加州消费者隐私法案 (CCPA) 合规性终极指南

已发表: 2019-12-23

2018 年加州消费者隐私法案 (CCPA) 是加州通过的一项法律，旨在保护其居民的数据和隐私。 CCPA 并不能替代当前的加州隐私法，而是会与它们并驾齐驱。

根据 CCPA 的说法，企业必须更加坦率地了解他们收集的内容及其使用方式。在出售他们的信息之前，他们还必须征得未成年人的同意。此外，用户现在可以阻止企业出售他们的数据。

但是，CCPA 并不意味着您不能再出售您收集的用户信息。但是，当涉及到加利福尼亚居民时，您将不得不多跳几圈。

CCPA 于 2020 年 1 月 1 日生效，但企业必须在 2020 年 7 月 1 日之前完全遵守。这不是推迟这件事的借口。不过，由于执法行动在几个月内不会开始，因此企业有时间调整其政策、流程和网站。

CCPA 考虑什么“个人数据”？

个人数据是描述或识别个人或以某种方式与个人或家庭相关联的任何内容。包括了：

电子邮件地址
就业信息
地理位置
IP地址
姓名

从技术上讲，公开信息不被 CCPA 视为个人数据。然而，这是一个灰色地带，最好在完全合规方面犯错，而不是冒险。此外，即使某个用户的个人数据是公开可用的，这也不适用于您的所有其他用户。您仍然需要全面合规。

CCPA 会影响您的业务吗？

如果您收集和处理加州居民的数据，CCPA 会影响您的业务。您的企业或母公司或子公司还必须满足以下一项或多项要求：

您的年总收入为 2500 万美元或更多
每年，您购买、接收或出售来自 50,000 或更多加州设备、家庭或居民的个人数据
至少 50% 的年收入来自出售加州居民的个人数据

您无需拥有位于加利福尼亚州的企业即可满足这些门槛。无论您的企业在哪里运营，加州居民都可以访问您的网站。美国其他州的企业以及全球的企业都必须考虑 CCPA。

除了参考阈值之外，您的业务规模也无关紧要。即使是个体企业和小型企业也必须与 CCPA 保持一致。但是，为 400 万或更多消费者处理数据的企业必须满足额外的要求。例如，他们在记录保存方面有更严格的指导方针。

如果您达到阈值但没有收集数据（您的网站上没有任何类型的跟踪工具），那么您在技术上符合 CCPA。另一方面，如果您正在从加利福尼亚客户那里收集信息，但尚未达到门槛，那么为 CCPA 做准备仍然是值得的。如果您的业务快速增长，在您符合 CCPA 标准之前，您可能会意外地超过 2500 万美元的收入或超过 50,000 名加州居民。

加州居民是如何定义的？

根据加州法律，居民是指：

出于临时或暂时原因以外的其他原因在加利福尼亚州
住在加利福尼亚，即使他们目前由于临时或暂时原因不在该州

一个人可以住在加利福尼亚但不是居民，也可以住在加利福尼亚以外但仍然是居民。为了保护自己，如果您有任何理由认为您的很多业务来自加利福尼亚州居民，请遵守 CCPA。

如何使您的业务符合 CCPA

为了满足 CCPA 的要求，您的企业必须采取几个步骤，其中许多将需要更改政策和流程。以下是使您的业务符合 CCPA 的方法：

更新您的隐私政策以阐明您如何收集、使用和更改数据

您可能已经有了隐私政策，但需要做一些工作才能使其符合 CCPA。基本上，您的隐私政策会告诉用户您收集哪些数据以及您如何处理这些数据。对于 CCPA，您必须比以前更加透明地了解您的数据实践。以下是您必须对隐私政策进行的补充：

您收集和处理个人信息的内容、原因以及方式
用户如何访问、更改或删除您收集的个人数据
您用于验证发出这些请求之一的用户的身份的方法
如何出售个人数据以及用户如何选择不出售其个人数据

请记住，这些是 CCPA 的最低要求。如果您觉得您的数据收集过程中有更多用户想了解的内容，请添加它。

征得未成年人同意

您需要征得 13 至 16 岁的未成年人或 13 岁以下儿童的父母的同意。您可以在他们访问您的网站时或在您出售他们的数据之前征求他们的同意。无论哪种方式，您都不能在征得他们同意之前出售他们的数据。存储您收到的所有回复，即使用户拒绝同意。除未成年人外，您在收集和使用数据之前不需要用户同意。

允许用户更改他们的信息

CCPA 的一部分是让加州用户能够访问、更改、移动或删除他们的个人数据。您必须为用户创建一种方法来提交这些类型的请求，其中一种方法必须是免费电话号码。然后，您可以将联系表格添加到您的网站或提供电子邮件或邮寄地址。

在用户提出请求时验证用户的身份

一旦用户联系以更改他们的信息，您就需要一种方法来验证他们的身份。您不能通过政府颁发的文件（如驾照）要求提供身份证明。相反，您可以使用与此人提交数据时使用的相同类型的身份验证。您还可以通过要求他们确认他们过去提供的信息来尝试验证他们的身份。

如果企业无法验证用户的身份，他们应尽可能遵守。例如，假设用户希望删除其信息，但企业无法验证用户的身份。他们没有删除他们的信息，而是保留它，但让用户选择不出售他们的信息。如果无法遵守，企业可以拒绝该请求。

在您的主页上添加“请勿出售我的个人信息”链接

您需要将“请勿出售我的个人信息”链接放在您网站主页上的显眼位置。如果用户想要阻止您出售他们的个人数据，请点击此按钮。选择不出售用户数据的过程必须尽可能简单易行。企业也必须响应选择退出请求。根据官方 CCPA 情况说明书，“......企业必须将用户启用的隐私设置视为有效提交的选择退出请求，以表明消费者选择退出。”

此外，您不能要求人们创建一个帐户，以便他们可以选择退出。虽然某些企业可能希望要求使用帐户作为识别用户的方式，但 CCPA 阻止将其作为选择退出的先决条件。如果用户已经有一个帐户并且您可以通过这种方式验证他们的身份，那很好。

保存与客户的交流记录

企业必须保留所有用户请求的记录，并且还必须记录并保存他们对用户的响应。保留您的记录至少 24 个月；为了更安全，无限期地抓住它们。

不要基于隐私要求进行歧视

CCPA 表示，企业如果行使隐私权，就不能歧视用户。这意味着，如果用户说你不能出售他们的数据，你不能拒绝他们的服务或调整他们的定价作为报复。

企业可能会向允许出售其数据的人提供激励。在这种情况下，您必须披露奖励的详细信息，包括您如何计算个人数据的价值。

不遵守 CCPA 的处罚

如果您在 2020 年 7 月 1 日之前未遵守 CCPA，司法部长将通知您。您将有 30 天的时间做出回应并尽快了解合规性。如果您在这 30 天内不遵守，您可能会被提起民事诉讼。从那里开始，您每次违规可能会被罚款 7,500美元，这意味着每位加州用户。例如，如果您从 2,000 名加州居民那里收集数据，您可能会被罚款 7,500 x 2,000 美元，总计 15,000,000 美元。这是您绝对要避免的账单！

CCPA 和 GDPR 之间的差异

虽然 CCPA 指南听起来与 GDPR 相似，但两者有关键区别。即使您的企业目前符合 GDPR 标准，也不意味着它会自动符合 CCPA 标准。您可能符合某些 CCPA 准则，但并非全部。一些可能超过 GDPR 的 CCPA 指南包括：

在主页上添加“请勿出售我的个人信息”链接
为用户创建一种方法来请求更改或删除他们的信息
在提出此类请求时识别此人的身份
在出售他们的信息之前征得未成年人的同意

虽然您可能已经为 GDPR 设置了一些流程，但您需要仔细检查您的方法是否也符合 CCPA。两者之间存在微小但重要的差异。例如，在 CCPA 下，您必须显示您在 12 个月内出售的个人信息的类别；这不是 GDPR 的要求。另一方面，CCPA 没有 GDPR 具有的 cookie 同意要求。

最后的想法

您的第一步是评估您的企业是否必须在 2020 年 1 月 1 日之前符合 CCPA。或者，考虑您的企业是否会发展到将来需要符合要求的程度。如果是这样，最好现在就准备好一切，这样您以后就不必争先恐后地冒着被罚款的风险。您如何设置网站以符合 CCPA 的具体方式取决于您当前的流程和您的员工队伍。您可以尽可能地自动化，或者，如果您不希望有太多的更改或删除请求，您可以让一些员工直接回复用户。

如果您还没有隐私政策，无论您是否关心 CCPA，这都是编写隐私政策的绝佳机会。查看我们关于如何为您的网站创建隐私政策的文章。

精选图片来自 Sammby/shutterstock.com