Skip to main content

1 กุมภาพันธ์ 2020 อ่าน 6 นาที

California Consumer Privacy Act (CCPA) มีผลบังคับใช้ตั้งแต่วันนี้ 1 มกราคม 2020

ในขณะที่เราเฉลิมฉลองการเริ่มต้นปีใหม่ เราจะพิจารณากฎหมายความเป็นส่วนตัวของแคลิฟอร์เนียฉบับใหม่ในปี 2020 อย่างละเอียดยิ่งขึ้น ซึ่งจะส่งผลต่อวิธีที่ธุรกิจจัดการข้อมูลส่วนบุคคล เรียกว่า California Consumer Privacy Actหรือ CCPAมีขึ้นเพื่อให้ผู้อยู่อาศัยในแคลิฟอร์เนียสามารถควบคุมวิธีการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลของพวกเขาได้มากขึ้น เริ่มตั้งแต่วันนี้ 1 มกราคม 2020กฎหมายความเป็นส่วนตัวนี้มีผลบังคับใช้

กฎหมายใหม่นี้จะส่งผลกระทบต่อใครบ้าง สิ่งสำคัญที่ต้องรู้เกี่ยวกับ CCPA คืออะไร คุณสามารถทำอะไรได้บ้างเพื่อให้แน่ใจว่าคุณปฏิบัติตามนั้นในฐานะเจ้าของเว็บไซต์

กฎหมายฉบับใหม่นี้มีผลกระทบต่อเจ้าของเว็บไซต์และผู้ดำเนินการเว็บไซต์ส่วนใหญ่ เช่นเดียวกับที่เคยเกิดขึ้นกับ GDPR ของยุโรป อย่างไรก็ตาม ในหลาย ๆ ด้าน CCPA ไม่ได้เข้มงวดเท่ากับ GDPRและ มุ่งเป้าไปที่บริษัทที่ขายข้อมูลส่วนบุคคลของผู้บริโภคอย่างชัดเจนมากขึ้น

CCPA เว็บไซต์ใดบ้างที่จะได้รับผลกระทบ

ประการแรก ผลกระทบของกฎหมายจำกัดเฉพาะ ผู้อยู่อาศัยในแคลิฟอร์เนียอย่างไรก็ตาม นี่ไม่ได้หมายความว่าธุรกิจนอกรัฐแคลิฟอร์เนียจะไม่ต้องปฏิบัติตามกฎหมาย หากพวกเขาติดต่อกับลูกค้าจากรัฐนี้ เนื่องจากผู้ที่อาศัยอยู่ในแคลิฟอร์เนียสามารถเข้าถึงเว็บไซต์ใดๆ ก็ได้ ไม่ว่าจะดำเนินการจากที่ใด โดยพื้นฐานแล้วหมายความว่าเจ้าของเว็บไซต์ทั้งหมด ในสหรัฐอเมริกาและต่างประเทศ ควรปฏิบัติตามขั้นตอนของ CCPA

เราเคยเห็นสิ่งนี้มาก่อนด้วยกฎหมาย GDPR ในยุโรป ซึ่งมุ่งเป้าไปที่ทุกบริษัทที่จัดการข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป ในขณะที่ GDPR มีผลบังคับใช้ เจ้าของเว็บไซต์ในสหรัฐอเมริกาและที่อื่น ๆ ได้ปฏิบัติตาม GDPR สำหรับลูกค้าทั้งหมดของตน หรือตัดสินใจที่จะบล็อกการเข้าถึงเว็บไซต์ของตนอย่างง่าย ๆ หากการเข้าชมนั้นดำเนินการจาก IP ในสหภาพยุโรป

หากคุณเปิดเว็บไซต์ในรัฐอื่นๆ ของอเมริกา คุณอาจเผชิญกับตัวเลือกที่คล้ายกันที่นี่ หากคุณสามารถยกเว้นลูกค้าที่อาศัยอยู่ในแคลิฟอร์เนียได้ ก็มีตัวเลือกในการบล็อกการเข้าชมจาก IP ของแคลิฟอร์เนีย อย่างไรก็ตาม กฎหมายความเป็นส่วนตัวของข้อมูลมีแนวโน้มที่จะอยู่ในวาระของสมาชิกสภานิติบัญญัติในอนาคตเช่นกัน ไม่อาจคาดการณ์ได้ล่วงหน้าว่าหากไม่ใช่ทุกรัฐจะผ่านกฎหมายที่คล้ายคลึงกันในอนาคต ดังนั้น แทนที่จะบล็อกผู้มีโอกาสเป็นลูกค้าทีละน้อย อาจเป็นการดีกว่าที่จะปฏิบัติตามตอนนี้ ไม่ว่าธุรกิจของคุณจะตั้งอยู่ที่ใด

ประการที่สอง ไม่เหมือนกับ GDPR ผลกระทบของกฎหมายค่อนข้างจำกัด CCPA จะเกี่ยวข้องกับบริษัทต่อไปนี้เท่านั้น:

  • ที่มีรายได้รวม อย่างน้อย $25 ล้าน
  • ผู้ที่มีข้อมูลส่วนบุคคลของ ชาวแคลิฟอร์เนียอย่างน้อย 50,000 คน/ครัวเรือน /อุปกรณ์ต่อปี
  • อย่างน้อย 50% ของรายได้ประจำปีของพวกเขามาจากการขายข้อมูลส่วนบุคคลของชาวแคลิฟอร์เนีย

หากเว็บไซต์ของคุณรวบรวมข้อมูลส่วนบุคคล แต่ไม่อยู่ในหมวดหมู่ใดหมวดหมู่หนึ่งข้างต้น คุณก็สามารถทำธุรกิจได้ตามปกติ คำเตือนเหล่านี้เป็นสัญญาณชัดเจนว่ากฎหมายไม่ได้ออกแบบมาโดยคำนึงถึงเจ้าของธุรกิจขนาดเล็ก แต่มุ่งเป้าไปที่บริษัทที่ทำกำไรจากการขายข้อมูลส่วนบุคคลจำนวนมาก อย่างไรก็ตาม อย่าลืมตรวจสอบจำนวนผู้เข้าชมที่ไม่ซ้ำจากแคลิฟอร์เนียที่คุณมีในเว็บไซต์ของคุณ หากตัวเลขดังกล่าวเกิน 50,000 ในหนึ่งปี คุณจะต้องพิจารณาการปฏิบัติตาม CCPA

ข้อมูลส่วนบุคคลภายใต้ CCPA คืออะไร?

ไม่มีอะไรแตกต่างกันมากจากที่เราได้พูดคุยกันใน หัวข้อที่เกี่ยวข้องกับ GDPR ก่อนหน้านี้เนื่องจากข้อมูลส่วนบุคคลที่เกี่ยวข้องค่อนข้างจะเหมือนกัน: ชื่อ ที่อยู่อีเมล ที่ตั้ง ข้อมูลไบโอเมตริกซ์ฯลฯ กฎหมายกำหนดสิ่งนี้เป็นข้อมูลใดๆ ที่ "ระบุ เกี่ยวข้องกับ, อธิบาย, สามารถเชื่อมโยงกับหรือสามารถเชื่อมโยงอย่างสมเหตุสมผล, โดยตรงหรือโดยอ้อม, กับผู้บริโภคหรือครัวเรือนเฉพาะ". โปรดทราบว่าข้อมูลที่ เปิดเผยต่อสาธารณะตลอดจน ข้อมูลผู้บริโภคที่ไม่ระบุตัวตนหรือรวมไม่ถือเป็นข้อมูลส่วนบุคคลภายใต้ CCPA

ฉันต้องทำอย่างไรเพื่อให้เป็นไปตามข้อกำหนด CCPA

คุณยังสามารถรวบรวมและขายข้อมูลส่วนบุคคลได้ แต่คุณต้องทำให้ผู้ใช้เลือกไม่เข้าร่วมกระบวนการนี้ได้ง่าย กฎหมายระบุไว้อย่างชัดเจนว่า หากธุรกิจขายข้อมูลส่วนบุคคลของผู้ใช้ จะต้องมีลิงก์ที่ชัดเจนในหน้าแรกของพวกเขา ซึ่งมีชื่อว่า "อย่าขายข้อมูลส่วนบุคคลของฉัน"นอกจากนี้ การเสนอบริการหรือคุณลักษณะที่แตกต่างกันโดยพิจารณาจากการเลือกเข้าร่วมหรือยกเลิกถือเป็นการกระทำที่ผิดกฎหมาย ลูกค้าทุกคนยังคงได้รับประโยชน์จากบริการเดียวกัน

เช่นเดียวกับ GDPR คุณต้องให้สิทธิ์ลูกค้าในการ เข้าถึงข้อมูลเพื่อ ลบข้อมูลส่วนบุคคลของพวกเขาและ ขอให้เปิดเผยข้อมูลส่วนบุคคลทุกประเภทที่มีการรวบรวมและขาย (หากเป็นกรณี) นี้จะทำเป็นประจำทุกปี ตามคำขอ คุณต้องให้ข้อมูลส่วนบุคคลจากช่วง 12 เดือนก่อนหน้าก่อนคำขอนอกจากนี้ ลูกค้าสามารถยื่นคำร้องดังกล่าวได้สูงสุด สองครั้งต่อปีเท่านั้น

นอกจากนี้ โปรดตรวจสอบให้แน่ใจว่าได้ รวมข้อมูลต่อไปนี้ในนโยบายความเป็นส่วนตัวของคุณ:

  • ข้อมูลทุกประเภทที่คุณรวบรวมและประมวลผล
  • ประเภทของข้อมูลเหล่านี้ใช้สำหรับอะไร
  • วิธีการรวบรวมข้อมูล
  • ขั้นตอนการขอเข้าถึง เปลี่ยนแปลง ย้าย หรือลบข้อมูลส่วนบุคคลมีขั้นตอนอย่างไร
  • วิธีตรวจสอบตัวตนของผู้ยื่นคำร้อง
  • หากมีการขายข้อมูลส่วนบุคคล จะต้องอธิบายไว้ที่นี่
  • วิธีการยกเลิกการขายข้อมูลของพวกเขา

การปฏิบัติตาม GDPR โดยอัตโนมัติหมายความว่าคุณปฏิบัติตาม CCPA ด้วยหรือไม่

ไม่จำเป็น แต่มีโอกาสเกิดขึ้นที่หากคุณทำตามขั้นตอนเพื่อปฏิบัติตาม GDPR คุณจะปฏิบัติตาม CCPA ด้วย เงื่อนไขทั้งหมดข้างต้นมีอยู่ใน GDPR เช่นกัน ยกเว้นกฎที่ชัดเจนสำหรับการขายข้อมูลส่วนบุคคล

อะไรคือความเสี่ยงของการไม่ปฏิบัติตาม CCPA?

เจ้าของเว็บไซต์ที่มีความเสี่ยงหลักคือการ ละเมิดข้อมูลภายใต้กฎหมาย บริษัทมีหน้าที่ป้องกันการเข้าถึงและการขโมยข้อมูลของผู้บริโภคโดยไม่ได้รับอนุญาต หากเกิดเหตุการณ์นี้ขึ้น ผู้ใช้ที่มีข้อมูลรั่วไหลมีสิทธิ์ยื่นฟ้อง เรียกค่าเสียหายเป็นจำนวนเงินระหว่าง $100 ถึง $750การละเมิดข้อมูลขนาดใหญ่ซึ่งข้อมูลของผู้ใช้หลายพันคนถูกขโมย อาจทำให้บริษัทล้มละลายได้ คูณ 1,000 x $750 แล้วคุณจะได้ค่าประมาณของผลกระทบ

อย่างไรก็ตาม ก่อนที่จะมีการดำเนินคดีทางแพ่ง บริษัทต่างๆ จะได้รับอนุญาต ให้ "รักษาการละเมิดที่สังเกตเห็น" ได้ 30 วันหากเป็นไปได้

เครื่องมือวิเคราะห์การปฏิบัติตาม CCPA

เนื่องจาก ข้อมูลที่ไม่ระบุตัวตน เช่นเดียวกับ ข้อมูลที่รวบรวมไม่ได้อยู่ภายใต้กฎของ CCPA เครื่องมือวิเคราะห์ส่วนใหญ่จึงมีแนวโน้มที่จะปฏิบัติตามโดยค่าเริ่มต้น อย่างไรก็ตาม คุณควรตรวจสอบให้แน่ใจว่าได้อ่านข้อตกลงการประมวลผลข้อมูลและนโยบายความเป็นส่วนตัวของบุคคลที่สามดังกล่าว เพื่อให้แน่ใจว่าคุณมีข้อมูลทั้งหมดเกี่ยวกับการใช้ข้อมูลส่วนบุคคล ส่วนหนึ่งของความพยายามที่จะปฏิบัติตาม GDPR นั้น Visitor Analytics ได้กลายเป็นการปฏิบัติตาม CCPA ด้วยเช่นกัน บริษัทของเราไม่มีส่วนร่วมในการขายหรือแบ่งปันข้อมูลกับผู้อื่น ข้อมูลที่เรารวบรวมไม่สามารถเชื่อมต่อกับข้อมูลประจำตัวของบุคคลหรือครัวเรือนหรืออุปกรณ์ใด ๆ

หากคุณต้องการรายละเอียดเพิ่มเติมเกี่ยวกับกฎหมายความเป็นส่วนตัวฉบับใหม่ คุณสามารถอ่าน ข้อความเต็มของ 1.81.5 California Consumer Privacy Actที่นี่หากคุณต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่ Visitor Analytics ปฏิบัติตามกฎหมายความเป็นส่วนตัว โปรดอ่าน นโยบายความเป็นส่วนตัวและ ข้อตกลงในการประมวลผลข้อมูลของเรา