation of section eleven hundred two of this article may bring an action in his or her own name to enjoin such unlawful act or practice and to recover his or her actual damages or one thousand dollars, whichever is greater. The court may also award reasonable attorneys' fees to a prevailing plaintiff. | 6. 本条の1102条違反により損害を受けた消費者は、当該違法行為または慣行を差し止め、実際の損害額または1,000ドルのいずれか大きい方を回復するために、自己の名前で訴訟を提起することができる。また、裁判所は勝訴した原告に合理的な弁護士費用を与えることができる。 |
| Actions pursuant to this section may be brought on a class-wide basis. | 本項に基づく訴訟は、集団単位で提起することができる。 |
| § 1107. Miscellaneous. | § 1107. その他 |
| 1. Preemption: This article does not annul, alter, or affect the laws, ordinances, regulations, or the equivalent adopted by any local entity regarding the processing, collection, transfer, disclosure, and sale of consumers' personal data by a controller or processor subject to this act, except to the extents those laws, ordinances, regulations, or the equivalent are inconsistent with the provisions of this act, and then only to the extent of the inconsistency. | 1. 先取り。本条は、本法の対象となる管理者または処理事業者による消費者の個人データの処理、収集、移転、開示、および販売に関して、地方団体が採択した法律、条例、規則、または同等のものを無効にしたり、変更したり、影響を与えたりするものではない。 |
| 2. Impact report: The attorney general shall issue a report evaluating this article, its scope, any complaints from consumers or persons, the liability and enforcement provisions of this article including, but not limited to, the effectiveness of its efforts to enforce this article, and any recommendations for changes to such provisions. The attorney general shall submit the report to the governor, the temporary president of the senate, the speaker of the assembly, and the appropriate committees of the legislature within two years of the effective date of this section. | 2. 影響報告。司法長官は、本条、その範囲、消費者または個人からの苦情、本条の責任および執行規定(本条を執行するための努力の有効性を含むがこれに限定されない)を評価する報告書を発行するものとする。司法長官は、本項の発効日から2年以内に、知事、上院臨時議長、下院議長、および議会の適切な委員会に報告書を提出しなければならない。 |
| 3. Regulatory authority: | 3. 規制の権限 |
| (a) The attorney general is hereby authorized and empowered to adopt, promulgate, amend and rescind suitable rules and regulations to carry out the provisions of this article, including rules governing the form and content of any disclosures or communications required by this article. | (a) 司法長官は、本条の規定を実行するために、本条で要求される開示または通信の形式および内容を規定する規則を含む、適切な規則および規制を採択、公布、修正および取消する権限を有するものとする。 |
| (b) The attorney general may request data and information from controllers conducting business in New York state, other New York state government entities administering notice and consent regimes, consumer protection and privacy advocates and researchers, internet standards setting bodies, such as the internet engineering taskforce and the institute of electrical and electronics engineers, and other relevant sources, to conduct studies to inform suitable rules and regulations. | (b) 司法長官は、ニューヨーク州で事業を行う管理者、通知・同意制度を管理する他のニューヨーク州政府機関、消費者保護・プライバシー擁護団体や研究者、インターネット技術タスクフォースや電気電子技術者協会などのインターネット標準設定団体、その他関連する情報源からデータや情報を要求し、適切な規則や規制を伝えるための調査を行うことができる。 |
| The attorney general shall receive, upon request, data from other New York state governmental entities. | 司法長官は、要請に応じて、他のニューヨーク州政府機関からデータを受け取るものとする。 |
| 4. Exercise of rights: Any consumer right set forth in this article may be exercised at any time by the consumer who is the subject of the data, by an agent authorized by a consumer to exercise the rights set forth in this act on their behalf, or by a parent or guardian authorized by law to take actions of legal consequence on behalf of the consumer who is the subject of the data. | 4. 権利の行使 本条に定める消費者の権利は、データの対象者である消費者、消費者が自分に代わって本法に定める権利を行使することを認めた代理人、またはデータの対象者である消費者に代わって法的な結果をもたらす行為を行うことを法律で認められた親または後見人によって、いつでも行使することができるものとする。 |
| § 4. This act shall take effect immediately; provided, however, that sections 1101, 1102, 1103, 1105, 1106 and 1107 of the general business law, as added by section three of this act, shall take effect January 1, 2022. | § 4. 本法は直ちに発効する。ただし、本法の第3節によって追加された一般商取引法の第1101条、第1102条、第1103条、第1105条、第1106条および第1107条は、2022年1月1日に発効する。 |
« Cloud Security Alliance ヘルスケア分野における人工知能 | Main | フランス CNIL Googleに1億5000万ユーロ、Facebookに6000万ユーロの制裁金(ユーザがCookieを受け入れるのと同じくらい容易にCookieを拒否できないので...) »
Comments