文章 CCPA 網站合規指南

已發表: 2022-08-12

在本加州消費者隱私法超級指南中獲取有關使您的網站符合 CCPA 的分步說明。 這包括:

  • 什麼是 CCPA
  • 企業的 CCPA 網站要求
  • 如何使您的網站符合 CCPA 標準
  • 如何更新您的隱私政策以符合 CCPA
  • CCPA 罰款和處罰

什麼是加州消費者隱私法?

2020 年 1 月 1 日,加州消費者隱私法在布朗州長於 2018 年 6 月 28 日簽署該法案後生效。

目標是加強隱私權和消費者保護。 具體而言,加州居民必須能夠:

  1. 了解正在收集哪些關於他們的個人數據。
  2. 了解他們的個人數據是否被出售或披露以及向誰披露。
  3. 對出售個人數據說不。
  4. 訪問他們的個人數據。
  5. 要求企業刪除從該消費者那裡收集的有關該消費者的任何個人信息。
  6. 不會因行使他們的隱私權而受到歧視。

現在,從加州居民那裡收集個人信息的企業必須遵守新的隱私法。 即使您的企業不在加利福尼亞州運營,如果您收集有關加利福尼亞州居民的任何個人數據,您的網站仍然必須符合 CCPA。 這包括美國的許多企業。

我們應該澄清——這個“個人數據”實際上是用戶數據——它可以是任何東西,從姓名、電子郵件或電話號碼到地理區域或在線行為。

因此,如果您的企業有可能收集加州居民的數據,並且您符合下一節中指定的準則,那麼您需要確保合規。

CCPA 和 GDPR

“但是等等,我們已經符合 GDPR ——這不是一回事嗎?”

抱歉不行。

GDPR 類似但不同,您仍必須遵守 CCPA 法律。

雖然該法律僅適用於加利福尼亞州,但這只是第一個頒布此類隱私法的州。 未來,我預計大多數州都會採取這樣的某種程度的保護措施,所以現在取得成功是件好事。

那麼,哪些類型的公司和網站必須遵守 CCPA?

哪些網站必須遵守 CCPA?

CCPA 適用於收集和處理消費者個人數據的任何營利性企業,該企業在加利福尼亞州開展業務並滿足以下至少一項門檻:

  • 年總收入超過 2500 萬美元。
  • 購買或出售 50,000 或更多消費者或家庭的個人信息。
  • 超過一半的年收入來自出售消費者的個人信息。

組織必須“實施和維護合理的安全程序和做法”以保護消費者數據。

加州居民被州法律定義為:

  • 出於臨時或臨時目的以外的目的在加利福尼亞。
  • 居住在加利福尼亞州,但出於臨時或臨時目的在州外。

如何使您的網站符合 CCPA 標準

這是本文的重點——CCPA 網站要求的分步演練。 在我們深入了解細節之前,這裡是您對必要網站更新的高級概述。

  1. 在您的主頁上添加一個超鏈接,上面寫著“請勿出售我的個人數據” :此鏈接應將人們引導至登錄頁面。
  2. 創建一個帶有請求、移動、更改或刪除數據選項的登錄頁面:還有更多內容 - 但我們將在下一節中提供完整的要求和一些示例。
  3. 修改您的隱私政策:包括說明您收集的信息類型、您如何使用個人數據、描述消費者權利等的語言。 我們稍後將涵蓋您需要說的所有內容的完整列表。

這些是您將對您的網站進行的三項主要更改,以確保合規性並避免罰款。 讓我們更詳細地研究這三個可交付成果,並向您展示如何進行所需的更新。

1.添加一個主頁超鏈接,上面寫著“不要出售我的個人數據”

即使您的企業不出售個人數據,您仍然需要在主頁上顯示“請勿出售我的個人數據”的鏈接。 此鏈接必須將用戶引導至登錄頁面。

對於鏈接本身,鏈接的大小或位置沒有強制性標準。 我們所知道的是:

  • 鏈接必須放在主頁上。
  • 即使您不出售個人數據,該鏈接也必須存在。
  • 鏈接必須清晰可見且可點擊——它不能被隱藏——這是糟糕的用戶體驗實際上會讓你付出代價的另一種方式。

2.創建一個登陸頁面來請求/刪除數據

當有人單擊主頁鏈接“請勿出售我的個人數據”時,他們將被帶到此登錄頁面。

您的目標網頁需要三個主要元素:

  1. 您出售個人數據的政策說明:這是您描述您的數據收集政策的地方——您收集的數據類型、您如何使用該數據以及您的數據出售政策。
  2. 加州居民受保護的隱私權的描述:基本上,您需要告知用戶 CCPA 提供的新保護級別以及他們訪問您可能收集的任何數據的權利。
  3. 表單:這允許想要請求、移動、更改或刪除數據的人完全這樣做。 在表單中,您應該包括供人們選擇您對數據執行的操作的選項。

提供請求數據的第二個選項

CCPA 要求您為消費者提供兩種或多種方法來提出與數據相關的請求並行使他們的數據保護權利。

所以基本上,人們需要兩種選擇來請求或刪除數據。

此著陸頁算作一個選項。 第二個選項應該是免費電話號碼。 當然,您可以提供兩種以上的方法,但前兩種是必需的。

創建 CCPA 登錄頁面的提示

提示 1:如果您不出售數據,那很好——您應該這麼說。 但您仍然需要為用戶提供請求、移動、更改或刪除個人數據的選項。

提示 2:您需要在登錄頁面上放置一個表單,允許人們請求或刪除數據。 我建議創建一個下拉字段選項,允許人們選擇他們希望如何處理數據:請求他們查看、移動、更改或刪除個人數據。

提示 3:著陸頁不必花哨,但必須清晰直接。

提示 4:您可以在此登錄頁面上說出所有內容,因此您應該在隱私政策中添加清晰明了的鏈接以獲取更多信息。

提示 5:雖然沒有強制要求,但最好的做法是向人們提供“成功消息”,確認已收到請求,並且您正在按照他們指定的方式提供或更改數據。

最簡單的方法是在提交表單後將人們引導至感謝頁面。 該頁面應該有一條簡單的確認消息,例如“我們收到了您的請求,並將在 30 天或更短的時間內向您提供信息。”

此感謝頁面還應包含指向隱私政策的鏈接,以防用戶想要了解有關您的數據收集政策的更多信息。

3. 修改您的隱私政策

老實說,您將希望讓您的法律團隊參與其中以提供幫助。 但是你現在可以做很多繁重的工作。

我假設如果你做到了這一步,你要么是公司的營銷專家,要么是企業內部的員工。 無論哪種方式,您都應該有權訪問法律團隊來完善隱私政策語言。 但是 - 您仍然需要向法律團隊提供您收集的數據類型以及您這樣做的原因。

首先,我們將查看您更新後的隱私政策必須披露的所有內容。 然後,我們將提供有關您需要移交給法律團隊的信息的提示。

您的隱私政策必須披露:

  1. 根據 CCPA 對消費者權利的描述;
  2. 描述消費者向他們提交 CCPA 請求的至少一種指定方法;
  3. 他們在過去 12 個月內收集的消費者個人信息類別列表;
  4. 在過去 12 個月內出售的個人信息類別列表(或者,如果企業沒有出售個人信息,則應說明); 和
  5. 他們在過去 12 個月內出於商業目的披露(未出售)的個人信息類別列表(或者,如果他們沒有披露個人信息,則應說明)。

根據 CCPA,受監管的企業必須至少每 12 個月更新一次隱私政策。

修改 CCPA 隱私政策的提示

我們一直在與客戶合作以符合 CCPA,到目前為止,最大的障礙似乎是隱私政策。

提示 1:如果您向您的法律團隊提供您收集的所有類型數據的完整列表,您可以增加很多清晰度並加快流程。 數據如:

  • 名字和姓氏
  • 電子郵件
  • 電話號碼
  • Ge0區域
  • 區號
  • 從您的網站下載的信息類型
  • IP地址
  • 專業就業數據

所有這些以及更多。 基本上,從字面上列出網站用戶可以給你的每一種信息。

提示 2:不要忘記您擁有的任何微型網站或子域,以及您從這些來源收集的信息。

提示 3:最終,您的法律團隊將編寫隱私政策,因此向他們描述您(負責數據收集的營銷人員或員工)如何使用數據可能會有所幫助。 這可以幫助他們確定隱私政策中需要包含的內容。

提示 4: CCPA 不限制您出售數據,但如果您這樣做,您必須披露並允許用戶選擇退出。

作者註意:我們不與任何出售用戶個人數據的客戶合作——但我們仍然遵循 CCPA 的要求,以防萬一。

提示 5:如果您出售 13-16 歲未成年人的數據,您必須在出售他們的數據之前獲得事先同意。 對於 13 歲以下的未成年人,您需要徵得其父母或監護人的同意。

作者註:看——如果你是出售人們數據的人,不要這樣做。 這是蹩腳的,你知道的。

提示 6:請務必保留從未成年人、父母或監護人處獲得的所有同意書。

提示 7:保留所有同意或拒絕同意的人的文件,以及他們提交請求的日期。

提示 8:您在使用 CRM 嗎? 如果是這樣,您需要指定這一點,以及可能收集或處理數據的任何其他來源。

CCPA罰款及如何避免

不遵守會讓你付出代價。

不僅是巨額罰款,而且如果您在接到違規通知後 30 天仍不合規,司法部長可能會對您或您的企業提起民事訴訟。

每次違規罰款 7,500 美元。 因此,如果您違反了 1000 名用戶的 CCPA 權利,您可能會收到 7,500,000 美元的罰款。

最後一件事

恭喜——您不僅完成了這份 2,000 字的 CCPA 指南,而且現在,您應該擁有滿足 CCPA 網站要求所需的一切。

有一件事是肯定的——CCPA 不會很快消失,這些規定肯定會傳播到其他州。 我們已經在我們構建的每個網站中構建了符合 CCPA 的流程。

最後一件事 – CCPA 合規性需要大量的工作。 如果它變得勢不可擋,或者您希望另一雙眼睛仔細檢查您的合規性,請致電 BrandExtract。 我們可以插入並幫助您的合規性防彈(或精細證明)或只是為您管理流程。