CCPA 代表什么以及它对企业意味着什么?

已发表: 2022-08-05

CCPA 代表什么? CCPA 代表加州消费者隐私法 (CCPA)。 这是一项数据隐私法,可确保加利福尼亚的消费者了解企业可以从他们那里收集哪些信息。 它还赋予这些消费者要求披露的权利。

《加州消费者隐私法》是美国最全面的隐私法。

它涵盖四个关键领域:

  • 了解企业将其信息用于什么目的的权利
  • 删除企业持有的信息的权利
  • 选择不出售个人信息的权利
  • 行使 CCPA 权利的不受歧视的权利

例如,如果您过去曾与一家企业合作,并且您是加利福尼亚州的居民,您有权要求该企业向您提供他们收集的有关您的信息,并有权删除该信息。

随着消费者对其隐私的期望意识的提高,CCPA 是席卷全国的众多数据保护法中的第一部。

CCPA 于 2018 年通过,针对收集和出售个人消费者信息的公司。

为了让加州人更好地控制他们的数据的存储和使用方式,它引入了突破性的数据保护,让居民对其个人信息的命运拥有更实质性的发言权。

但是,CCPA 是否仅适用于位于加利福尼亚的企业?

CCPA 适用于谁?

就像 GDPR 会影响拥有欧洲客户的美国公司一样,CCPA 也会影响拥有该州消费者的非加利福尼亚州公司。

CCPA 关注任何在线运营并从加利福尼亚人那里收集数据或在加利福尼亚开展业务的企业——即使该公司实际上并不位于加利福尼亚。 要申请 CCPA,企业必须满足以下三个标准中的任何一个:

  • 产生至少 2500 万美元的年收入。
  • 从 50,000 多个客户那里获取数据。
  • 通过销售消费者数据赚取至少一半的年收入。

如果企业符合这三个标准中的任何一个,如果他们的消费者居住在加利福尼亚,他们必须满足 CCPA 的要求。 不这样做可能会导致企业支付 CCPA 罚款。

相关博客:谁需要 CMMC 认证?

CCPA隐私法的范围

CCPA 授予加州消费者在互联网上使用和销售其数据的关键权利。 让我们更详细地了解每种方法的含义。

  • 访问信息的权利:加利福尼亚州的消费者有权知道收集或出售了哪些类别的个人信息、从哪里、向谁以及为什么。
  • 数据删除权:加利福尼亚州的消费者可以要求公司删除其收集的有关他们的个人数据。
  • 选择不收集或出售数据的权利:加利福尼亚州的消费者可以指示公司不要收集或出售他们的信息给第三方。 CCPA 包括超越货币兑换的“卖出”定义。
  • 携带权:它允许个人以结构化、通用和机器可读的格式获取他们的个人数据,并将这些个人数据自由地传输给另一个控制者。

CCPA 赋予加州人在其个人信息受到损害(通常是通过违规行为)时起诉任何受 CCPA 约束的企业的有限能力。

但是,它赋予了州检察长代表居民提起诉讼的更广泛的能力。

CCPA 将个人信息定义为“直接或间接识别、涉及、描述、能够与特定消费者或家庭相关联或可以合理地与特定消费者或家庭相关联”的任何信息。

换句话说,可以与可识别的个人相关联的任何统计数据、行动或知识。 这个广泛的定义几乎涵盖了数字空间内的每一个动作。

隐私法如何影响小型企业?

上述附加标准专门用于保护中小型企业。

对于不符合上述三项要求之一的公司,CCPA 合规性不适用,他们对加州人的隐私要求保持不变。

同样,如果 SMB 业务的所有方面都发生在加利福尼亚州以外,包括个人数据的销售,CCPA 也不会影响他们。 但是,如果该企业符合上述三个标准之一并且甚至只有一个加利福尼亚客户,那么 CCPA 将适用。

尽管如此,对于 CCPA 是否适用于特定业务仍存在重大混淆。

一项针对 625 名企业主和公司高管的调查发现,至少 34% 的受访者不知道 CCPA 是否影响了他们,而另外 22% 的受访者声称“不在乎”。

如果你感到困惑,你并不孤单。 如果必须,请务必咨询该领域的专家,以确保您符合要求。 不遵守 CCPA 可能会导致巨额罚款。

违反 CCPA 将受到每次违规 2,500 美元和故意违规 7500 美元的罚款。

中小企业如何遵守 CCPA?

正在走向或已经符合 GDPR 的中小型企业会发现 CCPA 合规性稍微容易一些,尽管后者的范围更广。

对于收集和出售个人信息的公司,CCPA 合规性包括:

  • 更新隐私声明和政策。 CCPA 要求消费者明确告知公司“在收集点或之前”收集和出售信息的意图。 该通知必须包括收集的信息以及原因。
  • 使用新分类更新数据清单。 存储在后端的数据必须包括信息销售、转让给第三方、收集和销售时间的记录,以及信息是否受 HIPAA 或其他数据隐私法保护的说明。
  • 创建遵守加州消费者权利的程序。 公司需要一种方法让消费者请求访问、删除或选择不出售其个人信息。
  • 审查网站和业务安全。 CCPA 要求“合理”的个人数据保护。 对于中小型企业,托管服务提供商可能会减轻这种负担。
  • 培训人员。 就 CCPA 是什么、其合规要求是什么、如何处理新程序以及如何处理潜在事件对员工进行培训。
  • 现在开始。 加州消费者可以要求收集最多 12 个月前的数据。 企业必须能够提供最早于 2019 年 1 月 1 日收集和出售的数据的记录。

什么是符合 CCPA 要求的 | CCPA 代表什么? |影响网络

相关博客:制定网络安全战略以保护您的业务

CCPA、CalOPPA 和 GDPR 之间有什么区别?

CCPA赋予的权利适用于加州“消费者”,即居民和雇员。

这些消费者有权访问和删除任何收集的数据,并有权选择不再与他们在线开展业务的任何公司进行未来收集。

相比之下, CalOPPA是 2003 年的《加利福尼亚在线隐私保护法》。

这是美国第一部要求收集个人信息的商业网站发布专门对加利福尼亚居民可见的隐私政策的州法律。

本隐私政策要求网站运营商遵守其声明的隐私政策。

GDPR是欧盟于 2018 年 5 月制定的通用数据保护条例

它使欧盟公民能够更好地控制他们在互联网上的私人数据。

值得注意的是,GDPR 更新了网站获取消费者同意以收集数据的方式,概述了有关如何使用个人数据的明确指南,并制定了用户同意证明的要求。

CCPA、CalOPPA 和 GDPR 在应用和范围上非常不同。

然而,它们确实都有一个共同的关键特征——它们分别影响的不仅仅是加利福尼亚州和欧盟居民。

任何拥有或与这两个地区任何一个地区的居民互动的在线企业都会发现自己受这些法律的约束。

就像 CCPA 不限于在加利福尼亚州运营的企业一样,GDPR 也不限于位于欧盟的企业。 任何处理欧盟居民数据的全球公司都必须符合 GDPR。

隐私法:CCPA、Caloppa、GDPR | CCPA 代表什么? |影响网络

加州消费者隐私法:CPRA 与 CCPA

CPRA 代表加州消费者隐私法。 它也被称为 24 号提案。加利福尼亚州选民在 2020 年批准了这项投票措施。它增加了对 CCPA 要求的修改,给它起了绰号“CCPA 2.0”。

CPRA 补充说:

  • 纠正权,这意味着消费者可以要求公司更改有关他们的不正确信息
  • 限制权,赋予消费者限制其敏感个人信息的使用和披露的权利
  • 反对自动决策的权利,这使消费者有权选择退出技术“分析”他们的工作表现、经济状况、健康、兴趣等。

CPRA 还规定组织有义务进行风险评估和禁止歧视。 尽管该措施于 2020 年通过,但大部分 CCPA 修订版要到 2023 年才会“生效”。

但是,建立加州隐私保护机构的规定是有效的。 从本质上讲,这将创建一个由五名成员组成的委员会,他们在隐私和消费者权利方面具有专业知识,他们将实施和执行 CCPA。

相关信息图:MSP 与 MSSP – 主要区别

关键要点

CCPA 是美国影响最深远、最全面的数据隐私法。 它授予加州消费者在网上收集、使用和销售其数据的某些权利。

尽管该法律为中小企业设计了某些豁免,但它仍然可能影响这些公司。

CCPA 要求对向消费者发出通知的方式以及企业存储、分类和保护个人信息的方式进行重大改变。

尽管 CCPA 和 CPRA、CalOPPA 和 GDPR 在用户数据的定义和保护方面都有所不同,但它们确实有一个主要共同点:它们影响着世界各地的人们与居住在这些地区的人们开展业务的方式。

最好主动准备合规以避免诉讼。 立即咨询专家,了解您的企业需要做什么才能遵守联邦和州法律。

维护合规性和网络安全可能是一个复杂的主题。 观看由主题专家Jeff Leder 介绍的网络安全管理视频,了解托管网络安全服务如何在您专注于业务的同时处理合规性。