CCPA ย่อมาจากอะไรและมีความหมายต่อธุรกิจอย่างไร

เมื่อการรับรู้ของผู้บริโภคเพิ่มมากขึ้นเกี่ยวกับความเป็นส่วนตัว CCPA ก็เป็นหนึ่งในกฎหมายคุ้มครองข้อมูลฉบับแรกๆ ที่กวาดล้างประเทศ

CCPA ผ่านในปี 2018 และมุ่งเป้าไปที่บริษัทที่รวบรวมและขายข้อมูลส่วนบุคคลของผู้บริโภค

มีวัตถุประสงค์เพื่อให้ชาวแคลิฟอร์เนียควบคุมวิธีการจัดเก็บและใช้งานข้อมูลของตนได้มากขึ้น โดยได้แนะนำการปกป้องข้อมูลแบบก้าวกระโดดโดยให้ผู้อยู่อาศัยได้กล่าวถึงชะตากรรมของข้อมูลส่วนบุคคลของตนอย่างเป็นรูปธรรมมากขึ้น

CCPA ใช้กับธุรกิจที่ตั้งอยู่ในแคลิฟอร์เนียเท่านั้นหรือไม่

CCPA นำไปใช้กับใคร?

เช่นเดียวกับ GDPR จะส่งผลกระทบต่อบริษัทอเมริกันที่มีลูกค้าในยุโรป CCPA สามารถส่งผลกระทบต่อบริษัทที่ไม่ใช่ของแคลิฟอร์เนียที่มีผู้บริโภคในรัฐ

CCPA เกี่ยวข้องกับธุรกิจใดๆ ที่ดำเนินการทางออนไลน์และรวบรวมข้อมูลจากชาวแคลิฟอร์เนียหรือทำธุรกิจในแคลิฟอร์เนีย แม้ว่าบริษัทนั้นจะไม่ได้อยู่ในแคลิฟอร์เนียก็ตาม หากต้องการใช้ CCPA ธุรกิจต้องเป็นไปตามเกณฑ์ข้อใดข้อหนึ่งจากสามข้อนี้:

• สร้างรายได้อย่างน้อย 25 ล้านเหรียญต่อปี
• รับข้อมูลจากลูกค้ากว่า 50,000 ราย
• รับรายได้ประจำปีอย่างน้อยครึ่งหนึ่งจากการขายข้อมูลผู้บริโภค

หากธุรกิจอยู่ภายใต้เกณฑ์ข้อใดข้อหนึ่งในสามข้อนี้ ธุรกิจเหล่านั้นต้องเป็นไปตามข้อกำหนดของ CCPA หากผู้บริโภคของตนอาศัยอยู่ในแคลิฟอร์เนีย การไม่ทำเช่นนั้นอาจส่งผลให้ธุรกิจต้องจ่ายค่าปรับ CCPA

บล็อกที่เกี่ยวข้อง: ใครต้องการใบรับรอง CMMC

ขอบเขตของกฎหมายความเป็นส่วนตัว CCPA

CCPA ให้สิทธิ์แก่ผู้บริโภคในแคลิฟอร์เนียในการใช้และขายข้อมูลของตนบนอินเทอร์เน็ต มาดูรายละเอียดเพิ่มเติมเกี่ยวกับความหมายของแต่ละข้อกัน

• สิทธิในการเข้าถึงข้อมูล: ผู้บริโภคในแคลิฟอร์เนียมีสิทธิ์ที่จะรู้ว่าข้อมูลส่วนบุคคลประเภทใดถูกรวบรวมหรือขาย จากที่ใด ถึงแก่ใคร และเพราะเหตุใด
• สิทธิ์ในการลบข้อมูล: ผู้บริโภคในแคลิฟอร์เนียอาจขอให้บริษัทลบข้อมูลส่วนบุคคลที่รวบรวมเกี่ยวกับพวกเขา
• สิทธิในการเลือกไม่เก็บรวบรวมหรือขายข้อมูล: ผู้บริโภคในแคลิฟอร์เนียอาจสั่งให้บริษัทไม่รวบรวมหรือขายข้อมูลของตนให้กับบุคคลที่สาม CCPA มีคำจำกัดความของ "ขาย" ซึ่งครอบคลุมมากกว่าการแลกเปลี่ยนเงินตรา
• สิทธิ์ในการพกพา: ช่วยให้บุคคลได้รับข้อมูลส่วนบุคคลในรูปแบบที่มีโครงสร้าง ทั่วไป และสามารถอ่านได้ด้วยเครื่อง และถ่ายโอนข้อมูลส่วนบุคคลนี้ได้อย่างอิสระไปยังผู้ควบคุมรายอื่น

CCPA ให้ความสามารถที่จำกัดแก่ชาวแคลิฟอร์เนียในการฟ้องร้องธุรกิจใดๆ ที่อยู่ภายใต้ CCPA เมื่อข้อมูลส่วนบุคคลของพวกเขาถูกบุกรุก ซึ่งโดยปกติแล้วจะเกิดจากการฝ่าฝืน

อย่างไรก็ตาม มันทำให้อัยการสูงสุดของรัฐมีความสามารถทั่วไปมากขึ้นในการฟ้องร้องในนามของผู้อยู่อาศัย

CCPA ให้คำจำกัดความ ข้อมูลส่วนบุคคลว่าเป็นข้อมูล ใด ๆ ที่ “ระบุ เกี่ยวข้อง อธิบาย สามารถเชื่อมโยง หรือสามารถเชื่อมโยงอย่างสมเหตุสมผล ทั้งทางตรงและทางอ้อมกับผู้บริโภคหรือครัวเรือนโดยเฉพาะ”

กล่าวอีกนัยหนึ่งคือ สถิติ การกระทำ หรือความรู้ใดๆ ที่สามารถเชื่อมโยงกับบุคคลที่ระบุตัวตนได้ คำจำกัดความกว้าง ๆ นี้ครอบคลุมเกือบทุกการกระทำภายในพื้นที่ดิจิทัล

กฎหมายความเป็นส่วนตัวมีผลกระทบต่อธุรกิจขนาดเล็กอย่างไร

เกณฑ์เพิ่มเติมข้างต้นได้รับการออกแบบมาโดยเฉพาะเพื่อปกป้องธุรกิจขนาดเล็กและขนาดกลาง

สำหรับบริษัทที่ไม่ตรงตามข้อกำหนดสามข้อข้างต้น การปฏิบัติตาม CCPA จะไม่มีผลบังคับใช้ และข้อกำหนดด้านความเป็นส่วนตัวสำหรับชาวแคลิฟอร์เนียยังคงไม่เปลี่ยนแปลง

ในทำนองเดียวกัน CCPA จะไม่ส่งผลกระทบต่อ SMB หากทุกแง่มุมของธุรกิจเกิดขึ้นนอกแคลิฟอร์เนีย ซึ่งรวมถึงการขายข้อมูลส่วนบุคคล อย่างไรก็ตาม หากธุรกิจนั้นตรงตามเกณฑ์ข้อใดข้อหนึ่งจากสามข้อข้างต้นและมีลูกค้าในแคลิฟอร์เนียเพียงรายเดียว CCPA ก็จะมีผลบังคับใช้

อย่างไรก็ตาม มีความสับสนอย่างมากว่า CCPA จะนำไปใช้กับธุรกิจเฉพาะหรือไม่

การสำรวจเจ้าของธุรกิจและผู้บริหารบริษัท 625 รายพบว่าอย่างน้อย 34% ของผู้ตอบแบบสอบถามไม่ทราบว่า CCPA ส่งผลกระทบต่อพวกเขาหรือไม่ ในขณะที่อีก 22% อ้างว่า "ไม่สนใจ"

หากคุณสับสน คุณไม่ได้อยู่คนเดียว อย่าลืมปรึกษาผู้เชี่ยวชาญในสาขานี้เพื่อให้แน่ใจว่าคุณปฏิบัติตามข้อกำหนดหากคุณจำเป็นต้องปฏิบัติตาม การไม่ปฏิบัติตาม CCPA อาจส่งผลให้ต้องเสียค่าปรับจำนวนมาก

การละเมิด CCPA มีโทษถึง $2,500 สำหรับการละเมิดแต่ละครั้ง และ $7500 สำหรับการละเมิดโดยเจตนา

SMB สามารถปฏิบัติตาม CCPA ได้อย่างไร

ธุรกิจขนาดกลางและขนาดย่อมที่อยู่บนเส้นทางไปสู่หรือเป็นไปตามข้อกำหนดของ GDPR จะพบว่าการปฏิบัติตาม CCPA ง่ายขึ้นเล็กน้อย แม้ว่าจะมีขอบเขตที่กว้างกว่าก็ตาม

สำหรับบริษัทที่รวบรวมและขายข้อมูลส่วนบุคคล การปฏิบัติตาม CCPA รวมถึง:

• การอัปเดตประกาศความเป็นส่วนตัวและนโยบาย CCPA กำหนดให้ผู้บริโภคแจ้งอย่างชัดเจนถึงเจตนาของบริษัทในการรวบรวมและขายข้อมูล "ที่หรือก่อนจุดรวบรวม" ประกาศนี้ต้องระบุข้อมูลที่ถูกรวบรวมและเหตุผล
• อัปเดตคลังข้อมูลด้วยการจัดประเภทใหม่ ข้อมูลที่จัดเก็บในแบ็กเอนด์จะต้องรวมถึงบันทึกการขาย การโอนข้อมูลไปยังบุคคลที่สาม เวลาในการรวบรวมและการขาย รวมทั้งการบ่งชี้ว่าข้อมูลนั้นอยู่ภายใต้ HIPAA หรือกฎหมายความเป็นส่วนตัวของข้อมูลอื่น
• การสร้างขั้นตอนเพื่อให้สอดคล้องกับสิทธิของผู้บริโภคในแคลิฟอร์เนีย บริษัทต่างๆ ต้องการวิธีที่ผู้บริโภคจะขอเข้าถึง ลบ หรือยกเลิกการขายข้อมูลส่วนบุคคลของตน
• การตรวจสอบความปลอดภัยของไซต์และธุรกิจ CCPA ต้องการการปกป้องข้อมูลส่วนบุคคลที่ "สมเหตุสมผล" สำหรับ SMB ผู้ให้บริการที่มีการจัดการอาจแบ่งเบาภาระนี้
• เจ้าหน้าที่ฝึกอบรม ฝึกอบรมเจ้าหน้าที่ว่า CCPA คืออะไร ข้อกำหนดในการปฏิบัติตามข้อกำหนดคืออะไร วิธีจัดการกับขั้นตอนใหม่ และวิธีจัดการกับเหตุการณ์ที่อาจเกิดขึ้น
• เริ่มเลย. ผู้บริโภคชาวแคลิฟอร์เนียสามารถขอข้อมูลที่รวบรวมได้ก่อนถึง 12 เดือน ธุรกิจจะต้องสามารถจัดทำบันทึกข้อมูลที่รวบรวมและขายได้จนถึงวันที่ 1 มกราคม 2019

บล็อกที่เกี่ยวข้อง: การพัฒนากลยุทธ์ความปลอดภัยทางไซเบอร์เพื่อปกป้องธุรกิจของคุณ

CCPA, CalOPPA และ GDPR แตกต่างกันอย่างไร

สิทธิ์ที่มอบให้ภายใต้ CCPA ใช้กับ "ผู้บริโภค" ของแคลิฟอร์เนีย ซึ่งหมายถึงผู้อยู่อาศัยและพนักงาน

ผู้บริโภคเหล่านี้มีสิทธิ์ในการเข้าถึงและลบข้อมูลที่เก็บรวบรวม รวมทั้งเลือกไม่รับการรวบรวมในอนาคตโดยบริษัทใดๆ ที่พวกเขาทำธุรกิจออนไลน์ด้วย

ในทางตรงกันข้าม CalOPPA คือ California Online Privacy Protection Act ปี 2003

เป็นกฎหมายของรัฐฉบับแรกในสหรัฐอเมริกาที่กำหนดให้เว็บไซต์เชิงพาณิชย์ที่รวบรวมข้อมูลส่วนบุคคลเพื่อโพสต์นโยบายความเป็นส่วนตัวที่มองเห็นได้เฉพาะผู้ที่อาศัยอยู่ในแคลิฟอร์เนีย

นโยบายความเป็นส่วนตัวนี้กำหนดให้ผู้ให้บริการเว็บไซต์ปฏิบัติตามนโยบายความเป็นส่วนตัวที่ระบุไว้

GDPR คือระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไปที่จัดตั้งขึ้นโดยสหภาพยุโรปในเดือนพฤษภาคม 2018

ช่วยให้พลเมืองสหภาพยุโรปสามารถควบคุมข้อมูลส่วนตัวของตนบนอินเทอร์เน็ตได้มากขึ้น

โดยเฉพาะอย่างยิ่ง GDPR จะอัปเดตวิธีที่เว็บไซต์ได้รับความยินยอมจากผู้บริโภคในการรวบรวมข้อมูล กำหนดแนวทางที่ชัดเจนสำหรับการสื่อสารวิธีการใช้ข้อมูลส่วนบุคคล และกำหนดข้อกำหนดสำหรับการพิสูจน์ความยินยอมของผู้ใช้

CCPA, CalOPPA และ GDPR มีความแตกต่างกันอย่างมากในด้านการใช้งานและขอบเขต

อย่างไรก็ตาม พวกเขาทั้งหมดมีคุณสมบัติที่สำคัญอย่างหนึ่งที่เหมือนกัน—ซึ่งส่งผลกระทบมากกว่าผู้อยู่อาศัยในแคลิฟอร์เนียและสหภาพยุโรปตามลำดับ

ธุรกิจใดๆ ที่ดำเนินการทางออนไลน์ซึ่งมีหรือมีปฏิสัมพันธ์กับผู้อยู่อาศัยในทั้งสองภูมิภาคนี้ พบว่าตนเองอยู่ภายใต้กฎหมายเหล่านี้

เช่นเดียวกับ CCPA ที่ไม่จำกัดเฉพาะธุรกิจที่ดำเนินการจากแคลิฟอร์เนีย GDPR ไม่ได้จำกัดเฉพาะธุรกิจที่ตั้งอยู่ในสหภาพยุโรป บริษัทระดับโลกใดๆ ที่จัดการข้อมูลของผู้อยู่อาศัยในสหภาพยุโรปต้องเป็นไปตามข้อกำหนดของ GDPR

พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคในแคลิฟอร์เนีย: CPRA กับ CCPA

CPRA ย่อมาจาก California Consumer Privacy Act เรียกอีกอย่างว่าข้อเสนอ 24 ผู้มีสิทธิเลือกตั้งในแคลิฟอร์เนียอนุมัติมาตรการลงคะแนนนี้ในปี 2020 โดยเพิ่มการแก้ไขข้อกำหนดของ CCPA ให้ชื่อเล่นว่า “CCPA 2.0”

CPRA เสริมว่า:

• สิทธิ์ในการแก้ไข ซึ่งหมายความว่าผู้บริโภคสามารถขอให้บริษัทเปลี่ยนแปลงข้อมูลที่ไม่ถูกต้องเกี่ยวกับพวกเขาได้
• สิทธิในการจำกัด ให้สิทธิผู้บริโภคในการจำกัดการใช้และการเปิดเผยข้อมูลส่วนบุคคลที่ละเอียดอ่อนของตน
• สิทธิ์ในการตัดสินใจโดยอัตโนมัติ ซึ่งให้สิทธิ์ผู้บริโภคในการเลือกที่จะไม่ใช้เทคโนโลยี "โปรไฟล์" ประสิทธิภาพการทำงาน สถานะทางเศรษฐกิจ สุขภาพ ความสนใจ ฯลฯ

CPRA ยังกำหนดภาระหน้าที่ให้องค์กรดำเนินการประเมินความเสี่ยงและห้ามไม่ให้มีการเลือกปฏิบัติ แม้ว่ามาตรการจะผ่านในปี 2020 แต่การแก้ไข CCPA ส่วนใหญ่จะไม่ "ดำเนินการ" ได้จนถึงปี 2023

อย่างไรก็ตาม บทบัญญัติที่จัดตั้งหน่วยงานคุ้มครองความเป็นส่วนตัวแห่งแคลิฟอร์เนียมีผลบังคับใช้ โดยพื้นฐานแล้ว สิ่งนี้จะสร้างคณะกรรมการที่มีสมาชิกห้าคนซึ่งมีความเชี่ยวชาญด้านความเป็นส่วนตัวและสิทธิ์ของผู้บริโภค ซึ่งจะนำไปใช้และบังคับใช้ CCPA

อินโฟกราฟิกที่เกี่ยวข้อง: MSP กับ MSSP – ความแตกต่างที่สำคัญ

ประเด็นที่สำคัญ

CCPA เป็นกฎหมายความเป็นส่วนตัวของข้อมูลที่กว้างขวางและครอบคลุมที่สุดในสหรัฐอเมริกา ให้สิทธิ์บางอย่างแก่ผู้บริโภคในแคลิฟอร์เนียเกี่ยวกับการเก็บรวบรวม การใช้ และการขายข้อมูลทางออนไลน์

แม้ว่ากฎหมายจะมีข้อยกเว้นบางประการที่ออกแบบมาสำหรับ SMB แต่ก็อาจส่งผลกระทบต่อบริษัทเหล่านี้ได้

CCPA ต้องการการเปลี่ยนแปลงที่สำคัญในการแจ้งต่อผู้บริโภค ตลอดจนวิธีที่ธุรกิจจัดเก็บ จัดประเภท และปกป้องข้อมูลส่วนบุคคล

แม้ว่า CCPA และ CPRA, CalOPPA และ GDPR จะมีความแตกต่างกันในคำจำกัดความและการปกป้องข้อมูลผู้ใช้ แต่ก็มีสิ่งสำคัญอย่างหนึ่งที่เหมือนกัน นั่นคือ ส่งผลต่อวิธีที่ผู้คนทั่วโลกทำธุรกิจกับผู้คนที่อาศัยอยู่ในภูมิภาคเหล่านี้

ทางที่ดีควรเตรียมการในเชิงรุกเพื่อปฏิบัติตามเพื่อหลีกเลี่ยงการถูกฟ้องร้อง ปรึกษากับผู้เชี่ยวชาญวันนี้เพื่อเรียนรู้ว่าธุรกิจของคุณต้องทำอย่างไรเพื่อให้สอดคล้องกับกฎหมายของรัฐบาลกลางและกฎหมายสถิติ

การปฏิบัติตามข้อกำหนดและการรักษาความปลอดภัยทางไซเบอร์อาจเป็นเรื่องที่ซับซ้อน ดูวิดีโอนี้ซึ่งมีผู้เชี่ยวชาญเฉพาะเรื่องคือ Jeff Leder เกี่ยวกับการจัดการความปลอดภัยทางไซเบอร์ เพื่อเรียนรู้ว่าบริการรักษาความปลอดภัยทางไซเบอร์ที่มีการจัดการสามารถจัดการกับการปฏิบัติตามข้อกำหนดได้อย่างไรในขณะที่คุณมุ่งเน้นที่ธุรกิจของคุณ