什么是CCPA合规?

2018年《加州消费者隐私法》(CCPA)的出台是美国隐私法的一个转折点,据估计,美国有50万家公司受到该法律的影响。CCPA合规意味着所涉企业——即属于CCPA范围内的营利性实体——能够明确地履行CCPA规定的义务,包括一系列新的消费者权利、个人信息的新定义以及关于商业行为的新概念企业而且服务提供商关于控制器和处理器的角色。

下载电子书:遵守CCPA的终极指南

CCPA合规有很多好处,包括为组织提供市场营销和竞争优势,以及避免高额罚款,每次非故意违规可高达2500美元,每次故意违规可高达7500美元。

CCPA概述

CCPA是美国通过的第一部全面的隐私法。最初的投票是2017年10月推出由加州消费者隐私保护组织发起,并制定了CCPA的初步语言。参议院第1121号法案(SB 1121)由加州立法机关提出,最终由加州参议院批准,并于2018年5月提交给加州议会。作为SB 1121法案签署成为法律协议的一部分,加州消费者隐私保护组织撤回了投票。2018年6月,加州州长杰里·布朗(Jerry Brown)签署了CCPA,并于2020年1月1日生效。加州立法机构已经发布多次修改《中华人民共和国法律》以及拟议的法规。

CCPA旨在通过一系列新的消费者权利,以及要求企业在收集某些信息时通过隐私政策通知消费者,让加州消费者对其个人信息的处理方式有更多的控制权。

CCPA关键术语

个人信息

个人信息是用于描述CCPA范围内的个人数据的术语。这是任何识别、涉及、描述、合理地能够与特定消费者或家庭直接或间接地相关联或可能合理地相关联的信息。个人信息或PI的例子包括但不限于:

  • 的真实姓名
  • 邮寄地址
  • 在线标识符
  • IP地址
  • 电子邮件地址
  • 社会保险号码
  • 驾照号码
  • 护照号码

业务

CCPA下的业务定义与CCPA下的业务定义相似GDPR下的数据控制者.企业被定义为以营利为目的的法律实体,收集个人信息,确定处理个人信息的目的,在加利福尼亚州开展业务,并满足以下一个或多个阈值:

  • 年总收入超过2500万美元;
  • 单独或组合,每年为商业目的单独或组合购买、接收、出售或共享5万名或以上消费者、家庭或设备的个人信息;而且
  • 其年收入的50%或以上来自出售消费者的个人信息

服务提供者

与业务的定义一样,CCPA下的服务提供商与GDPR下的数据处理者概念有相似之处。服务提供商被定义为代表企业处理个人信息的任何以营利为目的的法律实体。

消费者

消费者是加州法规第18条中定义的加州居民的自然人。

法律所定义的“居民”一词,包括(一)非以临时或暂时目的在本州境内的个人,以及(二)以临时或暂时目的在本州境外有住所的个人。其他所有人都是非居民。”

不要出售

在加州赋予消费者的众多权利中,CCPA包括指示企业停止出售其个人信息的权利。企业必须告知消费者,个人信息被出售给第三方,消费者有权通过隐私政策选择不接受这种销售。企业还必须在其主页上添加“不要出售我的个人信息”链接,将消费者引导到一个网页,在那里他们可以行使不出售个人信息的权利。

退出图标

加州总检察长发布了一个专门的“退出”图标,企业可以在“不销售”链接之外使用该图标,以提高消费者对他们有权选择退出的意识。

在企业网站上使用退出图标不应该用来代替“不出售我的信息”链接。

CCPA是否适用于您的组织?

要确定您的业务是否受CCPA保护,您需要考虑“物质范围”(即您的加工活动是否受CCPA监管)和“领土范围”(即您的商业活动是否在加州境内发生或涉及加州人的个人信息)。

领土范围

在加州经营的实体都在CCPA的管辖范围之内。然而,“完全在加州以外”进行商业活动的企业不属于CCPA的范围,这包括;

  • 当消费者不在加州时收集的信息,
  • 消费者个人信息的销售没有发生在加利福尼亚州,以及
  • 消费者在加州期间收集的个人信息不会被出售

材料范围

CCPA的实质范围包括对消费者个人信息的处理、收集和销售。如前所述,企业应考虑有关个人信息的每一项行为及其相应的义务。

处理被定义为对个人数据执行的操作,无论是否通过自动化手段。根据CCPA收集个人信息包括但不限于购买、租赁、接收或访问与消费者有关的任何个人信息。“出售”一词包括出租、披露或交换个人信息以换取“金钱或其他有价值的对价”等行为。

消费者权益

CCPA规定了几项权利,允许消费者控制企业处理、共享和出售其个人信息的方式。

知情权

消费者有权了解企业收集的有关他们的个人信息,以及这些信息是如何被使用和共享的。

存取权

消费者有权要求企业披露已收集的个人信息及其使用目的。

删除权

消费者有权要求企业删除从他们那里收集的任何个人信息。这项权利适用豁免。

有权选择退出

消费者有选择退出的权利个人信息的买卖。

不受歧视的权利

消费者有权行使其在CCPA下的权利,而不受诸如拒绝提供商品或服务、收取不同价格或提供不同水平的服务等影响。

遵从CCPA的5个步骤

实施消费者权利请求流程

遵从CCPA的第一步是建立一个专门的消费者权益要求程序根据CCPA下的新消费者权利,满足组织所面临的要求。在实施消费者权利要求流程时,应考虑以下步骤:

  • 摄入量消费者权益要求:组织应提供两个或两个以上指定的入场方式,包括一个免费电话号码和一个网址。不应该要求消费者为了提交请求而创建一个帐户,但是,企业可以要求拥有现有帐户的消费者使用这个帐户来行使他们的权利。
  • 确定请求的有效性:一旦收到请求,隐私办公室应审查请求,并确定应采取何种行动,以及是否适用任何豁免。
  • 验证使用者的身份:对于访问和删除请求,组织应采取措施验证请求者的身份,包括电子邮件或电话验证、确认已知信息或第三方验证服务。消费者行使拒绝服务的权利时,毋须核实其身份,并应提供安全的方法与消费者沟通。
  • 完成要求:各组织应涵盖提出请求前的12个月期间,并以便于携带和阅读的格式公开信息。申请应在收到后45天内免费办理。
  • 文档请求历史记录:组织应保存24个月的请求记录,以便问责制、合规性和发生争议时使用。应保存消费者要求的记录,以监测消费者在12个月内是否提出过两次要求。

选择退出AdTech和Cookies

CCPA的退出销售要求意味着企业应该检查他们的网站扫描行为,并考虑这些行为是否符合CCPA对销售的定义。

针对地理位置的cookie横幅可以包含CCPA特定的语言,用于选择退出同意,并可以帮助企业满足CCPA在收集时披露的要求。

ld乐动体育官方网站 而且供应商管理系统还可能需要确定接收个人信息的第三方不属于服务提供商豁免范围。

内部数据治理乐动体育在线登陆

创建数据清单和内部乐动体育在线登陆流程可以帮助您有效地响应消费者的请求,并了解您拥有哪些数据、数据存储在何处以及与之相关的遵从性需求。

集中式数据清单还可以帮助跟踪数据转移或销售的发生地点,监控供应商关系和潜在的第三方风险,以及跟踪CCPA合规性。

政策及披露管理

应更新私隐政策及收集通知,以符合《防止侵权行为守则》的规定。企业必须披露收集的个人信息的类别、使用目的以及收集时消费者的权利。

企业还必须在其隐私政策中强制披露其他信息,包括企业是否出售或披露了消费者的个人信息。隐私政策还必须包括对消费者权利的描述,以及至少一种提交权利请求的接收方法。企业可以考虑将这些信息托管在专门的隐私门户或通过加州特定的隐私政策。

下载电子书:遵守CCPA的终极指南

持续遵守CCPA

遵守任何隐私法律或法规都不是一次性的,需要持续监控。以下三个支柱是在寻求实现目标时需要考虑的关键领域持续合规与CCPA:

  • 研究:保持对当前监管发展的高度关注,并监测新的监管机构指导,以便能够准确地审查内部政策和流程,以改进领域。
  • 培训:组织内的员工应该接受有关CCPA需求和业务流程的培训,以帮助确保对遵从性职责有基本的理解。CCPA及其条例还概述了针对所涉企业的具体培训要求,包括处理未成年人消费者请求的培训,以及针对出售或共享1000万或以上消费者个人信息的企业的隐私培训政策。
  • 基准:CCPA所涵盖的企业应考虑获得隐私或ISO认证,以及内部项目成熟度评估,以基准CCPA合规进展。

进一步的CCPA合规阅读:

遵守CCPA的下一步措施:

关注OneTrustLinkedIn推特,或YouTube查阅有关遵守《防止罪案守则》的最新资料。