CCPA加州隐私法对您的企业意味着什么

近年来，企业已经习惯了适应新的隐私法律的过程。毕竟，就在去年，GDPR生效并影响了全球公司如何使用个人数据。

如今，2020年生效了另一项重大法规。加利福尼亚推出了《加利福尼亚消费者隐私法》（CCPA），成为美国首个州级隐私法。专家表示，这将成为其他州在全国范围内制定数据隐私法的模板。

数据驱动的企业正在为这项新法规做准备，就像他们在2018年5月为通用数据保护条例做准备一样。自然而然，企业领导人会问一个问题：CCPA对我的企业意味着什么？

今天我们将解释什么是CCPA，它将如何影响您的业务，以及您可能对CCPA的其他任何疑问。

免责声明：本文的目的是提供有关CCPA的一般性额外信息和资源。ZoomInfo并不打算将其作为处理您独特业务中的消费者隐私的法律或商业建议或推荐，并且您不应将其理解为此类建议。

CCPA是什么？

CCPA是为了保护居住在加利福尼亚州的消费者的隐私权和个人数据而制定的。这项隐私法赋予消费者权利，要求企业披露其所收集关于消费者的个人信息的细节。

根据官方CCPA网站的信息，该法案为加利福尼亚居民提供以下权利：

- 了解企业收集的个人信息及其使用和共享方式的权利； - 删除他们提供的个人信息的权利（有一些例外）； - 选择不参与个人信息的销售的权利； - 行使CCPA权利不受歧视的权利。

个人信息的所有权

《加州消费者隐私法》赋予消费者了解企业收集其个人信息的权利。该法还赋予消费者告知企业不得使用其个人信息的权利。

消费者可以要求企业披露其收集的个人信息的类型、收集信息的目的以及这些信息被出售给谁。他们每年可以免费两次行使这些要求。

不提供个人信息给企业的人的保护措施。

CCPA禁止对不允许企业出售个人数据的居民进行歧视。

换句话说，如果消费者告诉企业不要分享他们的数据，该企业就不能因此向消费者收取更高的费用，拒绝提供服务，或者降低服务质量。

公司必须在隐私政策中包含一个可点击的链接，上面写着“不出售我的数据”。这个选项必须显示在企业收集个人信息的任何页面上。企业不能隐藏此选项或使其难以找到。

提供更多安全保护以防止数据泄露

CCPA要求企业实施“合理的安全措施”，以保护加利福尼亚居民的个人信息免受潜在的数据泄露。

如果企业未采取足够的措施保护从销售潜在客户和客户那里收集的个人信息，它们将面临增加的罚款和处罚。

加州隐私保护法（CCPA）何时生效？

CCPA在2020年1月1日生效，执法工作于2020年7月1日开始。

重要日期

2020年1月1日 - 法案生效日期 2020年1月31日 - 数据经纪人注册截止日期 2020年7月1日 - 执法工作开始日期

CCPA如何定义个人和公共信息？

CCPA将“个人信息”定义为任何能够识别、涉及、描述、与特定消费者或家庭直接或间接相关的，或者合理地与之关联的信息。

CCPA文件继续提供个人数据的具体例子。列表包括但不限于以下标识符：

真实姓名、别名、地址、电子邮件地址、社会安全号码、许可证号码、护照号码或类似标识符。商业信息，包括财产记录、产品购买记录以及其他消费者历史和倾向。生物特征数据，如指纹和面部识别数据。互联网或网络活动数据，如IP地址、浏览历史、搜索历史以及与在线网站或广告的互动。

“个人信息”不包括公开可获取的信息。就CCPA而言，公开可获取的信息是指根据联邦、州或地方政府记录合法提供的数据。

公开可获取信息是合法由联邦、州或地方政府发布的数据。公共数据不被视为个人信息。

以下是公开可获取信息的示例，不受CCPA规定的管辖：

政府房地产记录和安全利益登记广泛分布的媒体来源，如电话簿、电视或广播、在线或印刷出版物公开记录中包含的抵押信息

我的业务是否受CCPA影响，我如何知道？

CCPA适用于任何营利组织，其收集、共享或出售加利福尼亚居民的个人数据，并满足以下三个标准之一：

年度总收入超过2500万美元。拥有5万名或更多消费者、家庭或设备的个人信息。通过销售个人信息获得年度收入超过一半。

影响清单

为了帮助您的团队讨论对您的业务的影响，以下是一些可以让您自问的问题：

我们的业务是否符合CCPA的要求？为了合规，我们的业务需要做哪些工作？我们的客户如何直接在网站上选择退出？我们的网站上还需要有哪些其他信息？我们是否需要在现有合同和新合同中添加条款？在数据/安全漏洞方面需要做些什么？在证书方面需要什么吗？

如果我的企业符合GDPR，这是否意味着它也符合CCPA？

CCPA和GDPR在保护个人数据方面存在许多相似之处。但是，这两项法规之间也有几个关键的差异。

一方面，GDPR适用于数据控制者和数据处理者。CCPA仅适用于满足上述要求的盈利性企业。

欢迎查看我们关于GDPR合规的信息图表 - 一份营销人员的欧洲数据隐私法规备忘清单。

GDPR还赋予消费者更正不准确个人数据的权利，并限制或反对数据处理。而CCPA并没有明确包括这些权利。然而，CCPA却包括了GDPR没有的额外要求。

这些要求包括在商业网站上添加“不出售我的个人信息”选项，向消费者披露个人信息的销售或收集，并对行使其CCPA权利的消费者进行非歧视性待遇。

总之，你不应该假设你符合GDPR的业务也符合CCPA的要求。

违反CCPA的处罚是什么？

加州CCPA的民法典包括违法行为的严重程度、过去的违规行为、违法行为的持续性、公司的净值和其他因素。

根据此规定，不遵守新规定的企业将面临以下制裁和补救措施：

公司可以被授权代表加州居民行使选择退出权利对于发生数据泄露或其他安全漏洞的公司，可以被命令支付每位加州居民和每个事件的法定损害赔偿，金额在100美元至750美元之间，或者支付实际损害赔偿，以较高者为准 公司还可能面临法庭认定的任何其他判决，但加州检察官办公室有选择起诉公司而不允许提起民事诉讼的权利 另外，公司可能面临每次故意违反的罚款高达7500美元，以及每次无意违反的罚款2500美元

如何确保我的企业符合CCPA法规？

有几个步骤是您的企业必须采取的，以确保消费者能够行使他们在CCPA下的权利。具体如下：

为消费者提供两种或更多的方式来提交有关个人信息的请求。至少，这些方式必须包括一个免费电话号码，以及至少一种其他方式，比如指定的电子邮件地址或在线表格。建立对消费者请求的响应协议，要求在收到请求后的45天内回复。更新您的隐私政策，以包括新的CCPA隐私权利。分析您的数据收集和文档处理流程。确保能够追踪您如何收集数据、如何使用数据、数据存放在何处，并建立一个系统来向消费者提供这些信息。向消费者提供关于他们个人信息被出售的通知。实施一个及时遵守退订请求的流程。评估和记录您的数据安全实践，确保您的企业采取必要的措施来防止数据盗窃及其他安全漏洞。

确保您的法律团队审查整个CCPA计划，以确定您的企业必须实施的所有步骤，以保持合规性。我们强烈建议您对整个员工团队进行CCPA合规的关键要求进行教育。

验证客户隐私请求

一旦请求提出，您的企业必须至少在12个月内遵守消费者的决定。

任何受CCPA监管的企业都需要在网站首页上以及“收集个人信息的任何互联网网页”上“显眼”的位置放置一个“不出售我的个人信息”链接或按钮。

链接需要将访问者带到一个网页，让他们可以选择不让他们的个人信息被出售或分享。

与"不出售我的个人信息"链接类似，所有受影响的企业都需要为加利福尼亚居民提供一个免费电话号码，以行使CCPA下的同样权利。

尽管加利福尼亚州是美国第一个实施此类隐私法规的州，但它肯定不会是最后一个。越来越多的州开始起草类似的法律，我们很可能在未来几年看到许多类似的法规出台。

我们知道理解新的数据隐私法所面临的挑战，特别是在每个法规之间存在明显的差异时。

然而，GDPR、CCPA以及随后的任何数据隐私法都拥有重要的目的。那就是给予消费者更多对个人数据的控制权。

随着数据和商业智能领域的不断发展，这些新的保护法案是在数据安全和责任方面向正确方向迈出的一步。