Skip to main content

2020 年 2 月 1 日 6分钟阅读

加州消费者隐私法 (CCPA) 于 2020 年 1 月 1 日起生效

在我们庆祝新年伊始之际,我们将仔细研究 2020 年新的加州隐私法,这将对企业处理个人数据的方式产生影响。它被称为《加州消费者隐私法》CCPA,旨在为加州居民提供对其个人数据存储和处理方式的更多控制权。自2020 年 1 月 1 日起,本隐私法生效。

这项新立法将影响谁?关于 CCPA 的主要知识有哪些?作为网站所有者,您可以做些什么来确保您遵守它?

新法律势必会影响大多数网站所有者和运营商,就像之前在欧洲 GDPR 中发生的那样。然而,在许多方面, CCPA 并不像 GDPR 那样严格,而是更明确地针对出售消费者个人数据的公司

CCPA 会影响哪些网站?

首先,法律的效力仅限于加州居民。然而,这并不意味着加州以外的企业在与来自该州的客户打交道时不必遵守法律。由于加利福尼亚州的居民可以访问任何网站,无论它在哪里运营,这基本上意味着美国和国外的所有网站所有者都应该采取措施实现 CCPA 合规性。

我们之前在欧洲的 GDPR 法中已经看到了这一点,该法针对所有处理欧盟公民个人信息的公司。在 GDPR 生效时,美国和其他地方的网站所有者要么为其所有客户遵守 GDPR,要么决定在访问来自欧盟 IP 的情况下简单地阻止对其网站的访问。

如果您在美国其他任何一个州经营网站,您可能会在这里面临类似的选择。如果您有能力将居住在加利福尼亚的客户排除在外,则可以选择阻止来自加利福尼亚 IP 的访问。然而,未来数据隐私法也可能会出现在立法者的议程上。未来会有更多州(如果不是所有州)通过类似的立法,这并非不可预见。因此,与其逐步屏蔽潜在客户,不如现在就遵守,无论您的企业位于何处。

其次,与 GDPR 不同,该法律的影响有限。 CCPA 仅涉及以下公司:

  • 总收入至少为 2500 万美元的人
  • 每年拥有至少50,000 名加州居民/家庭/设备个人信息的人
  • 他们至少 50% 的年收入来自出售加州人的个人数据

如果您的网站收集个人信息,但不属于上述类别之一,那么您可以照常营业。这些警告清楚地表明,该法律并非针对小企业主设计,而是针对从出售大量个人信息中获利的公司。但是,请务必检查您网站上来自加利福尼亚的唯一身份访问者的数量。如果该数字在一年内超过 50,000,那么您将不得不考虑 CCPA 合规性。

根据 CCPA,什么被视为个人数据?

与我们之前在GDPR 相关主题中讨论的内容没有太大区别,因为所涉及的个人数据几乎相同:姓名、电子邮件地址、位置、生物特征数据等。法律将其定义为“识别、涉及、描述、能够与特定消费者或家庭直接或间接相关,或者可以合理地与特定消费者或家庭相关联”。请注意,公开信息以及去识别化或汇总的消费者信息不被视为 CCPA 规定的个人信息。

为了符合 CCPA,我需要做什么?

您仍然可以收集甚至出售个人信息,但您需要让用户轻松选择退出此过程。法律明确规定,如果企业出售用户的个人信息,则必须在其主页上提供一个明确的链接,标题为“请勿出售我的个人信息”。此外,根据选择加入或退出的选择提供不同的服务或功能是非法的。所有客户仍然必须从相同的服务中受益。

与 GDPR 类似,您必须授予客户访问数据删除其个人数据以及要求披露所有收集和出售的个人数据类别的权利(如果是这样的话)。这将每年进行一次。根据要求,您必须提供请求前 12 个月的个人数据。此外,客户每年最多只能提交两次此类索赔。

此外,请确保在您的隐私政策中包含以下内容

  • 您收集和处理的所有类别的信息
  • 这些类别的信息用于什么
  • 如何收集信息
  • 请求访问、更改、移动或删除个人数据的程序是什么
  • 如何验证提交请求的人的身份
  • 如果要出售个人数据,则必须在此处进行描述
  • 如何选择不出售他们的数据

GDPR 合规是否自动意味着您也符合 CCPA?

不一定,但如果您已采取措施遵守 GDPR,那么您也可能符合 CCPA。除出售个人数据的明确规则外,GDPR 中也包含上述所有条件。

不遵守 CCPA 的风险是什么?

网站所有者面临的主要风险是数据泄露。根据法律,公司有责任防止未经授权的访问和盗窃消费者数据。如果发生这种情况,任何数据泄露的用户都有权要求赔偿 100 美元至 750 美元之间的损失。数千名用户的数据被盗的大规模数据泄露可能会导致公司破产。乘以 1000 x 750 美元,您可以估算出影响。

但是,在提起任何民事诉讼之前,如果可能的话,公司有30 天的时间来“纠正发现的违规行为”

分析工具 CCPA 合规性

由于去识别化数据以及聚合数据不属于 CCPA 规则,因此大多数分析工具可能默认符合要求。但是,您应确保阅读任何此类第三方的数据处理协议和隐私政策,以确保您了解有关个人数据使用的所有信息。作为遵守 GDPR 的努力的一部分,访客分析也符合 CCPA。我们公司不参与销售或与他人共享数据。我们收集的数据不能与任何个人或家庭或设备的身份相关联。

如果您需要有关新隐私法的更多详细信息,可以阅读1.81.5 的全文。加州消费者隐私法在这里。如果您想了解更多关于访客分析如何遵守隐私法的信息,请阅读我们的隐私政策和数据处理协议。