CCPA 代表什麼以及它對企業意味著什麼?

已發表: 2022-08-05

CCPA 代表什麼? CCPA 代表加州消費者隱私法 (CCPA)。 這是一項數據隱私法,可確保加利福尼亞的消費者了解企業可以從他們那裡收集哪些信息。 它還賦予這些消費者要求披露的權利。

《加州消費者隱私法》是美國最全面的隱私法。

它涵蓋四個關鍵領域:

  • 了解企業將其信息用於什麼目的的權利
  • 刪除企業持有的信息的權利
  • 選擇不出售個人信息的權利
  • 行使 CCPA 權利的不受歧視的權利

例如,如果您過去曾與一家企業合作,並且您是加利福尼亞州的居民,您有權要求該企業向您提供他們收集的有關您的信息,並有權刪除該信息。

隨著消費者對其隱私的期望意識的提高,CCPA 是席捲全國的眾多數據保護法中的第一部。

CCPA 於 2018 年通過,針對收集和出售個人消費者信息的公司。

為了讓加州人更好地控制他們的數據的存儲和使用方式,它引入了突破性的數據保護,讓居民對其個人信息的命運擁有更實質性的發言權。

但是,CCPA 是否僅適用於位於加利福尼亞的企業?

CCPA 適用於誰?

就像 GDPR 會影響擁有歐洲客戶的美國公司一樣,CCPA 也會影響擁有該州消費者的非加利福尼亞州公司。

CCPA 關注任何在線運營並從加利福尼亞人那裡收集數據或在加利福尼亞開展業務的企業——即使該公司實際上並不位於加利福尼亞。 要申請 CCPA,企業必須滿足以下三個標準中的任何一個:

  • 產生至少 2500 萬美元的年收入。
  • 從 50,000 多個客戶那裡獲取數據。
  • 通過銷售消費者數據賺取至少一半的年收入。

如果企業符合這三個標準中的任何一個,如果他們的消費者居住在加利福尼亞,他們必須滿足 CCPA 的要求。 不這樣做可能會導致企業支付 CCPA 罰款。

相關博客:誰需要 CMMC 認證?

CCPA隱私法的範圍

CCPA 授予加州消費者在互聯網上使用和銷售其數據的關鍵權利。 讓我們更詳細地了解每種方法的含義。

  • 訪問信息的權利:加利福尼亞州的消費者有權知道收集或出售了哪些類別的個人信息、從哪裡、向誰以及為什麼。
  • 數據刪除權:加利福尼亞州的消費者可以要求公司刪除其收集的有關他們的個人數據。
  • 選擇不收集或出售數據的權利:加利福尼亞州的消費者可以指示公司不要收集或出售他們的信息給第三方。 CCPA 包括超越貨幣兌換的“賣出”定義。
  • 攜帶權:它允許個人以結構化、通用和機器可讀的格式獲取他們的個人數據,並將這些個人數據自由地傳輸給另一個控制者。

CCPA 賦予加州人在其個人信息受到損害(通常是通過違規行為)時起訴任何受 CCPA 約束的企業的有限能力。

但是,它賦予了州檢察長代表居民提起訴訟的更廣泛的能力。

CCPA 將個人信息定義為“直接或間接識別、涉及、描述、能夠與特定消費者或家庭相關聯或可以合理地與特定消費者或家庭相關聯”的任何信息。

換句話說,可以與可識別的個人相關聯的任何統計數據、行動或知識。 這個廣泛的定義幾乎涵蓋了數字空間內的每一個動作。

隱私法如何影響小型企業?

上述附加標準專門用於保護中小型企業。

對於不符合上述三項要求之一的公司,CCPA 合規性不適用,他們對加州人的隱私要求保持不變。

同樣,如果 SMB 業務的所有方面都發生在加利福尼亞州以外,包括個人數據的銷售,CCPA 也不會影響他們。 但是,如果該企業符合上述三個標準之一併且甚至只有一個加利福尼亞客戶,那麼 CCPA 將適用。

儘管如此,對於 CCPA 是否適用於特定業務仍存在重大混淆。

一項針對 625 名企業主和公司高管的調查發現,至少 34% 的受訪者不知道 CCPA 是否影響了他們,而另外 22% 的受訪者聲稱“不在乎”。

如果你感到困惑,你並不孤單。 如果必須,請務必諮詢該領域的專家,以確保您符合要求。 不遵守 CCPA 可能會導致巨額罰款。

違反 CCPA 將受到每次違規 2,500 美元和故意違規 7500 美元的罰款。

中小企業如何遵守 CCPA?

正在走向或已經符合 GDPR 的中小型企業會發現 CCPA 合規性稍微容易一些,儘管後者的範圍更廣。

對於收集和出售個人信息的公司,CCPA 合規性包括:

  • 更新隱私聲明和政策。 CCPA 要求消費者明確告知公司“在收集點或之前”收集和出售信息的意圖。 該通知必須包括收集的信息以及原因。
  • 使用新分類更新數據清單。 存儲在後端的數據必須包括信息銷售、轉讓給第三方、收集和銷售時間的記錄,以及信息是否受 HIPAA 或其他數據隱私法保護的說明。
  • 創建遵守加州消費者權利的程序。 公司需要一種方法讓消費者請求訪問、刪除或選擇不出售其個人信息。
  • 審查網站和業務安全。 CCPA 要求“合理”的個人數據保護。 對於中小型企業,託管服務提供商可能會減輕這種負擔。
  • 培訓人員。 就 CCPA 是什麼、其合規要求是什麼、如何處理新程序以及如何處理潛在事件對員工進行培訓。
  • 現在開始。 加州消費者可以要求收集最多 12 個月前的數據。 企業必須能夠提供最早於 2019 年 1 月 1 日收集和出售的數據的記錄。

什麼是符合 CCPA 要求的 | CCPA 代表什麼? |影響網絡

相關博客:制定網絡安全戰略以保護您的業務

CCPA、CalOPPA 和 GDPR 之間有什麼區別?

CCPA賦予的權利適用於加州“消費者”,即居民和僱員。

這些消費者有權訪問和刪除任何收集的數據,並有權選擇不再與他們在線開展業務的任何公司進行未來收集。

相比之下, CalOPPA是 2003 年的《加利福尼亞在線隱私保護法》。

這是美國第一部要求收集個人信息的商業網站發布專門對加利福尼亞居民可見的隱私政策的州法律。

本隱私政策要求網站運營商遵守其聲明的隱私政策。

GDPR是歐盟於 2018 年 5 月制定的通用數據保護條例

它使歐盟公民能夠更好地控制他們在互聯網上的私人數據。

值得注意的是,GDPR 更新了網站獲取消費者同意以收集數據的方式,概述了有關如何使用個人數據的明確指南,並製定了用戶同意證明的要求。

CCPA、CalOPPA 和 GDPR 在應用和範圍上非常不同。

然而,它們確實都有一個共同的關鍵特徵——它們分別影響的不僅僅是加利福尼亞州和歐盟居民。

任何擁有或與這兩個地區任何一個地區的居民互動的在線企業都會發現自己受這些法律的約束。

就像 CCPA 不限於在加利福尼亞州運營的企業一樣,GDPR 也不限於位於歐盟的企業。 任何處理歐盟居民數據的全球公司都必須符合 GDPR。

隱私法:CCPA、Caloppa、GDPR | CCPA 代表什麼? |影響網絡

加州消費者隱私法:CPRA 與 CCPA

CPRA 代表加州消費者隱私法。 它也被稱為 24 號提案。加利福尼亞州選民在 2020 年批准了這項投票措施。它增加了對 CCPA 要求的修改,給它起了綽號“CCPA 2.0”。

CPRA 補充說:

  • 糾正權,這意味著消費者可以要求公司更改有關他們的不正確信息
  • 限制權,賦予消費者限制其敏感個人信息的使用和披露的權利
  • 反對自動決策的權利,這使消費者有權選擇退出技術“分析”他們的工作表現、經濟狀況、健康、興趣等。

CPRA 還規定組織有義務進行風險評估和禁止歧視。 儘管該措施於 2020 年通過,但大部分 CCPA 修訂版要到 2023 年才會“生效”。

但是,建立加州隱私保護機構的規定是有效的。 從本質上講,這將創建一個由五名成員組成的委員會,他們在隱私和消費者權利方面具有專業知識,他們將實施和執行 CCPA。

相關信息圖:MSP 與 MSSP – 主要區別

關鍵要點

CCPA 是美國影響最深遠、最全面的數據隱私法。 它授予加州消費者在網上收集、使用和銷售其數據的某些權利。

儘管該法律為中小企業設計了某些豁免,但它仍然可能影響這些公司。

CCPA 要求對向消費者發出通知的方式以及企業存儲、分類和保護個人信息的方式進行重大改變。

儘管 CCPA 和 CPRA、CalOPPA 和 GDPR 在用戶數據的定義和保護方面都有所不同,但它們確實有一個主要共同點:它們影響著世界各地的人們與居住在這些地區的人們開展業務的方式。

最好主動準備合規以避免訴訟。 立即諮詢專家,了解您的企業需要做什麼才能遵守聯邦和州法律。

維護合規性和網絡安全可能是一個複雜的主題。 觀看由主題專家Jeff Leder 介紹的網絡安全管理視頻,了解託管網絡安全服務如何在您專注於業務的同時處理合規性。