مقال دليل كامل لقانون خصوصية المستهلك في كاليفورنيا

اكتشف كيف يؤثر قانون خصوصية المستهلك في كاليفورنيا على الشركات التي تدير بيانات المقيمين وما يمكنك فعله لتقليل مخاطر انتهاك لوائح القانون.

* كُتِب هذا المقال في عام 2018. ودخل قانون حماية خصوصية المستهلك في كاليفورنيا حيز التنفيذ في 1 يناير 2020.

مرت بضعة أشهر منذ الذعر الكبير الذي أصاب اللائحة العامة لحماية البيانات في عام 2018. لقد كان لدينا جميعًا الوقت لإنهاء الامتثال والتقاط أنفاسنا والتطلع إلى المستقبل (ولكن إذا لم تكن قد تعاملت بعد مع الامتثال للائحة العامة لحماية البيانات أو كنت لا تعرف ما هي اللائحة العامة لحماية البيانات ، راجع مقالتي حول القانون العام لحماية البيانات (GDPR) لمواقع الويب الموجودة في الولايات المتحدة). إذن ، ما الخطوة التالية بالنسبة إلى لوائح الخصوصية الشخصية للكيانات التي تتخذ من الولايات المتحدة مقراً لها؟

إنه قانون خصوصية المستهلك في كاليفورنيا (CCPA) ، الذي تم توقيعه ليصبح قانونًا في 23 سبتمبر 2018. هذه المرة يجب أن نكون جميعًا قادرين على تجنب الهستيريا التي رأيناها مع القانون العام لحماية البيانات (GDPR). أملاً، نحن جميعًا نقوم بأبحاثنا وبذل العناية الواجبة قبل وقت طويل من دخول القانون حيز التنفيذ في 1 يناير 2020.

قبل المتابعة ، يرجى ملاحظة أن هذه المقالة تستهدف مالكي مواقع الويب التجارية بين الشركات المتوسطة والكبيرة (B2B). لا يهم ما إذا كانت مؤسستك عامة أو مملوكة للقطاع الخاص ، كما هو الحال فيما إذا كان مقر مؤسستك في كاليفورنيا.

أجد أن معظم مشاركات المدونات حول هذا الموضوع ومواضيع مماثلة موضع شك كبير ، لذا فإن البحث في هذه المقالة يعتمد فقط على نص القانون. بغض النظر عن مكان حصولك على معلوماتك ، تحقق منها مع محامٍ متخصص في الموضوع. إذا كانت شركتك تتعامل مع المعلومات الشخصية كجزء من أعمالها الأساسية ، فهذه المقالة ليست لك.

هذا ما سأقوم بتغطيته:

• ما هو قانون خصوصية المستهلك في كاليفورنيا؟
• من الذي يحميه قانون حماية خصوصية المستهلك في كاليفورنيا؟
• ما هو بالضبط المحمي؟
• ما هي المنظمات التي يجب أن تمتثل؟
• ما هي حقوق المستهلك؟
• ما هي خطوات ضمان الامتثال لقانون خصوصية المستهلك في كاليفورنيا؟
• ما هي عقوبات عدم الامتثال؟

دعنا نتعمق!

ما هو قانون خصوصية المستهلك في كاليفورنيا؟

في عام 1972 ، عدل الناخبون في كاليفورنيا دستور كاليفورنيا ليشمل حق الخصوصية بين الحقوق "غير القابلة للتصرف" لجميع الناس. أنشأ التعديل حقًا قانونيًا وقابل للتنفيذ في الخصوصية لكل سكان كاليفورنيا. من الأمور الأساسية لحق الخصوصية هذا قدرة الأفراد على التحكم في استخدام معلوماتهم الشخصية ، بما في ذلك بيعها - AB 375 ، القسم 2 (أ)

لدعم هذا التعديل ، تم بالفعل تمرير عدد من قوانين كاليفورنيا: قانون حماية الخصوصية عبر الإنترنت ، وقانون حقوق الخصوصية للقاصرين في كاليفورنيا في العالم الرقمي وقانون Shine the Light.

CCPA هو قانون جديد يبني على تلك لحماية حقوق السكان بشكل أكبر. بدأت كمبادرة اقتراع مقترحة ، لكن مؤيديها وافقوا على سحبها بشرط تمرير قانون جديد قبل 28 يونيو 2018.

كان هذا هو الموعد النهائي لوضع اللمسات الأخيرة على ما سيكون على ورقة الاقتراع. لمواجهة هذا ، تم إحياء مشروع قانون غير كامل (مشروع قانون الجمعية 375) بعد أن فشل سابقًا في الحصول على الجر. تم تمريره في عجلة من أمره. يشار إلى كل من مبادرة الاقتراع و AB 375 باسم قانون خصوصية المستهلك في كاليفورنيا على الرغم من أن مبادرة الاقتراع والقانون الناتج أثبتا اختلافهما تمامًا.

خشي أعضاء مجلس ولاية كاليفورنيا من أنه إذا لم يتم تمرير القانون في الوقت المناسب ، وأدخلته المبادرة على ورقة الاقتراع ، فإن الناخبين سيصدرون قانونًا سيكون من الصعب إن لم يكن من المستحيل على الشركات الامتثال له.

في وقت لاحق من عام 2018 ، تم تمرير نسخة معدلة من خلال مجلس شيوخ ولاية كاليفورنيا (مجلس الشيوخ بيل 1121). لكن القانون لا يزال غير مثالي ويبدو من المحتمل إجراء المزيد من التعديلات.

قبل أن ندخل في تفاصيل القانون ، يجب أن نعترف بأن بعض الأجزاء قد تتغير. ربما لا يجوز أبدًا تطبيق القانون نفسه.

توجد حاليًا مبادرات قائمة لوضع قانون فيدرالي لخصوصية البيانات من شأنه تجاوز أي قوانين خاصة بخصوصية بيانات الولاية. قد يشعر المشرعون الفيدراليون أن قانون كاليفورنيا إما يتجاوز أو لا يذهب بعيدًا بما فيه الكفاية ، ومن ثم يستعجل قانونًا فيدراليًا ... خطوة تعكس الإجراء الذي اتخذته جمعية ولاية كاليفورنيا.

من المعقول أن يكون المشرعون الفيدراليون والولاية حذرين من المبادرات التي يقودها الناخبون ومجموعة قوانين الولايات الفردية. يمكن أن تكون الشركات مثقلة بتوجيهات فنية غير عملية أو العبء الثقيل للامتثال لقوانين 50 ولاية مختلفة.

بصفتي مطور ويب ، أشعر بالخوف من هذين السيناريوهين. لكن بصفتي مستهلكًا فرديًا ، أشعر بخيبة أمل من قانون كاليفورنيا. إنه ببساطة لا يذهب بعيدًا بما يكفي لحماية البيانات الشخصية التي يمكن تحديدها.

مهما حدث ، فإن العامين المقبلين سيكونان فوضويين للغاية ، ولكن هذا هو المكان الذي نقف فيه الآن ...

من الذي يحميه قانون حماية خصوصية المستهلك في كاليفورنيا؟

CCPA ينطبق على جميع الأشخاص الذين يعيشون في ولاية كاليفورنيا. نص القانون كما يلي:

المستهلك يعني شخصًا طبيعيًا مقيمًا في كاليفورنيا ، كما هو محدد في القسم 17014 من العنوان 18 من قانون لوائح كاليفورنيا ، كما تمت قراءة هذا القسم في 1 سبتمبر 2017 ، ومع ذلك تم تحديده ، بما في ذلك أي معرف فريد. - AB 375 ، القسم 3 ، 1798.140

يمكن ببساطة اعتبار "الشخص الطبيعي" كإنسان فردي. على النقيض من ذلك ، قد يكون "الشخص الاعتباري" مجرد كيان قانوني. تعريف المقيم هو:

مصطلح "مقيم" ، كما هو محدد في القانون ، يشمل (1) كل فرد موجود في الولاية لغرض غير مؤقت أو مؤقت ، و (2) كل فرد مقيم في الولاية يكون خارج الولاية غرض مؤقت أو عابر. جميع الأفراد الآخرين ليسوا مقيمين. - قانون لوائح ولاية كاليفورنيا ، العنوان 18 ، القسم 17014

قد يقترح تقني ماهر في مؤسستك تصفية المستخدمين حسب الولاية ، مما يمنح الموجودين في كاليفورنيا تجربة مختلفة. لكن هناك ثلاث عيوب في هذا النهج.

أولاً ، يتمتع سكان كاليفورنيا بالحماية بغض النظر عما إذا كانوا في الولاية في ذلك الوقت. ثانيًا ، الأدوات التي نستخدمها لتحديد موقع المستخدم غير كاملة. وثالثًا ، قد يكون الاحتفاظ بتجربة موقع ويب منفصلة للمستخدمين في كاليفورنيا أمرًا إضافيًا ، غير ضروري حرج.

لاحظ أنه في جميع أنحاء نص القانون (بما في ذلك العنوان) ، تُستخدم كلمة "المستهلكون" للإشارة إلى جميع الأشخاص الطبيعيين المقيمين في كاليفورنيا. إنه اختيار غريب لأن الأفراد غير مطالبين بشراء سلع أو خدمات لتكون محمية بموجب القانون.

ما هو المحمي؟

تحمي CCPA المعلومات الشخصية لسكان كاليفورنيا. المعلومات الشخصية هي المعلومات التي يمكن ربطها بفرد أو أسرة ، بشكل مباشر أو غير مباشر.

اعلم أنه من الممكن تمامًا جمع البيانات عن مستخدم مجهول ، عن طريق ملف تعريف الارتباط أو عنوان IP ، على سبيل المثال ، ثم ربط تلك البيانات بفرد في وقت لاحق. هذا يعني أن البيانات "يمكن ربطها" بشخص ما.

لذلك إذا كانت CCPA تنطبق على عملك ، فيجب عليك الكشف عن هذه المجموعة للفرد عند جمع البيانات - حتى لو لم يتم التعرف على الشخص بعد أو لن يتم التعرف عليه مطلقًا. لأنه من الممكن التعرف على الشخص يعني أنه يجب عليك الامتثال. تشمل المعلومات الشخصية ، على سبيل المثال لا الحصر:

(أ) المعرّفات مثل الاسم الحقيقي أو الاسم المستعار أو العنوان البريدي أو المعرّف الشخصي الفريد أو عنوان بروتوكول الإنترنت للمعرّف عبر الإنترنت أو عنوان البريد الإلكتروني أو اسم الحساب أو رقم الضمان الاجتماعي أو رقم رخصة القيادة أو رقم جواز السفر أو أي معرّفات أخرى مماثلة.

(ب) أي فئات من المعلومات الشخصية موصوفة في القسم الفرعي (هـ) من القسم 1798.80.

(ج) خصائص التصنيفات المحمية بموجب قانون كاليفورنيا أو القانون الفيدرالي.

(د) المعلومات التجارية ، بما في ذلك سجلات الممتلكات الشخصية أو المنتجات أو الخدمات التي تم شراؤها أو الحصول عليها أو النظر فيها أو غيرها من تواريخ الشراء أو الاستهلاك أو النزعات.

(ه) المعلومات البيومترية.

(و) الإنترنت أو معلومات نشاط الشبكة الإلكترونية الأخرى ، بما في ذلك ، على سبيل المثال لا الحصر ، محفوظات الاستعراض وسجل البحث والمعلومات المتعلقة بتفاعل المستهلك مع موقع ويب أو تطبيق أو إعلان على الإنترنت.

(ز) بيانات تحديد الموقع الجغرافي.

(ح) المعلومات الصوتية أو الإلكترونية أو المرئية أو الحرارية أو الشم أو ما شابه ذلك.

(ط) المعلومات المهنية أو المتعلقة بالعمل.

(ي) معلومات التعليم ، المُعرَّفة على أنها معلومات غير متاحة للجمهور معلومات تعريف شخصية على النحو المحدد في قانون الخصوصية والحقوق التعليمية للأسرة (20 USC القسم 1232g ، 34 CFR الجزء 99).

(ك) الاستدلالات المستمدة من أي من المعلومات المحددة في هذا التقسيم الفرعي لإنشاء ملف تعريف عن المستهلك يعكس تفضيلات المستهلك وخصائصه واتجاهاته النفسية وتفضيلاته وميوله وسلوكه ومواقفه وذكائه وقدراته واستعداداته.

- AB 375 ، القسم 3 ، 1798.140

ما هي المنظمات التي يجب أن تمتثل؟

إذا كانت مؤسستك لا تمارس نشاطًا تجاريًا في ولاية كاليفورنيا ، فأنت في وضع واضح. والشخص الذي يتصفح موقع الويب الخاص بك من داخل كاليفورنيا لا يدل على نية القيام بأعمال تجارية في الولاية. ولكن إذا كانت شركتك تمارس نشاطًا تجاريًا في كاليفورنيا ، فيجب أن تسأل نفسك بعض الأسئلة:

1. هل يتجاوز إجمالي الإيرادات السنوية لمنظمتك 25 مليون دولار؟ (لاحظ أن الرقم يتم تعديله وفقًا لمؤشر أسعار المستهلك).
2. هل تتعامل مؤسستك مع المعلومات الشخصية لـ 50000 أو أكثر من المستهلكين أو الأسر أو الأجهزة كل عام؟
3. هل تحصل مؤسستك على 50 بالمائة أو أكثر من عائداتها السنوية من بيع المعلومات الشخصية للمستهلكين؟

إذا كان بإمكانك الإجابة بنعم على أي من هذه الأسئلة الثلاثة ، فيجب على مؤسستك الامتثال. إذا كانت مؤسستك تندرج تحت كل هذه العتبات ولكنها مملوكة لكيان أكبر (مع سيطرة أكثر من 50٪) يتجاوز أيًا منها ، فيجب أن تمتثل مؤسستك مرة أخرى.

ما هي حقوق المستهلك؟

الحقوق الممنوحة لسكان كاليفورنيا بموجب هذا القانون تحمل العديد من أوجه التشابه مع تلك الممنوحة لمواطني الاتحاد الأوروبي بموجب القانون العام لحماية البيانات (GDPR). مثل القانون العام لحماية البيانات (GDPR) ، يجب على الشركات السماح للمستخدمين بمعرفة متى يقومون بجمع البيانات وماذا سيفعلون بها بالضبط قبل جمع المعلومات:

يجب على الشركة التي تجمع المعلومات الشخصية للمستهلك ، عند نقطة الجمع أو قبلها ، إبلاغ المستهلكين بفئات المعلومات الشخصية التي سيتم جمعها والأغراض التي يجب استخدام فئات المعلومات الشخصية من أجلها - AB 375 ، القسم 3 ، 1798.100 (ب)

ويحق لهم طلب جميع البيانات التي جمعتها الشركة:

يحق للمستهلك أن يطلب من الشركة التي تجمع المعلومات الشخصية للمستهلك أن تفصح لهذا المستهلك عن فئات وأجزاء معينة من المعلومات الشخصية التي جمعتها الشركة - AB 375 ، القسم 3 ، 1798.100 (أ)

وبناءً على ذلك ، يحق للمستهلكين معرفة فئات المصادر من حيث تم جمع المعلومات والغرض التجاري من جمع البيانات وفئات الأطراف الثالثة التي تتم مشاركة المعلومات معها.

أيضًا ، يحق للمستخدمين طلب حذف بياناتهم من سجلاتك ومن سجلات جميع مزودي الخدمة لديك.

يحق للمستهلك أن يطلب من شركة ما حذف أي معلومات شخصية عن المستهلك جمعتها الشركة من المستهلك - AB 375 ، القسم 3 ، 1798.105 (أ)

إذا كان عملك الأساسي هو التعامل مع البيانات الشخصية للمستهلكين ، فهناك حقوق إضافية يجب أن تكون على دراية بها وأن تكون مستعدًا للرد عليها. لكن مرة أخرى ، هذه المقالة ليست لك.

ما هي خطوات ضمان الامتثال لقانون خصوصية المستهلك في كاليفورنيا؟

أولاً وقبل كل شيء ، يجب إخطار المستخدمين بجميع البيانات المجمعة مسبقًا. على عكس القانون العام لحماية البيانات (GDPR) ، لا يتطلب قانون خصوصية المستهلك في كاليفورنيا (CCPA) آلية موافقة إيجابية. على سبيل المثال ، عندما يملأ المستخدم نموذجًا ، يكفي بيان بسيط يكشف عما ستفعله بالبيانات. لا يحتاج المستخدم إلى تحديد مربع يوضح أنه يفهم المجموعة ويوافق عليها.

يجب تزويد المستخدمين بطريقتين على الأقل لطلب بياناتهم أو حذف بياناتهم. يجب أن تكون إحدى هذه الطرق رقمًا مجانيًا ؛ يمكن أن يكون الآخر ببساطة عنوان موقع ويب.

يجب التحقق من جميع الطلبات والرد عليها في غضون 45 يومًا. يمكن تمديد هذه الفترة الزمنية لمدة 45 يومًا إضافية طالما أنك تخبر المستهلك خلال فترة 45 يومًا الأولى. يجب أن يتضمن إفصاحك للمستخدم آخر 12 شهرًا من جمع البيانات ، لذا تأكد من قدرتك على تخزين واسترداد البيانات الضرورية اعتبارًا من 1 يوليو 2019.

يجب على الأعمال التجارية التي تتلقى طلب مستهلك يمكن التحقق منه من المستهلك للوصول إلى المعلومات الشخصية أن تتخذ على الفور خطوات للإفصاح عن المعلومات الشخصية المطلوبة في هذا القسم وتقديمها مجانًا للمستهلك - AB 375 ، القسم 3 ، 1798.100 (d)

لست ملزمًا بالرد على طلبات أي مستخدم فردي للبيانات أكثر من مرة في أي فترة 12 شهرًا.

يجب عليك تحديث سياسة الخصوصية الخاصة بك للكشف عن وصف لحقوق المستهلكين وفقًا للأقسام 1798.110 و 1798.115 و 1798.125 من CCPA. تحتاج أيضًا إلى تقديم الأساليب المتاحة لتقديم الطلبات المتعلقة ببياناتهم.

كما هو مذكور أعلاه ، يجب أن تكون إحدى هذه الطرق رقمًا مجانيًا. يجب عليك أيضًا الكشف عن جميع فئات المعلومات التي جمعتها في الاثني عشر شهرًا الماضية والحفاظ على تحديث هذه المعلومات مرة واحدة على الأقل كل 12 شهرًا.

في الوقت نفسه ، يتعين عليك التأكد من إبلاغ جميع الأفراد الذين يتعاملون مع استفسارات المستهلكين حول ممارسات الخصوصية الخاصة بالعمل أو الامتثال لهذا العنوان بجميع المتطلبات. كما يحتاجون أيضًا إلى معرفة كيفية توجيه المستهلكين لممارسة حقوقهم بموجب هذه الأقسام.

قد ترى بعض الأشخاص ينصحونك بضرورة وجود رابط على صفحتك الرئيسية بعنوان "لا تبيع معلوماتي الشخصية" ، ولكن هذا المطلب خاص بالشركات التي تبيع المعلومات الشخصية للمستهلكين. كما ذكرت سابقًا في هذه المقالة ، إذا كنت تبيع المعلومات الشخصية للمستهلكين ، فهذه المقالة ليست لك.

أخيرًا ، لا يمكنك التمييز ضد المستخدمين الذين مارسوا حقوق الخصوصية الممنوحة لهم بموجب قانون حماية خصوصية المستهلك. يشمل التمييز رفض السلع أو الخدمات أو فرض أسعار أعلى أو تقديم مستوى أو جودة مختلفة للسلع والخدمات.

يمكنك تقديم حوافز مالية لجمع المعلومات الشخصية. لكن احذر من أن برامج الحوافز هذه ليست قسرية أو ربوية بطبيعتها.

ما هي عقوبات عدم الامتثال؟

العقوبات التي يقيمها المدعي العام لولاية كاليفورنيا صغيرة نسبيًا مقارنة بالعقوبات التي تأتي مع مخالفات اللائحة العامة لحماية البيانات. لاحظ أنه في حالة حدوث انتهاك مزعوم ، سيتم منحك 30 يومًا لتصحيح المشكلة ، ولن يُطلب منك سوى دفع الغرامة إذا فشلت في القيام بذلك.

إذا تم العثور على مخالفة ولم تقم بإصلاح المشكلة ، فستواجه غرامة مدنية قدرها 2500 دولار لارتكاب انتهاك غير مقصود و 7500 دولار للانتهاك المتعمد. هذه العقوبات خفيفة للغاية لدرجة أن بعض الشركات ستختار بالتأكيد تجاهل القانون. لكنهم يفعلون ذلك في خطر كبير.

التكلفة الأكبر التي يتم جمعها من خلال العثور على انتهاك لـ CCPA هي زيادة خطر التعرض لدعاوى قضائية جماعية. تقتصر الأضرار القانونية على 100 دولار - 750 دولارًا لكل مستهلك لكل حادثة أو أضرار فعلية ، أيهما أكبر. ولكن نظرًا لأنه من الشائع إدارة بيانات آلاف الأفراد ، فإن الأضرار الإجمالية عبر الدعوى الجماعية يمكن أن تكون كبيرة.

التوصيات

ربما يكون الشيء الأكثر إثارة للقلق بشأن هذه القوانين الجديدة هو معرفة أن هناك المزيد في المستقبل. إما أن نبدأ في رؤية المزيد من قوانين الولاية المصممة لحماية خصوصية بياناتنا أو قانون فيدرالي سيتم تمريره ويستبق قوانين الولاية أو يلغيها.

من المستحيل معرفة ما قد تتضمنه هذه القوانين المستقبلية ، لكن يمكننا إجراء بعض التخمينات المستنيرة. وهناك نوعان من الممارسات الإضافية التي ستساعد في ضمان الامتثال عبر جميع الدول والاتحاد الأوروبي:

• حدد عملية التخلص من بيانات العميل بعد فترة زمنية محددة
• تتطلب آلية موافقة إيجابية في جميع نقاط جمع البيانات
• جمع بيانات أقل!

من السهل إدراك هذا الاقتراح الأخير وهو يعفيك من الكثير من المسؤولية. هناك العديد من الأشياء في معظم مواقع الويب الحديثة التي تسجل وتتبع وتسخير نشاط المستخدم.

الغالبية العظمى من هذه الأشياء لا تجمع فعليًا بيانات لمالك الموقع ؛ يقومون بجمع البيانات لشبكات الإعلان المستهدفة. الخدمات "المجانية" مثل التحليلات ، واستضافة الخطوط ، وشبكات توصيل المحتوى ، ومشاركة عناصر واجهة المستخدم وما شابهها ليست سوى خدمات مجانية.

أنت تدفع مقابلها مع خصوصية المستخدمين لديك. لا تستخدمها على موقع الويب الخاص بك كلما أمكن ذلك ، أو قم بتكوينها بطريقة لم تعد تكشف عن بيانات المستخدمين الشخصية.

موارد

• مشروع قانون جمعية ولاية كاليفورنيا رقم 375
• مشروع قانون مجلس شيوخ ولاية كاليفورنيا رقم 1121
• مقالات مراقب خصوصية البيانات حول قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) عادةً ما أمتنع عن الارتباط بالمدونات ، لكن منشورات DPM و Alan L.Freel ، على وجه الخصوص ، ممتازة باستمرار

يمكن أن تكون لوائح CCPA ساحقة. نأمل أن نكون قد ساعدنا في دمج كل ما تحتاج إلى معرفته. عندما تفكر في إجراء مراجعة لموقعك ، يسعدنا الدردشة. لمزيد من المعلومات حول الويب والاعتبارات الرقمية لعلامتك التجارية ، إليك بعض النصائح والموارد للمساعدة:

• تعرف على ما يلزم لتسهيل الوصول إلى موقعك.
• تعرف على مفاتيح أمان موقع الويب وكيفية الحفاظ على أمان موقعك.
• ألق نظرة على كيفية إنشاء موقع ويب تجاري جذاب (ومحول).