คู่มือ CCPA: พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนีย

California Consumer Privacy Act ผ่านในปี 2018 เป็นกฎหมายของรัฐที่ให้การคุ้มครองผู้อยู่อาศัยในแคลิฟอร์เนีย ซึ่งออกแบบมาเพื่อให้ผู้บริโภคชาวแคลิฟอร์เนียสามารถควบคุมข้อมูลออนไลน์และข้อมูลส่วนบุคคลของตนได้

CCPA ให้การปกป้องข้อมูลแก่ผู้บริโภค ได้แก่ :

สิทธิที่จะทราบ เกี่ยวกับข้อมูลส่วนบุคคลที่ธุรกิจรวบรวม

สิทธิ์ในการลบ ข้อมูลส่วนบุคคลที่รวบรวมไว้

สิทธิในการเลือกไม่ ขายข้อมูลส่วนบุคคลของตน

สิทธิ์ในการไม่เลือกปฏิบัติ ในการใช้สิทธิ์ CCPA

ใครบ้างที่ต้องดูแลเกี่ยวกับการปฏิบัติตาม CCPA

CCPA เป็นกฎหมายของรัฐแคลิฟอร์เนียเท่านั้น แต่มีผลบังคับใช้กับองค์กรที่ดำเนินธุรกิจในแคลิฟอร์เนียหรือรวบรวมข้อมูลเกี่ยวกับผู้ใช้ชาวแคลิฟอร์เนีย การคุ้มครองมีผลเฉพาะกับผู้อยู่อาศัยในแคลิฟอร์เนีย แต่จะมีผลแม้ว่าพวกเขาจะอยู่นอกรัฐชั่วคราว

CCPA ใช้กับ:

• ธุรกิจที่แสวงหาผลกำไรที่ดำเนินธุรกิจในแคลิฟอร์เนียซึ่งมีรายได้ต่อปีมากกว่า 25 ล้านดอลลาร์
• ธุรกิจที่ซื้อ รับ หรือขายข้อมูลส่วนบุคคลของผู้อยู่อาศัย ครัวเรือน หรืออุปกรณ์ในแคลิฟอร์เนีย 50,000 คนขึ้นไป
• ธุรกิจที่ได้รับ 50% หรือมากกว่าของรายได้ต่อปีจากการขายข้อมูลส่วนบุคคลของผู้อยู่อาศัยในแคลิฟอร์เนีย

แคลิฟอร์เนียเป็นรัฐที่มีประชากรมากที่สุดในสหรัฐอเมริกาและเป็นที่ตั้งของ Silicon Valley ดังนั้น CCPA ได้กำหนดมาตรฐานและภาระผูกพันสำหรับวิธีการที่บริษัทต่างๆ ทั่วสหรัฐอเมริการวบรวม จัดเก็บ ขาย และดำเนินการ แทนที่ข้อบังคับของรัฐบาลกลางที่ควบคุมการปกป้องข้อมูลสำหรับผู้บริโภคชาวอเมริกัน ข้อมูลส่วนบุคคล.

ภายใต้ CCPA ธุรกิจสามารถถูกฟ้องร้องได้หาก “ข้อมูลส่วนบุคคลที่ไม่ได้เข้ารหัสและไม่ถูกปกปิดถูกขโมยจากการละเมิดข้อมูลอันเป็นผลมาจากความล้มเหลวของธุรกิจในการรักษาขั้นตอนและแนวปฏิบัติด้านความปลอดภัยที่เหมาะสมเพื่อปกป้องข้อมูลดังกล่าว”

ประโยชน์ของ CCPA

CCPA ไม่ได้สร้างสภาพแวดล้อมดิจิทัลที่ปลอดภัยโดยอัตโนมัติ เป็นแผนงานสำหรับอินเทอร์เน็ตที่ปลอดภัยยิ่งขึ้น มันสร้างแบบอย่างสำหรับประเภทของข้อมูลที่เราในฐานะผู้บริโภคควรได้รับการปกป้อง นอกจากนี้ยังแสดงข้อกำหนดที่ธุรกิจควรคาดหวังว่าจะปฏิบัติตามหากต้องการปกป้องข้อมูลผู้ใช้และปูทางสำหรับกฎระเบียบในอนาคต

CCPA สร้างความตระหนักมากขึ้นว่าเว็บไซต์รวบรวม จัดการ และขายข้อมูลอย่างไร มันทำให้ธุรกิจอยู่ในตำแหน่งที่พวกเขาควรเปิดเผยวิธีจัดการกับข้อมูลผู้บริโภค แม้ว่าเว็บไซต์ทั้งหมดจะไม่มีภาระผูกพันในการรักษาความปลอดภัยข้อมูลอย่างเคร่งครัด และ CCPA ส่วนใหญ่ขึ้นอยู่กับผลของศาล แต่ก็อาศัยการฟ้องร้องดำเนินคดีแบบกลุ่มเพื่อสรุปคดี ความรับผิดของการไม่ปฏิบัติตามอาจเพียงพอที่จะปรับปรุงความปลอดภัยของข้อมูลทั่วไป

ข้อเสียของ CCPA

แม้ว่า CCPA จะเป็นก้าวแรกที่สำคัญในสหรัฐอเมริกาในการปรับปรุงการปกป้องข้อมูลสำหรับผู้บริโภค แต่ก็ไม่ได้ไร้ข้อบกพร่อง มีปัญหากับ CCPA ทั้งในขอบเขตและวิธีการเขียน

ไม่มีภาระผูกพันในการรักษาความปลอดภัยข้อมูล

ไม่จำเป็นต้องดำเนินการและรักษาแนวปฏิบัติด้านความปลอดภัยของข้อมูลที่แข็งแกร่ง CCPA ให้สิทธิ์ผู้บริโภคได้รับความเสียหายตามกฎหมายเท่านั้นหากพวกเขาถูกละเมิดข้อมูล ไม่มีภาระผูกพันที่จะต้องรักษาแนวปฏิบัติด้านความปลอดภัยอื่น ๆ นอกเหนือจากความล้มเหลวในการจัดหาแนวทางปฏิบัติด้านความปลอดภัยที่เพียงพอ ซึ่งเป็นผลมาจากการละเมิด ทำให้คุณรับผิดชอบต่อความเสียหายตามกฎหมายต่อผู้บริโภค หากได้รับการพิสูจน์ในศาล

คดีความ

คดีผ่านระบบศาลโดยผู้บริโภคสามารถฟ้องธุรกิจได้ นี่อาจเป็นอุปสรรคต่อการเข้ามาของผู้บริโภคจำนวนมาก โดยเฉพาะอย่างยิ่งผู้บริโภคที่เบื่อหน่ายกับระบบศาล

ประโยค "รักษา" ที่เป็นประโยชน์ต่อธุรกิจ

ภายใต้ข้อกำหนด "การรักษา" 30 วันของ CCPA ผู้บริโภคต้องแจ้งเป็นลายลักษณ์อักษรเกี่ยวกับปัญหาเฉพาะก่อนที่จะเริ่มดำเนินการทางกฎหมายใดๆ กับธุรกิจ: "หากธุรกิจแก้ไขการละเมิดที่สังเกตเห็นและให้คำชี้แจงเป็นลายลักษณ์อักษรแก่ผู้บริโภคซึ่งระบุว่ามีความเสียหายตามกฎหมาย ไม่สามารถใช้ได้”

CCPA กำหนดผู้บริโภคอย่างไร

แม้ว่า GDPR จะใช้กับเจ้าของข้อมูลใดๆ ในสหภาพยุโรป ณ เวลาที่รวบรวมหรือประมวลผลโดยไม่คำนึงถึงสัญชาติ CCPA ให้คำจำกัดความผู้บริโภคว่าเป็นผู้มีถิ่นที่อยู่ในแคลิฟอร์เนีย แม้ว่าจะอยู่นอกรัฐชั่วคราวก็ตาม การปกป้องผู้บริโภคชาวแคลิฟอร์เนียเท่านั้นทำให้พื้นที่ขนาดใหญ่ของประเทศไม่มีการป้องกัน

CCPA กำหนดตัวควบคุมข้อมูลอย่างไร

CCPA ใช้กับธุรกิจที่ซื้อขายข้อมูลของชาวแคลิฟอร์เนียมากกว่า 50,000 คนต่อปี หรือมีรายได้มากกว่า 25 ล้านดอลลาร์ หรือธุรกิจที่มีรายได้ประจำปีมากกว่า 50% จากการขายข้อมูลส่วนบุคคล GDPR ใช้กับเว็บไซต์ บริษัท และองค์กรทั้งหมดในโลก (ผู้ควบคุมข้อมูล) หากนำเสนอสินค้าหรือบริการแก่ผู้คนในสหภาพยุโรป

หน่วยงานกำกับดูแล: อำนาจสอบสวนจำกัด

การละเมิด CCPA และการไม่ปฏิบัติตามจะได้รับการประเมินโดยอัยการสูงสุดแห่งแคลิฟอร์เนีย มีเพียง California AG เท่านั้นที่มีอำนาจในการตรวจสอบการละเมิด CCPA และผู้บริโภคสามารถเริ่มการดำเนินคดีได้เฉพาะในกรณีที่พวกเขาเกี่ยวข้องกับการละเมิด – และนั่นเพิ่งเริ่มต้นกระบวนการพิจารณาคดีในศาล

วิธีบรรลุการปฏิบัติตาม CCPA

สำหรับธุรกิจ คุณควรตรวจสอบให้แน่ใจว่าเว็บไซต์ของคุณมีข้อมูลเกี่ยวกับประเภทข้อมูลที่คุณกำลังรวบรวมเกี่ยวกับผู้ใช้ของคุณ อนุญาตให้ผู้ใช้เลือกไม่ขายข้อมูลนี้ และคุณควรจะสามารถลบข้อมูลส่วนบุคคลได้เมื่อมีการร้องขอของผู้บริโภค .

ตรวจสอบข้อมูลที่คุณกำลังรวบรวม

ทำความเข้าใจว่ากฎหมายมีผลกระทบต่อคุณอย่างไร รู้ว่าคุณกำลังรวบรวมข้อมูลผู้บริโภคประเภทใด ไม่ใช่แค่ PII แต่ยังรวมถึงข้อมูลการติดตามเว็บที่เกี่ยวข้องกับกฎหมายด้วย

ความรับผิดที่ใหญ่ที่สุดของคุณอาจไม่ได้มาจากภายในองค์กรของคุณด้วยซ้ำ แต่กับผู้ขายบุคคลที่สามที่คุณใช้เป็นผู้ให้บริการเว็บหรือผู้ให้บริการปลั๊กอิน

แผนที่ข้อมูลผู้บริโภค

ณ วันที่ 1 มกราคม 2020 ผู้บริโภคในแคลิฟอร์เนียสามารถสอบถามเกี่ยวกับวิธีการรวบรวมข้อมูลของพวกเขาและสิ่งที่คุณทำกับข้อมูลนั้น คุณควรจะสามารถตอบคำถามเหล่านั้นได้ ทำให้ทีมของคุณค้นหาข้อมูลได้ง่ายด้วยการจัดทำดัชนีและค้นหาได้ เริ่มการทำแผนที่ข้อมูลที่คุณค้นพบในการตรวจสอบของคุณโดยถามว่า:

• คุณรวบรวมข้อมูลอะไร
• คุณเก็บมันไว้ที่ไหน?
• ใครเป็นผู้รับผิดชอบข้อมูล?
• คุณรวบรวมข้อมูลอย่างไร?
• คุณแบ่งปันข้อมูลกับใคร
• คุณขายข้อมูลหรือไม่

ใช้การเปิดเผยข้อมูลส่วนบุคคล

ถึงเวลาอัปเดตการเปิดเผยความเป็นส่วนตัวของคุณ รวมถึงนโยบายความเป็นส่วนตัว ข้อกำหนดและเงื่อนไข และนโยบายคุกกี้ ระบุเฉพาะเจาะจงเกี่ยวกับประเภทของข้อมูลที่คุณกำลังรวบรวม วิธีที่คุณรวบรวมข้อมูลนั้น บุคคลที่สามประเภทใดที่จะสามารถเข้าถึงข้อมูลนั้นได้ และเหตุผลที่คุณกำลังรวบรวมข้อมูลนี้

ทำให้นโยบายของคุณชัดเจนและอัปเดตอยู่เสมอ และเปิดโอกาสให้ผู้ใช้เลือกไม่ใช้ได้ คุณควรพิจารณาเพิ่มปุ่ม "อย่าขายข้อมูลของฉัน" ลงในเว็บไซต์ของคุณเพื่อให้สามารถตรวจสอบนโยบายและตัวเลือกในการเลือกไม่ปฏิบัติตามแนวทางปฏิบัติด้านข้อมูลบางอย่างได้

พัฒนากระบวนการขอข้อมูล

คุณอาจจำเป็นต้องจัดเตรียมสำเนาข้อมูลผู้บริโภค ลบข้อมูลตามคำขอ อธิบายข้อมูลที่คุณรวบรวม หรือเลือกไม่ให้ผู้บริโภคเก็บข้อมูล นิติบุคคลที่ได้รับการคุ้มครองอาจถูกถามโดยผู้บริโภค:

• สำหรับสำเนาข้อมูลส่วนบุคคล
• ว่าข้อมูลส่วนตัวของพวกเขาจะถูกลบ
• ข้อมูลส่วนบุคคลประเภทใดบ้างที่มีการขาย
• การยกเลิกการขายข้อมูลส่วนบุคคลของผู้ที่มีอายุมากกว่า 16 ปี
• เพื่อเลือกขายข้อมูลส่วนบุคคลสำหรับผู้ที่มีอายุระหว่าง 13 ถึง 16 ปี
• เพื่อขอรับความยินยอมจากผู้ปกครองในการขายข้อมูลส่วนบุคคลจากผู้บริโภคที่มีอายุต่ำกว่า 13 ปี

เน้นความเป็นส่วนตัวในทุกระดับ

ปรับปรุงซอฟต์แวร์และระบบของคุณให้ทันสมัยและปลอดภัย นั่นหมายถึงการมีรหัสผ่านที่รัดกุมและการป้องกันมัลแวร์ รวมถึงการจัดการกับความเสี่ยงของมนุษย์ ฝึกอบรมทีมของคุณเพื่อให้พวกเขาเข้าใจกฎหมาย วิธีการนำไปใช้กับพวกเขา และวิธีการที่พวกเขาอาจมีบทบาทในการปกป้องข้อมูลของคุณ

ใช้แนวทางตามความเสี่ยง

ปกป้องธุรกิจของคุณด้วยการริเริ่มด้วยแนวทางปฏิบัติด้านความปลอดภัยของข้อมูลและเกี่ยวข้องกับผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล ร่วมกับสมาชิกในทีมของคุณในทุกระดับขององค์กรของคุณ ความเสี่ยงมีอยู่ทุกระดับ รวบรวมข้อมูลเชิงลึกและข้อมูลจากทุกคนในองค์กรของคุณ และในฐานะทีม ระบุความเสี่ยงที่ใหญ่ที่สุดของคุณและจัดลำดับความสำคัญของการแก้ไข

บทลงโทษการไม่ปฏิบัติตามข้อกำหนด

ธุรกิจไม่สามารถฟ้องร้องการละเมิด CCPA ได้ เว้นแต่จะมีการละเมิดข้อมูล ในบางกรณี ผู้บริโภคมีสิทธิได้รับความเสียหาย ธุรกิจไม่ต้องรับผิดหาก "รักษา" การไม่ปฏิบัติตามข้อกำหนดใดๆ ภายใน 30 วันหลังจากได้รับแจ้งถึงการไม่ปฏิบัติตามข้อกล่าวหา (แม้ว่าบางกรณีอาจไม่สามารถ "รักษา")

ความเสียหาย

ค่าเสียหายตามกฎหมายที่บุคคลสามารถรับได้ในช่วง 100 ถึง 750 ดอลลาร์ต่อเหตุการณ์ หรืออาจเป็นจำนวนเงินรวมของความเสียหายทางการเงินที่เกิดขึ้นจริงอันเป็นผลมาจากการละเมิดข้อมูล ศาลยังสามารถตัดสินบทลงโทษที่รุนแรงขึ้นได้ขึ้นอยู่กับความรุนแรงของการละเมิด เมื่อพิจารณาว่าการละเมิดข้อมูลโดยทั่วไปอาจส่งผลกระทบต่อผู้บริโภคหลายแสนราย ค่าใช้จ่ายเหล่านั้นอาจเพิ่มขึ้น แต่ผู้บริโภคต้องผ่านการดำเนินคดีก่อนที่จะมีการบังคับใช้ค่าปรับ

บทลงโทษ

เช่นเดียวกับความเสียหายส่วนบุคคลที่เกิดจากผู้บริโภค ธุรกิจอาจต้องเผชิญกับบทลงโทษทางแพ่งในกรณีที่มีการละเมิดและการละเมิด CCPA บทลงโทษเหล่านี้อาจมีตั้งแต่ “2,500 ดอลลาร์สำหรับการละเมิดโดยไม่ได้ตั้งใจไปจนถึง 7,500 ดอลลาร์สำหรับการละเมิดโดยเจตนา”

ความคิดของเราเกี่ยวกับ CCPA

ในช่วงต้นปี 2564 มีการเปิดเผยว่าแฮ็กเกอร์จากจีนพยายามขโมยข้อมูลไบโอเมตริกและระบุข้อมูลส่วนบุคคลของคนอเมริกันมากกว่า 80% ในบางกรณีพวกเขาประสบความสำเร็จ ไม่เพียงมีความจำเป็นทางธุรกิจที่จะกระชับการรักษาความปลอดภัยของข้อมูลผู้บริโภคเท่านั้น แต่ยังมีความจำเป็นด้านความมั่นคงของชาติอีกด้วย น่าเสียดายที่รัฐไม่สามารถเชื่อถือได้ในการบังคับใช้การปกป้องข้อมูลอย่างเท่าเทียมกันและพร้อมกัน

ในปี 2019 หลังจากสเปรดชีตที่มีชื่อบุคคล 4,457 รายพร้อมกับหมายเลขประกันสังคม หมายเลขโทรศัพท์และที่อยู่อีเมลถูกเผยแพร่โดยกรมแรงงานในจอร์เจียโดยไม่ได้ตั้งใจ ศาลฎีกาของรัฐจอร์เจียได้วินิจฉัยว่า “ไม่มีภาระผูกพันโดยกำเนิด เพื่อปกป้องข้อมูลส่วนบุคคลของพลเมืองที่จัดเก็บไว้” การพิจารณาคดีย้ำว่าผู้ที่ได้รับความไว้วางใจในข้อมูลที่มีความละเอียดอ่อน ผู้รวบรวมข้อมูล ไม่มีภาระผูกพันในการรักษาความปลอดภัยข้อมูลนั้น และนั่นก็เป็นปัญหา

ไม่มีข้อบังคับของรัฐบาลกลาง CCPA พยายามเติมช่องว่างที่จำเป็นต้องกรอกอย่างยิ่ง กำหนดมาตรฐานความปลอดภัยของข้อมูลสำหรับธุรกิจในการดำเนินการและการป้องกันที่ผู้บริโภคควรคาดหวัง ยังมีช่องว่างขนาดใหญ่ในผู้ที่ได้รับการคุ้มครองและธุรกิจใดที่ต้องรับผิด ซึ่งทิ้งความคลุมเครือและขอบเขตที่มากเกินไปที่จะเป็นตัวยับยั้งที่มีประสิทธิภาพหรือเพื่อส่งเสริมการปฏิบัติตาม

CCPA ≠ GDPR

CCPA มักถูกกล่าวถึงในลักษณะเดียวกับ GDPR แต่ก็ไม่ได้ใกล้เคียงกับการมีขอบเขตหรือผลกระทบและไม่เป็นไปตาม GDPR

หากไม่มีอำนาจที่ครอบคลุมในการตรวจสอบ สอบสวน หรือบังคับใช้การปฏิบัติตามมาตรฐานการรักษาความปลอดภัยของข้อมูลเช่นเดียวกับ GDPR CCPA ยังคงเป็นเครื่องกีดขวางเพียงเพราะการรักษาความปลอดภัยของข้อมูลจะกลายเป็นความรับผิดชอบมากกว่าการตรวจสอบและบังคับใช้อย่างจริงจัง

CCPA ต่างจาก GDPR ตรงที่ CCPA นั้นไม่ได้มีประสิทธิภาพในการสื่อสารสิ่งที่จำเป็นของบริษัทต่างๆ และวิธีจัดการกับกรณีต่างๆ แม้ว่าจะไม่ได้เปิดเผยข้อมูลทั้งหมดเกี่ยวกับค่าปรับ GDPR ต่อสาธารณะ แต่ก็มีข้อมูลเพิ่มเติมเกี่ยวกับข้อกำหนดในการปฏิบัติตามข้อกำหนดและบทลงโทษการไม่ปฏิบัติตามข้อกำหนด มีแม้กระทั่งเว็บไซต์อิสระที่อุทิศให้กับการติดตามการบังคับใช้ GDPR และมันก็น่าสนใจที่จะปฏิบัติตามเนื่องจากแต่ละประเทศสมาชิกบังคับใช้การปฏิบัติตาม GDPR

GDPR ได้ออกบทลงโทษหลายร้อยครั้งในช่วงไม่กี่ปีที่ผ่านมา รวมถึงการปรับ 18.4 ล้านปอนด์ให้กับ Marriott สำหรับการละเมิดข้อมูลในปี 2018 สำหรับ “มาตรการทางเทคนิคและองค์กรที่ไม่เพียงพอต่อการประกันความปลอดภัยของข้อมูล” CCPA ไม่ได้รับการเผยแพร่อย่างเดียวกันเกี่ยวกับการบังคับใช้หรือผลสะท้อนกลับ หากไม่มีบทลงโทษหรือคดีที่น่าแจ้งข่าว CCPA อาจไม่เพียงพอสำหรับอุปสรรคในการแก้ไขปัญหาความไม่มั่นคงของข้อมูลในสหรัฐอเมริกา

หากผลที่ตามมาไม่สูงพอ และการบังคับใช้กฎหมายไม่สอดคล้องกัน รวดเร็ว และมีประสิทธิภาพ CCPA อาจไม่เป็นการโน้มน้าวใจมากพอที่บริษัทต่างๆ จะให้ความสำคัญกับประเด็นเรื่องความปลอดภัยของข้อมูลอย่างจริงจัง

เราไม่ใช่นักกฎหมาย เราไม่สามารถช่วยคุณตรวจสอบและปฏิบัติตามข้อกำหนดด้านความปลอดภัยทางไซเบอร์ได้ แต่เราสามารถสร้างเว็บไซต์ kick-ass ที่จะเป็นไปตามข้อกำหนดของ CCPA และเราสามารถทำงานร่วมกับทีมจัดการข้อมูลของคุณเพื่อสร้างสภาพแวดล้อมดิจิทัลที่จะสร้างความเชื่อมั่นของผู้บริโภคในแบรนด์ของคุณและตอบสนอง เป้าหมายธุรกิจของคุณ

หากข้อบังคับความเป็นส่วนตัวของข้อมูลมีความกังวลเกี่ยวกับเว็บไซต์และการปฏิบัติตามข้อกำหนด โปรดอ่านคู่มือ GDPR ของเราเพื่อเพิ่มระดับความรู้ด้านกฎระเบียบด้านความปลอดภัยของข้อมูล หรือติดต่อเพื่อพูดคุยกัน