文章加州消费者隐私法完整指南

了解《加州消费者隐私法》如何影响管理居民数据的企业，以及您可以采取哪些措施来降低违反该法规定的风险。

*本文撰写于 2018 年。CCPA 于 2020 年 1 月 1 日生效。

自 2018 年 GDPR 大恐慌以来已经过去了几个月。我们都有时间总结合规性，喘口气并展望未来（但如果您尚未解决 GDPR 合规问题或不知道 GDPR 是什么，请查看我关于美国网站 GDPR 的文章）。 那么美国实体的个人隐私法规接下来会发生什么？

这是加州消费者隐私法案 (CCPA)，于 2018 年 9 月 23 日签署成为法律。这一次，我们都应该能够避免我们在 GDPR 中看到的歇斯底里。 希望， 在法律于2020 年 1 月 1 日生效之前很久，我们都在进行研究和尽职调查。

在我继续之前，请注意本文针对的是大中型企业对企业 (B2B) 网站的所有者。 您的组织是公有的还是私有的都无关紧要，您的组织是否位于加利福尼亚也无关紧要。

我发现大多数关于此主题和类似主题的博客文章都非常可疑，因此本文的研究完全取决于法律文本。 无论您从何处获得信息，请与专门研究该主题的律师核实。 如果您的公司将处理个人信息作为其核心业务的一部分，那么本文不适合您。

以下是我将介绍的内容：

• 什么是加州消费者隐私法？
• 谁受 CCPA 保护？
• 究竟什么是受保护的？
• 哪些组织必须遵守？
• 消费者的权利是什么？
• 确保符合 CCPA 的步骤是什么？
• 不合规的处罚是什么？

让我们潜入水中！

什么是加州消费者隐私法？

1972 年，加州选民修改了加州宪法，将隐私权纳入所有人“不可剥夺的”权利之中。 该修正案为每个加利福尼亚人确立了合法且可执行的隐私权。 这项隐私权的基础是个人控制其个人信息的使用（包括出售）的能力——AB 375，第 2(a) 节

为了支持这项修正案，加利福尼亚州已经通过了多项法律：《在线隐私保护法》、《加利福尼亚未成年人在数字世界中的隐私权法》和《闪耀之光》。

CCPA 是一项建立在这些法律基础上的新法律，旨在进一步保护居民的权利。 它最初是一项提议的投票倡议，但其支持者同意在 2018 年 6 月 28 日之前通过一项新法律的条件下撤回它。

那是最终确定选票内容的最后期限。 为了解决这个问题，一项不完美的法案（第 375 号议会法案）在之前未能获得支持后被重新提出。 匆忙通过了。 投票倡议和 AB 375 都被称为加州消费者隐私法，尽管投票倡议和由此产生的法律被证明是非常不同的。

加利福尼亚州议会成员担心，如果一项法律没有及时通过，并且该倡议进入选票，选民将通过一项法律，即使不是不可能，企业也很难遵守。

2018 年晚些时候，加利福尼亚州参议院通过了修订版（参议院法案 1121）。 但该法律仍不完善，似乎有可能进一步修订。

在我们深入了解法律的细节之前，我们应该承认某些部分可能会发生变化。 也许法律本身可能永远无法执行。

目前有一些举措来建立联邦数据隐私法，该法将凌驾于任何州的数据隐私法之上。 联邦立法者可能会觉得加利福尼亚州的法律要么过头，要么做得不够，然后匆忙制定联邦法律……这一举动反映了加利福尼亚州议会采取的行动。

州和联邦立法者对选民驱动的倡议和一系列个别州法律保持警惕是合理的。 企业可能会背负不切实际的技术指令或遵守 50 个不同州法律的压倒性负担。

作为一名 Web 开发人员，我对这两种情况都感到害怕。 但作为个人消费者，我对加州法律感到失望。 它根本不足以保护个人的可识别数据。

不管发生什么，未来几年都会非常混乱，但这就是我们现在的立场……

谁受 CCPA 保护？

CCPA 适用于所有居住在加州的人。 法律文本如下：

消费者是指加利福尼亚州居民的自然人，如《加利福尼亚州法规》第 18 篇第 17014 节所定义，该节于 2017 年 9 月 1 日阅读，无论其身份如何，包括任何唯一标识符。 – AB 375，第 3 节，1798.140

“自然人”可以简单地被认为是个人。 相比之下，“法人”可能只是一个法人实体。 居民的定义是：

法律所定义的“居民”一词包括 (1) 出于临时或临时目的以外的目的而在该州境内的每个人，以及 (2) 居住在该州且在该州境外的每个人临时或暂时的目的。 所有其他个人均为非居民。 – 加州法规，第 18 篇，第 17014 节

您组织中的一位聪明的技术专家可能会建议按州过滤用户，从而为加利福尼亚的用户提供不同的体验。 但这种方法存在三个缺陷。

首先，加州居民无论当时是否在该州都受到保护。 其次，我们用来确定用户位置的工具并不完善。 第三，为加利福尼亚的用户维护单独的网站体验将是额外的， 不必要负担。

请注意，在整个法律文本（包括标题）中，“消费者”一词用于表示所有加利福尼亚州居民的自然人。 这是一个奇怪的选择，因为个人不需要购买受法律保护的商品或服务。

什么受到保护？

CCPA 保护加州居民的个人信息。 个人信息是可以直接或间接与个人或家庭相关联的信息。

请注意，完全有可能通过 Cookie 或 IP 地址等方式收集匿名用户的数据，然后在日后将这些数据与个人相关联。 这意味着数据“可以与一个人相关联”。

因此，如果 CCPA 适用于您的企业，您必须在收集数据时向个人披露此收集信息 - 即使此人尚未或永远不会被识别。 因为可以识别此人意味着您必须遵守。 个人信息包括但不限于：

(A) 标识符，例如真实姓名、别名、邮政地址、唯一的个人标识符、在线标识符 Internet 协议地址、电子邮件地址、帐户名称、社会安全号码、驾驶执照号码、护照号码或其他类似标识符。

(B) 第 1798.80 条 (e) 小节中描述的任何类别的个人信息。

(C) 加州或联邦法律下受保护分类的特征。

(D) 商业信息，包括购买、获得或考虑的个人财产、产品或服务的记录，或其他购买或消费历史或趋势。

(E) 生物特征信息。

(F) 互联网或其他电子网络活动信息，包括但不限于浏览历史、搜索历史以及有关消费者与互联网网站、应用程序或广告交互的信息。

(G) 地理位置数据。

(H) 音频、电子、视觉、热、嗅觉或类似信息。

(I) 专业或就业相关信息。

(J) 教育信息，定义为《家庭教育权利和隐私法》（20 USC 第 1232g 节，34 CFR 第 99 部分）中定义的非公开个人身份信息的信息。

(K) 从本细分中确定的任何信息中得出的推论，以创建反映消费者偏好、特征、心理趋势、偏好、倾向、行为、态度、智力、能力和资质的消费者档案。

– AB 375，第 3 节，1798.140

哪些组织必须遵守？

如果您的组织不在加利福尼亚州开展业务，那么您是清楚的。 从加利福尼亚州内浏览您网站的人并不表示有意在该州开展业务。 但是，如果您的公司确实在加利福尼亚开展业务，您必须问自己几个问题：

1. 您的组织的年总收入是否超过 2500 万美元？ （请注意，该数字随消费者价格指数调整）。
2. 您的组织是否每年处理 50,000 或更多消费者、家庭或设备的个人信息？
3. 您的组织是否有 50% 或更多的年收入来自出售消费者的个人信息？

如果您可以对这三个问题中的任何一个回答“是”，那么您的组织必须遵守。 如果您的组织低于所有这些阈值，但由超过其中任何一个的更大实体（拥有超过 50% 的控制权）拥有，那么您的组织必须再次遵守。

消费者的权利是什么？

根据该法律授予加利福尼亚州居民的权利与根据 GDPR 授予欧盟公民的权利有许多相似之处。 与 GDPR 一样，企业必须让用户知道他们何时收集数据以及在收集信息之前他们将如何处理这些数据：

收集消费者个人信息的企业应在收集点或收集点之前告知消费者要收集的个人信息的类别以及个人信息类别的用途——AB 375，第 3 节， 1798.100(b)

他们有权要求企业收集的所有数据：

消费者有权要求收集消费者个人信息的企业向该消费者披露企业收集的个人信息的类别和具体部分——AB 375，第 3 节，1798.100(a)

在此基础上，消费者有权了解信息收集来源的类别、数据收集的商业目的以及与信息共享的第三方的类别。

此外，用户有权要求从您的记录和所有服务提供商的记录中删除他们的数据。

消费者有权要求企业删除企业从消费者那里收集的有关消费者的任何个人信息——AB 375，第 3 节，1798.105(a)

如果您的核心业务是处理消费者的个人数据，那么您需要了解并准备应对其他权利。 但同样，这篇文章不适合你。

确保符合 CCPA 的步骤是什么？

首先，您必须提前通知用户所有数据收集。 与 GDPR 不同，CCPA 不需要积极的同意机制。 例如，当用户填写表格时，一个简单的声明就足够了，说明您将如何处理数据。 用户无需勾选说明他或她理解并同意收集的方框。

您必须为用户提供至少两种方法来请求他们的数据或删除他们的数据。 其中一种方法必须是免费电话号码； 另一个可以只是一个网站地址。

所有请求必须在 45 天内得到验证和回复。 只要您在前 45 天内告知消费者，此期限可以再延长 45 天。 您向用户披露的信息必须包括过去 12 个月的数据收集，因此请确保您能够从 2019 年 7 月 1 日起存储和检索必要的数据。

收到消费者可验证的消费者访问个人信息请求的企业应立即采取措施，免费向消费者披露和提供本节要求的个人信息——AB 375，第 3 节，1798.100(d)

您没有义务在任何 12 个月内多次响应任何单个用户的数据请求。

您必须更新您的隐私政策，以根据 CCPA 第 1798.110、1798.115 和 1798.125 条披露消费者权利的描述。 您还需要提供针对其数据提出请求的可用方法。

如上所述，其中一种方法必须是免费电话号码。 您还必须披露您在过去 12 个月中收集的所有信息类别，并至少每 12 个月更新一次该信息。

同时，您必须确保所有处理消费者关于企业隐私惯例或遵守本标题的查询的个人都了解所有要求。 他们还需要知道如何指导消费者行使这些条款下的权利。

您可能会看到一些人建议您必须在主页上设置一个标题为“请勿出售我的个人信息”的链接，但该要求特定于出售消费者个人信息的企业。 正如我在本文前面提到的，如果您出售消费者的个人信息，那么本文不适合您。

最后，您不能歧视行使 CCPA 授予的隐私权的用户。 歧视包括拒绝提供商品或服务、收取更高的价格或提供不同水平或质量的商品和服务。

您可以为收集个人信息提供经济奖励。 但请注意，这些激励计划本质上不是强制性的或高利贷的。

不合规的处罚是什么？

与 GDPR 违规行为相比，加州总检察长评估的处罚相对较小。 请注意，如果发生涉嫌违规的情况，您将有 30 天的时间来纠正问题，并且只有在您未能这样做的情况下才需要支付罚款。

如果您被发现违规并且不解决问题，您将面临 2,500 美元非故意违规和 7,500 美元故意违规的民事罚款。 这些处罚非常轻微，以至于一些公司肯定会选择无视法律。 但他们这样做是非常危险的。

被发现违反 CCPA 所带来的更大成本是增加了面临集体诉讼的风险。 法定损害赔偿限于每位消费者每次事故 100 至 750 美元或实际损害，以较大者为准。 但由于管理成千上万个人的数据很常见，因此集体诉讼的总损失可能很大。

建议

也许这些新法律最令人担忧的事情是知道还有更多法律即将出台。 要么我们将开始看到更多旨在保护我们的数据隐私的州法律，要么将通过联邦法律并优先或凌驾于州法律之上。

不可能知道这些未来的法律可能包括什么，但我们可以做出一些有根据的猜测。 还有一些额外的做法将有助于确保所有州和欧盟的合规性：

• 定义在设定的时间段后处理客户数据的流程
• 在数据收集的所有点都需要一个积极的同意机制
• 收集更少的数据！

最后一个建议很容易实现，它免除了你很多责任。 大多数现代网站上有很多东西可以记录、跟踪和利用用户活动。

这些东西中的绝大多数实际上并没有为网站所有者收集数据； 他们为有针对性的广告网络收集数据。 分析、字体托管、内容交付网络、共享小部件等“免费”服务绝不是免费的。

你用你的用户的隐私为他们付费。 尽可能不要在您的网站上使用它们，或者以您不再披露用户个人数据的方式配置它们。

资源

• 加利福尼亚州议会第 375 号法案
• 加利福尼亚州参议院第 1121 号法案
• Data Privacy Monitor 关于 CCPA 的文章 通常我不会链接到博客，但 DPM 和 Alan L. Friel 的文章尤其出色

CCPA 法规可能是压倒性的。 希望我们已经帮助巩固了您需要知道的一切。 当您考虑对您的网站进行审核时，我们很乐意与您交谈。 为了更深入地了解您的品牌的网络和数字注意事项，这里有一些提示和资源可以提供帮助：

• 了解如何使您的网站易于访问。
• 找出网站安全的关键以及如何确保您的网站安全。
• 看看如何创建一个引人入胜（和转换）的商业网站。