加州消費者隱私法案 (CCPA) 合規性終極指南

已發表: 2019-12-23

2018 年加州消費者隱私法案 (CCPA) 是加州通過的一項法律，旨在保護其居民的數據和隱私。 CCPA 並不能替代當前的加州隱私法，而是會與它們並駕齊驅。

根據 CCPA 的說法，企業必須更加坦率地了解他們收集的內容及其使用方式。在出售他們的信息之前，他們還必須徵得未成年人的同意。此外，用戶現在可以阻止企業出售他們的數據。

但是，CCPA 並不意味著您不能再出售您收集的用戶信息。但是，當涉及到加利福尼亞居民時，您將不得不多跳幾圈。

CCPA 於 2020 年 1 月 1 日生效，但企業必須在 2020 年 7 月 1 日之前完全遵守。這不是推遲這件事的藉口。不過，由於執法行動在幾個月內不會開始，因此企業有時間調整其政策、流程和網站。

CCPA 考慮什麼“個人數據”？

個人數據是描述或識別個人或以某種方式與個人或家庭相關聯的任何內容。包括了：

電子郵件地址
就業信息
地理位置
IP地址
姓名

從技術上講，公開信息不被 CCPA 視為個人數據。然而，這是一個灰色地帶，最好在完全合規方面犯錯，而不是冒險。此外，即使某個用戶的個人數據是公開可用的，這也不適用於您的所有其他用戶。您仍然需要全面合規。

CCPA 會影響您的業務嗎？

如果您收集和處理加州居民的數據，CCPA 會影響您的業務。您的企業或母公司或子公司還必須滿足以下一項或多項要求：

您的年總收入為 2500 萬美元或更多
每年，您購買、接收或出售來自 50,000 或更多加州設備、家庭或居民的個人數據
至少 50% 的年收入來自出售加州居民的個人數據

您無需擁有位於加利福尼亞州的企業即可滿足這些門檻。無論您的企業在哪裡運營，加州居民都可以訪問您的網站。美國其他州的企業以及全球的企業都必須考慮 CCPA。

除了參考閾值之外，您的業務規模也無關緊要。即使是個體企業和小型企業也必須與 CCPA 保持一致。但是，為 400 萬或更多消費者處理數據的企業必須滿足額外的要求。例如，他們在記錄保存方面有更嚴格的指導方針。

如果您達到閾值但沒有收集數據（您的網站上沒有任何類型的跟踪工具），那麼您在技術上符合 CCPA。另一方面，如果您正在從加利福尼亞客戶那裡收集信息，但尚未達到門檻，那麼為 CCPA 做準備仍然是值得的。如果您的業務快速增長，在您符合 CCPA 標準之前，您可能會意外地超過 2500 萬美元的收入或超過 50,000 名加州居民。

加州居民是如何定義的？

根據加州法律，居民是指：

出於臨時或暫時原因以外的其他原因在加利福尼亞州
住在加利福尼亞，即使他們目前由於臨時或暫時原因不在該州

一個人可以住在加利福尼亞但不是居民，也可以住在加利福尼亞以外但仍然是居民。為了保護自己，如果您有任何理由認為您的很多業務來自加利福尼亞州居民，請遵守 CCPA。

如何使您的業務符合 CCPA

為了滿足 CCPA 的要求，您的企業必須採取幾個步驟，其中許多將需要更改政策和流程。以下是使您的業務符合 CCPA 的方法：

更新您的隱私政策以闡明您如何收集、使用和更改數據

您可能已經有了隱私政策，但需要做一些工作才能使其符合 CCPA。基本上，您的隱私政策會告訴用戶您收集哪些數據以及您如何處理這些數據。對於 CCPA，您必須比以前更加透明地了解您的數據實踐。以下是您必須對隱私政策進行的補充：

您收集和處理個人信息的內容、原因以及方式
用戶如何訪問、更改或刪除您收集的個人數據
您用於驗證發出這些請求之一的用戶的身份的方法
如何出售個人數據以及用戶如何選擇不出售其個人數據

請記住，這些是 CCPA 的最低要求。如果您覺得您的數據收集過程中有更多用戶想了解的內容，請添加它。

徵得未成年人同意

您需要徵得 13 至 16 歲的未成年人或 13 歲以下兒童的父母的同意。您可以在他們訪問您的網站時或在您出售他們的數據之前徵求他們的同意。無論哪種方式，您都不能在徵得他們同意之前出售他們的數據。存儲您收到的所有回复，即使用戶拒絕同意。除未成年人外，您在收集和使用數據之前不需要用戶同意。

允許用戶更改他們的信息

CCPA 的一部分是讓加州用戶能夠訪問、更改、移動或刪除他們的個人數據。您必須為用戶創建一種方法來提交這些類型的請求，其中一種方法必須是免費電話號碼。然後，您可以將聯繫表格添加到您的網站或提供電子郵件或郵寄地址。

在用戶提出請求時驗證用戶的身份

一旦用戶聯繫以更改他們的信息，您就需要一種方法來驗證他們的身份。您不能通過政府頒發的文件（如駕照）要求提供身份證明。相反，您可以使用與此人提交數據時使用的相同類型的身份驗證。您還可以通過要求他們確認他們過去提供的信息來嘗試驗證他們的身份。

如果企業無法驗證用戶的身份，他們應盡可能遵守。例如，假設用戶想要刪除他們的信息，但企業無法驗證用戶的身份。他們沒有刪除他們的信息，而是保留它，但讓用戶選擇不出售他們的信息。如果無法遵守，企業可以拒絕該請求。

在您的主頁上添加“請勿出售我的個人信息”鏈接

您需要將“請勿出售我的個人信息”鏈接放在您網站主頁上的顯眼位置。如果用戶想要阻止您出售他們的個人數據，請點擊此按鈕。選擇不出售用戶數據的過程必須盡可能簡單易行。企業也必須響應選擇退出請求。根據官方 CCPA 情況說明書，“......企業必須將用戶啟用的隱私設置視為有效提交的選擇退出請求，以表明消費者選擇退出。”

此外，您不能要求人們創建一個帳戶，以便他們可以選擇退出。雖然某些企業可能希望要求使用帳戶作為識別用戶的方式，但 CCPA 阻止將其作為選擇退出的先決條件。如果用戶已經有一個帳戶並且您可以通過這種方式驗證他們的身份，那很好。

保存與客戶的交流記錄

企業必須保留所有用戶請求的記錄，並且還必須記錄並保存他們對用戶的響應。保留您的記錄至少 24 個月；為了更安全，無限期地抓住它們。

不要基於隱私要求進行歧視

CCPA 表示，企業如果行使隱私權，就不能歧視用戶。這意味著，如果用戶說你不能出售他們的數據，你不能拒絕他們的服務或調整他們的定價作為報復。

企業可能會向允許出售其數據的人提供激勵。在這種情況下，您必須披露獎勵的詳細信息，包括您如何計算個人數據的價值。

不遵守 CCPA 的處罰

如果您在 2020 年 7 月 1 日之前未遵守 CCPA，司法部長將通知您。您將有 30 天的時間做出回應並儘快了解合規性。如果您在這 30 天內不遵守，您可能會被提起民事訴訟。從那裡開始，您每次違規可能會被罰款 7,500美元，這意味著每位加州用戶。例如，如果您從 2,000 名加州居民那裡收集數據，您可能會被罰款 7,500 x 2,000 美元，總計 15,000,000 美元。這是您絕對要避免的賬單！

CCPA 和 GDPR 之間的差異

雖然 CCPA 指南聽起來與 GDPR 相似，但兩者有關鍵區別。即使您的企業目前符合 GDPR 標準，也不意味著它會自動符合 CCPA 標準。您可能符合某些 CCPA 準則，但並非全部。一些可能超過 GDPR 的 CCPA 指南包括：

在主頁上添加“請勿出售我的個人信息”鏈接
為用戶創建一種方法來請求更改或刪除他們的信息
在提出此類請求時識別此人的身份
在出售他們的信息之前徵得未成年人的同意

雖然您可能已經為 GDPR 設置了一些流程，但您需要仔細檢查您的方法是否也符合 CCPA。兩者之間存在微小但重要的差異。例如，在 CCPA 下，您必須顯示您在 12 個月內出售的個人信息的類別；這不是 GDPR 的要求。另一方面，CCPA 沒有 GDPR 具有的 cookie 同意要求。

最後的想法

您的第一步是評估您的企業是否必須在 2020 年 1 月 1 日之前符合 CCPA。或者，考慮您的企業是否會發展到將來需要符合要求的程度。如果是這樣，最好現在就準備好一切，這樣您以後就不必爭先恐後地冒著被罰款的風險。您如何設置網站以符合 CCPA 的具體方式取決於您當前的流程和您的員工隊伍。您可以盡可能地自動化，或者，如果您不希望有太多的更改或刪除請求，您可以讓一些員工直接回復用戶。

如果您還沒有隱私政策，無論您是否關心 CCPA，這都是編寫隱私政策的絕佳機會。查看我們關於如何為您的網站創建隱私政策的文章。

精選圖片來自 Sammby/shutterstock.com