加州消费者隐私法案 (CCPA)
加利福尼亚消费者隐私法案(CCPA)定义
加利福尼亚消费者隐私法案(CCPA)是一项州法律,旨在增强加利福尼亚州居民的隐私权和消费者保护。它赋予消费者对企业收集的个人信息更多的控制权。
CCPA 于2018年6月28日签署成为法律,并于2020年1月1日生效。它被认为是美国最广泛的隐私法律之一,与欧盟的《通用数据保护条例》(GDPR)有相似之处。
CCPA 的关键概念和条款
消费者的知情权:CCPA 赋予消费者知晓企业收集了哪些个人信息以及这些信息如何使用的权利。企业需要披露他们收集的个人信息类别、信息来源、信息使用目的以及与哪些第三方共享。
消费者的删除权:消费者有权要求企业删除他们的个人信息,除非有特定例外。在收到经验证的请求后,企业必须删除其记录中的消费者个人信息,并指示其服务提供商也这样做,除非有例外情况适用。
消费者的选择退出权:出售个人信息的企业必须在其网站上提供"不出售我的个人信息"链接,以便消费者选择退出其个人信息的销售。消费者随时可以行使此权利,企业不得歧视行使此权利的消费者。
消费者的不歧视权:CCPA 禁止企业歧视行使自己权利的消费者。企业不能拒绝提供商品或服务、收取不同的价格或提供不同水平或质量的服务给行使隐私权的消费者。
儿童隐私:CCPA 包含对16岁以下儿童的特定保护措施。对于13岁以下儿童的个人信息,企业必须在销售前获得父母或监护人的同意。对于13至16岁的儿童,必须由儿童自己给予明确同意。
企业义务:除消费者权利外,CCPA 对企业也施加了一定的义务。企业必须采取合理的安全措施来保护他们收集的个人信息免遭未经授权的访问、毁坏、使用、修改或披露。企业还必须向消费者提供至少两种提交行使隐私权请求的方法,包括免费电话和网站地址。
CCPA 合规
企业应通过了解 CCPA 的要求并实施必要的政策和数据管理实践变更来确保合规。以下是一些防止违规的建议:
了解法律范围:企业应评估 CCPA 是否适用于他们,基于他们的年度总收入、处理的加利福尼亚消费者数据量以及是否符合法律中规定的其他标准。
更新隐私政策:企业必须审查并更新他们的隐私政策,包含关于所收集个人信息类别、信息使用目的及消费者权利的必需披露。
实施数据保护措施:企业必须采取合理的安全措施保护收集的个人信息。这可以包括加密、访问控制、定期数据备份和员工数据安全最佳实践培训。
提供消费者权利机制:企业应建立流程处理消费者的知情、删除和选择退出请求。这可能需要创建专用的邮箱地址或免费电话接收和处理消费者请求。
培训员工:企业应教育和培训员工,了解 CCPA 的要求,包括如何处理消费者请求、保护个人信息以及遵守法律条款。
与 GDPR 的关系
CCPA 与欧盟的《通用数据保护条例》(GDPR)有相似之处,后者于2018年5月实施。两者均旨在增强个人的隐私权,并对收集和处理个人信息的企业施加义务。然而,二者之间有一些关键差异:
地域范围:GDPR 适用于处理欧盟内个人数据的企业,无论企业所在地。而 CCPA 适用于收集加利福尼亚州居民个人信息的企业,无论企业地点。
同意要求:GDPR 强调获取个人对其个人数据处理的明确同意,而 CCPA 注重于赋予消费者选择退出其个人信息出售的权利。
处罚和执法:GDPR 允许对不合规的企业处以重罚,罚款可达公司年全球营业额的4%。CCPA 规定的民事罚款最高可达 $2,500,故意违规时最高可达 $7,500。
尽管存在差异,但对于同时处理加利福尼亚和欧盟个人信息的企业而言,理解和遵守这两项法规很重要。
相关术语
- 通用数据保护条例(GDPR):一项旨在保护欧盟及欧洲经济区内个人数据和隐私的法规。
- 个人信息:任何能够识别、与特定个人相关、描述或可与之关联的信息。