文章加州消費者隱私法完整指南

了解《加州消費者隱私法》如何影響管理居民數據的企業，以及您可以採取哪些措施來降低違反該法規定的風險。

*本文撰寫於 2018 年。CCPA 於 2020 年 1 月 1 日生效。

自 2018 年 GDPR 大恐慌以來已經過去了幾個月。我們都有時間總結合規性，喘口氣並展望未來（但如果您尚未解決 GDPR 合規問題或不知道 GDPR 是什麼，請查看我關於美國網站 GDPR 的文章）。 那麼美國實體的個人隱私法規接下來會發生什麼？

這是加州消費者隱私法案 (CCPA)，於 2018 年 9 月 23 日簽署成為法律。這一次，我們都應該能夠避免我們在 GDPR 中看到的歇斯底里。 希望， 在法律於2020 年 1 月 1 日生效之前很久，我們都在進行研究和盡職調查。

在我繼續之前，請注意本文針對的是大中型企業對企業 (B2B) 網站的所有者。 您的組織是公有的還是私有的都無關緊要，您的組織是否位於加利福尼亞也無關緊要。

我發現大多數關於此主題和類似主題的博客文章都非常可疑，因此本文的研究完全取決於法律文本。 無論您從何處獲得信息，請與專門研究該主題的律師核實。 如果您的公司將處理個人信息作為其核心業務的一部分，那麼本文不適合您。

以下是我將介紹的內容：

• 什麼是加州消費者隱私法？
• 誰受 CCPA 保護？
• 究竟什麼是受保護的？
• 哪些組織必須遵守？
• 消費者的權利是什麼？
• 確保符合 CCPA 的步驟是什麼？
• 不合規的處罰是什麼？

讓我們潛入水中！

什麼是加州消費者隱私法？

1972 年，加州選民修改了加州憲法，將隱私權納入所有人“不可剝奪的”權利之中。 該修正案為每個加利福尼亞人確立了合法且可執行的隱私權。 這項隱私權的基礎是個人控制其個人信息的使用（包括出售）的能力——AB 375，第 2(a) 節

為了支持這項修正案，加利福尼亞州已經通過了多項法律：《在線隱私保護法》、《加利福尼亞未成年人在數字世界中的隱私權法》和《閃耀之光》。

CCPA 是一項建立在這些法律基礎上的新法律，旨在進一步保護居民的權利。 它最初是一項提議的投票倡議，但其支持者同意在 2018 年 6 月 28 日之前通過一項新法律的條件下撤回它。

那是最終確定選票內容的最後期限。 為了解決這個問題，一項不完美的法案（第 375 號議會法案）在之前未能獲得支持後被重新提出。 匆忙通過了。 投票倡議和 AB 375 都被稱為加州消費者隱私法，儘管投票倡議和由此產生的法律被證明是非常不同的。

加利福尼亞州議會成員擔心，如果一項法律沒有及時通過，並且該倡議進入選票，選民將通過一項法律，即使不是不可能，企業也很難遵守。

2018 年晚些時候，加利福尼亞州參議院通過了修訂版（參議院法案 1121）。 但該法律仍不完善，似乎有可能進一步修訂。

在我們深入了解法律的細節之前，我們應該承認某些部分可能會發生變化。 也許法律本身可能永遠無法執行。

目前有一些舉措來建立聯邦數據隱私法，該法將凌駕於任何州的數據隱私法之上。 聯邦立法者可能會覺得加利福尼亞州的法律要么過頭，要么做得不夠，然後匆忙制定聯邦法律……這一舉動反映了加利福尼亞州議會採取的行動。

州和聯邦立法者對選民驅動的倡議和一系列個別州法律保持警惕是合理的。 企業可能會背負不切實際的技術指令或遵守 50 個不同州法律的壓倒性負擔。

作為一名 Web 開發人員，我對這兩種情況都感到害怕。 但作為個人消費者，我對加州法律感到失望。 它根本不足以保護個人的可識別數據。

不管發生什麼，未來幾年都會非常混亂，但這就是我們現在的立場……

誰受 CCPA 保護？

CCPA 適用於所有居住在加州的人。 法律文本如下：

消費者是指加利福尼亞州居民的自然人，如《加利福尼亞州法規》第 18 篇第 17014 節所定義，該節於 2017 年 9 月 1 日閱讀，無論其身份如何，包括任何唯一標識符。 – AB 375，第 3 節，1798.140

“自然人”可以簡單地被認為是個人。 相比之下，“法人”可能只是一個法人實體。 居民的定義是：

法律所定義的“居民”一詞包括 (1) 出於臨時或臨時目的以外的目的而在該州境內的每個人，以及 (2) 居住在該州且在該州境外的每個人臨時或暫時的目的。 所有其他個人均為非居民。 – 加州法規，第 18 篇，第 17014 節

您組織中的一位聰明的技術專家可能會建議按州過濾用戶，從而為加利福尼亞的用戶提供不同的體驗。 但這種方法存在三個缺陷。

首先，加州居民無論當時是否在該州都受到保護。 其次，我們用來確定用戶位置的工具並不完善。 第三，為加利福尼亞的用戶維護單獨的網站體驗將是額外的， 不必要負擔。

請注意，在整個法律文本（包括標題）中，“消費者”一詞用於表示所有加利福尼亞州居民的自然人。 這是一個奇怪的選擇，因為個人不需要購買受法律保護的商品或服務。

什麼受到保護？

CCPA 保護加州居民的個人信息。 個人信息是可以直接或間接與個人或家庭相關聯的信息。

請注意，完全有可能通過 Cookie 或 IP 地址等方式收集匿名用戶的數據，然後在日後將這些數據與個人相關聯。 這意味著數據“可以與一個人相關聯”。

因此，如果 CCPA 適用於您的企業，您必須在收集數據時向個人披露此收集信息 - 即使此人尚未或永遠不會被識別。 因為可以識別此人意味著您必須遵守。 個人信息包括但不限於：

(A) 標識符，例如真實姓名、別名、郵政地址、唯一的個人標識符、在線標識符 Internet 協議地址、電子郵件地址、帳戶名稱、社會安全號碼、駕駛執照號碼、護照號碼或其他類似標識符。

(B) 第 1798.80 條 (e) 小節中描述的任何類別的個人信息。

(C) 加州或聯邦法律下受保護分類的特徵。

(D) 商業信息，包括購買、獲得或考慮的個人財產、產品或服務的記錄，或其他購買或消費歷史或趨勢。

(E) 生物特徵信息。

(F) 互聯網或其他電子網絡活動信息，包括但不限於瀏覽歷史、搜索歷史以及有關消費者與互聯網網站、應用程序或廣告交互的信息。

(G) 地理位置數據。

(H) 音頻、電子、視覺、熱、嗅覺或類似信息。

(I) 專業或就業相關信息。

(J) 教育信息，定義為《家庭教育權利和隱私法》（20 USC 第 1232g 節，34 CFR 第 99 部分）中定義的非公開個人身份信息的信息。

(K) 從本細分中確定的任何信息中得出的推論，以創建反映消費者偏好、特徵、心理趨勢、偏好、傾向、行為、態度、智力、能力和資質的消費者檔案。

– AB 375，第 3 節，1798.140

哪些組織必須遵守？

如果您的組織不在加利福尼亞州開展業務，那麼您是清楚的。 從加利福尼亞州內瀏覽您網站的人並不表示有意在該州開展業務。 但是，如果您的公司確實在加利福尼亞開展業務，您必須問自己幾個問題：

1. 您的組織的年總收入是否超過 2500 萬美元？ （請注意，該數字隨消費者價格指數調整）。
2. 您的組織是否每年處理 50,000 或更多消費者、家庭或設備的個人信息？
3. 您的組織是否有 50% 或更多的年收入來自出售消費者的個人信息？

如果您可以對這三個問題中的任何一個回答“是”，那麼您的組織必須遵守。 如果您的組織低於所有這些閾值，但由超過其中任何一個的更大實體（擁有超過 50% 的控制權）擁有，那麼您的組織必須再次遵守。

消費者的權利是什麼？

根據該法律授予加利福尼亞州居民的權利與根據 GDPR 授予歐盟公民的權利有許多相似之處。 與 GDPR 一樣，企業必須讓用戶知道他們何時收集數據以及在收集信息之前他們將如何處理這些數據：

收集消費者個人信息的企業應在收集點或收集點之前告知消費者要收集的個人信息的類別以及個人信息類別的用途——AB 375，第 3 節， 1798.100(b)

他們有權要求企業收集的所有數據：

消費者有權要求收集消費者個人信息的企業向該消費者披露企業收集的個人信息的類別和具體部分——AB 375，第 3 節，1798.100(a)

在此基礎上，消費者有權了解信息收集來源的類別、數據收集的商業目的以及與信息共享的第三方的類別。

此外，用戶有權要求從您的記錄和所有服務提供商的記錄中刪除他們的數據。

消費者有權要求企業刪除企業從消費者那裡收集的有關消費者的任何個人信息——AB 375，第 3 節，1798.105(a)

如果您的核心業務是處理消費者的個人數據，那麼您需要了解並準備應對其他權利。 但同樣，這篇文章不適合你。

確保符合 CCPA 的步驟是什麼？

首先，您必須提前通知用戶所有數據收集。 與 GDPR 不同，CCPA 不需要積極的同意機制。 例如，當用戶填寫表格時，一個簡單的聲明就足夠了，說明您將如何處理數據。 用戶無需勾選說明他或她理解並同意收集的方框。

您必須為用戶提供至少兩種方法來請求他們的數據或刪除他們的數據。 其中一種方法必須是免費電話號碼； 另一個可以只是一個網站地址。

所有請求必須在 45 天內得到驗證和回复。 只要您在前 45 天內告知消費者，此期限可以再延長 45 天。 您向用戶披露的信息必須包括過去 12 個月的數據收集，因此請確保您能夠從 2019 年 7 月 1 日起存儲和檢索必要的數據。

收到消費者可驗證的消費者請求以訪問個人信息的企業應立即採取措施，免費向消費者披露和提供本節要求的個人信息——AB 375，第 3 節，1798.100(d)

您沒有義務在任何 12 個月內多次響應任何單個用戶的數據請求。

您必須更新您的隱私政策，以根據 CCPA 第 1798.110、1798.115 和 1798.125 條披露消費者權利的描述。 您還需要提供對他們的數據提出請求的可用方法。

如上所述，其中一種方法必須是免費電話號碼。 您還必須披露您在過去 12 個月中收集的所有信息類別，並至少每 12 個月更新一次該信息。

同時，您必須確保所有處理消費者關於企業隱私慣例或遵守本標題的查詢的個人都了解所有要求。 他們還需要知道如何指導消費者行使這些條款下的權利。

您可能會看到一些人建議您必須在主頁上設置一個標題為“請勿出售我的個人信息”的鏈接，但該要求特定於出售消費者個人信息的企業。 正如我在本文前面提到的，如果您出售消費者的個人信息，那麼本文不適合您。

最後，您不能歧視行使 CCPA 授予的隱私權的用戶。 歧視包括拒絕提供商品或服務、收取更高的價格或提供不同水平或質量的商品和服務。

您可以為收集個人信息提供經濟獎勵。 但請注意，這些激勵計劃本質上不是強制性的或高利貸的。

不合規的處罰是什麼？

與 GDPR 違規行為相比，加州總檢察長評估的處罰相對較小。 請注意，如果發生涉嫌違規的情況，您將有 30 天的時間來糾正問題，並且只有在您未能這樣做的情況下才需要支付罰款。

如果您被發現違規並且不解決問題，您將面臨 2,500 美元非故意違規和 7,500 美元故意違規的民事罰款。 這些處罰非常溫和，以至於一些公司肯定會選擇無視法律。 但他們這樣做是非常危險的。

被發現違反 CCPA 所帶來的更大成本是增加了面臨集體訴訟的風險。 法定損害賠償限於每位消費者每次事故 100 至 750 美元或實際損害，以較大者為準。 但由於管理成千上萬個人的數據很常見，因此集體訴訟的總損失可能很大。

建議

也許這些新法律最令人擔憂的事情是知道還有更多法律即將出台。 要么我們將開始看到更多旨在保護我們的數據隱私的州法律，要么將通過聯邦法律並優先或凌駕於州法律之上。

不可能知道這些未來的法律可能包括什麼，但我們可以做出一些有根據的猜測。 還有一些額外的做法將有助於確保所有州和歐盟的合規性：

• 定義在設定的時間段後處理客戶數據的流程
• 在數據收集的所有點都需要一個積極的同意機制
• 收集更少的數據！

最後一個建議很容易實現，它免除了你很多責任。 大多數現代網站上有很多東西可以記錄、跟踪和利用用戶活動。

這些東西中的絕大多數實際上並沒有為網站所有者收集數據； 他們為有針對性的廣告網絡收集數據。 分析、字體託管、內容交付網絡、共享小部件等“免費”服務絕不是免費的。

你用你的用戶的隱私為他們付費。 盡可能不要在您的網站上使用它們，或者以您不再披露用戶個人數據的方式配置它們。

資源

• 加利福尼亞州議會第 375 號法案
• 加利福尼亞州參議院第 1121 號法案
• Data Privacy Monitor 關於 CCPA 的文章 通常我不會鏈接到博客，但 DPM 和 Alan L. Friel 的文章尤其出色

CCPA 法規可能是壓倒性的。 希望我們已經幫助鞏固了您需要知道的一切。 當您考慮對您的網站進行審核時，我們很樂意與您交談。 為了更深入地了解您的品牌的網絡和數字注意事項，這裡有一些提示和資源可以提供幫助：

• 了解如何使您的網站易於訪問。
• 找出網站安全的關鍵以及如何確保您的網站安全。
• 看看如何創建一個引人入勝（和轉換）的商業網站。