Om de tusentals kalifornier som använder Josh Simons app för musiker nästa månad kräver att Vampr raderar deras personliga information, Simons kommer att vara redo att följa.

Det sociala nätverksföretaget förväntar sig att vara ett av många företag i hela landet som omfattas av California Consumer Privacy Act, en lag som träder i kraft 1 januari och ger konsumenterna kontroll över de personuppgifter som företag samlar in, lagra och dela ofta med andra företag. Simons, som redan hade en användarintegritetspolicy på plats innan lagen blev lag förra året, har omarbetat policyn och Vampr-appen.

"Vi har en halv miljon användare runt om i världen, " säger Simons. "Det är definitivt något vi måste ha i åtanke."

Företag över hela landet måste vara medvetna om lagens komplexa krav även om de inte har att göra direkt med konsumenter. Det omfattar företag som bedriver verksamhet i Kalifornien, inklusive företag utanför staten som säljer produkter eller varor till invånare i Kalifornien. Lagen kan också omfatta företag som tjänar pengar på att tillhandahålla tjänster som betalningshantering eller webbhotell till företag som omfattas av lagen.

Lagen har bestämmelser som syftar till att undanta småföretag – företag är föremål för lagen om de har en världsomspännande intäkter över 25 miljoner dollar, samla in eller ta emot personlig information om 50, 000 eller fler Kalifornien konsumenter, hushåll eller elektroniska apparater; eller de som får minst hälften av sina intäkter från att sälja personlig information. Men små företag kan lätt nå 50, 000 tröskel för att samla in eller ta emot information – en individ som har en telefon, läsplatta, PC hemma och en på jobbet räknas som fyra användare, inte en enda.

Vampr är för närvarande cirka 1, 000 användare skygga för tröskeln, men Simons förväntar sig att appen kommer att nå den milstolpen någon gång i januari. Santa Monica, Kalifornien-baserade företagets hemstat är dess största marknad.

Lagen syftar till att skydda konsumenter från att få sin information såld utan deras vetskap eller samtycke. Det antogs av Kaliforniens lagstiftande församling i juni 2018, och utformad efter Europeiska unionens allmänna dataskyddsförordning, som trädde i kraft i maj 2018. Kaliforniens lag antogs med ökande oro för företag som delar konsumentdata, särskilt efter att man fick reda på att dataföretaget Cambridge Analytica fick felaktig åtkomst till Facebooks användarinformation.

Kaliforniens lag ger konsumenter rätt att veta vilken personlig information företag samlar in från dem, och vad företag gör med det – oavsett om de delar, överföra eller sälja den, och vem som är mottagare av informationen. Enligt en nyckelbestämmelse, företag måste ge konsumenterna möjlighet att få sin information raderad från databaser.

Lagen omfattar ett brett spektrum av uppgifter inklusive namn, adresser, Personnummer och passnummer, mejladresser, webbhistorik, köphistorik, personlig egendom och hälsoinformation, yrkes- eller anställningsinformation, utbildningsregister och information från GPS-appar och -program.

Företag som omfattas av lagen måste se till att deras system och webbplatser överensstämmer. Många utan egen teknikpersonal har anlitat företag för att installera programvara som bland annat skapar webbplatsens knappar och länkar som gör att konsumenterna kan se sin information och välja bort att lagra den. Vissa företag kan besluta sig för att få juridisk hjälp för att vara säkra på att de är på rätt väg. Simons, som själv installerade programvaran för att göra Vampr-kompatibel, uppskattar att processen kostade verksamheten 7 USD, 000, en stor summa för ett litet företag.

Medan Kaliforniens stadga träder i kraft den 1 januari, verkställigheten kommer inte att börja förrän den 1 juli. Och lagen som den ser ut nu kan ändras – lagstiftaren har redan antagit ett antal ändringar för att förtydliga och förfina lagens krav, och den statliga åklagarmyndigheten utarbetar fortfarande föreskrifter och vägledning om lagen.

En del av lagens komplexitet växer ur relationerna mellan företag som använder varandras data, till exempel, i fallet med en betalningsprocessor som måste använda kreditkort och annan personlig information som tillhandahålls av en återförsäljare för att genomföra transaktioner. I sådana fall, tjänsteleverantören måste underteckna ett avtal som förbjuder dem att använda uppgifterna för något annat ändamål än vad som anges i avtalet, säger Travis LeBlanc, en advokat som specialiserat sig på cybersäkerhetsrätt på företaget Cooley LLP i Washington, D.C.

Leverantörer som kan ansluta till kundföretags system kan oavsiktligt vara en ingångspunkt för hackare som försöker stjäla personlig information. Det var fallet när hackare kunde stjäla personlig information för mer än 60 miljoner Target-kunder 2013.

"Säljare är ofta en källa till svaghet, " LeBlanc säger. "CCPA hjälper till att uppmuntra företaget som har den primära relationen med konsumenter att ta ansvar för det."

Advokater tycker att vissa av lagens bestämmelser är vaga, vilket gör det oklart vilka företag som behöver följa. En bestämmelse säger att information är skyddad om den säljs eller överförs "till ett annat företag eller en tredje part för ekonomiskt eller annat värdefullt vederlag." Advokater undrar vad "värdefullt övervägande" betyder, säger David Stauss, en advokat med expertis inom teknologijuridik hos företaget Husch Blackwell i Denver.

"Det här kan verkligen bli svårt att tillämpa, " säger Stauss. "Det finns några saker som helt klart kommer att bli försäljning, men det är en gråzon."

Vissa företag som ändå inte kommer att omfattas av lagen ställer in sig på att följa lagen. Vissa förväntar sig att andra stater kommer att anta liknande lagar, medan andra är medvetna om att datasekretess är en känslig fråga som de måste ta itu med.

"Vi befinner oss i ett område under utveckling där konsumentsentimentet är mycket högt, " säger Dawn Barry, VD för Luna Public Benefit Corp., ett San Diego-baserat företag som samlar in data för medicinsk forskning. Även om karaktären av företagets verksamhet gör det undantaget från Kaliforniens lag, det är ändå förenligt med stadgan och Europas GDPR, säger Barry.

© 2019 Associated Press. Alla rättigheter förbehållna.