สิ่งสำคัญที่ทุกแบรนด์ควรรู้เกี่ยวกับ CCPA

ในปี 2018 การบังคับใช้ European General Data Protection Regulation (GDPR) ได้เปลี่ยนโฉมภูมิทัศน์ความเป็นส่วนตัวของข้อมูลสำหรับธุรกิจทั่วยุโรปและทั่วโลก—และทำให้ความเป็นส่วนตัวและความปลอดภัยของข้อมูลผู้บริโภคเป็นหัวข้อสำคัญสำหรับทุกคนที่ใส่ใจเกี่ยวกับการมีส่วนร่วมของลูกค้า

ด้วยกฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (CCPA) ซึ่งมีกำหนดจะเริ่มบังคับใช้ในวันที่ 1 มกราคม 2020 การปฏิวัติด้านความเป็นส่วนตัวที่เริ่มต้นโดย GDPR ได้กลับมาเป็นบ้านของบริษัทอเมริกัน กฎหมายฉบับใหม่นี้เป็นหัวข้อใหญ่ และอาจเป็นเรื่องที่น่ากลัวสำหรับแบรนด์ต่างๆ โดยเฉพาะอย่างยิ่งกฎหมายที่ยังไม่ได้เริ่มดำเนินการเพื่อให้เป็นไปตามข้อกำหนด แม้ว่า Braze จะไม่สามารถให้คำแนะนำทางกฎหมายแก่ลูกค้าของเราหรือใครก็ได้ แต่เราแนะนำคุณเกี่ยวกับสิ่งสำคัญบางประการที่คุณต้องคำนึงถึงเมื่อพูดถึง CCPA และความเป็นส่วนตัวของข้อมูลโดยทั่วไป อ่านต่อเพื่อรับความเร็ว:

พื้นฐาน

CCPA คืออะไร?

CCPA ย่อมาจาก California Consumer Privacy Act ซึ่งเดิมผ่านโดยรัฐบาลของรัฐแคลิฟอร์เนียในเดือนมิถุนายน 2018 กฎหมายสร้างความเป็นส่วนตัวและการคุ้มครองผู้บริโภคแบบใหม่สำหรับผู้ที่อาศัยอยู่ในแคลิฟอร์เนีย การบังคับใช้ CCPA จะเริ่มในวันที่ 1 มกราคม 2020

เหตุใดแคลิฟอร์เนียจึงผ่าน CCPA

ในปี 2018 หลังจากเกิดเหตุการณ์เกี่ยวกับความเป็นส่วนตัวของข้อมูลหลายครั้ง รวมถึงเรื่องอื้อฉาวของ Cambridge Analytica กลุ่มผู้สนับสนุนที่ชื่อว่า “Californians for Consumer Privacy” ได้เสนอความคิดริเริ่มในการลงคะแนนเสียงของรัฐที่จะได้กำหนดกฎหมายความเป็นส่วนตัวของผู้บริโภคฉบับใหม่ที่เข้มงวดอย่างยิ่งหากผ่านโดยผู้มีสิทธิเลือกตั้ง

เพื่อหลีกเลี่ยงความพยายามดังกล่าว สภานิติบัญญัติแห่งรัฐแคลิฟอร์เนียได้แนะนำและผ่าน CCPA ซึ่งเป็นผู้นำชาวแคลิฟอร์เนียในด้านความเป็นส่วนตัวของผู้บริโภคให้ถอนความคิดริเริ่มของตน แม้ว่า CCPA จะถือเป็นจุดเริ่มต้นใหม่เมื่อพูดถึงสิทธิ์ความเป็นส่วนตัวของข้อมูลผู้บริโภคในสหรัฐอเมริกา แต่ก็มีข้อกำหนดที่เข้มงวดน้อยกว่าโครงการที่เสนอ

ชาวแคลิฟอร์เนียมีสิทธิอะไรบ้างภายใต้ CCPA?

ภายใต้ CCPA ผู้อยู่อาศัยในแคลิฟอร์เนียมีสิทธิ์ที่จะรู้ว่าใครเป็นผู้รวบรวมข้อมูลส่วนบุคคล (PI) และสิ่งที่ทำกับข้อมูลนั้น และพวกเขามีสิทธิ์ในการเข้าถึงข้อมูล ลบออก ยกเลิกการขาย ” ข้อมูลส่วนบุคคลของพวกเขาและเพื่อใช้สิทธิ์เหล่านี้ทั้งหมดโดยไม่มีการเลือกปฏิบัติ - นั่นคือพวกเขาไม่สามารถปฏิเสธผลประโยชน์หรือสิทธิที่ผู้คนที่ไม่เลือกไม่รับได้

CCPA ใช้กับองค์กรที่อยู่นอกรัฐแคลิฟอร์เนียหรือไม่

กฎหมายบังคับใช้กับองค์กรใดๆ ที่ทำธุรกิจในแคลิฟอร์เนียที่มีรายได้ 25 ล้านดอลลาร์ขึ้นไป รวมถึงธุรกิจที่รวบรวมข้อมูลจากผู้อยู่อาศัยในแคลิฟอร์เนีย 50,000 คนขึ้นไป หรือได้รับรายได้อย่างน้อย 50% จาก "การขาย" ข้อมูลส่วนบุคคล ซึ่งน่าจะรวมถึงบริษัทส่วนใหญ่ที่อยู่ในรัฐ เช่นเดียวกับองค์กรในสหรัฐอเมริกาและต่างประเทศจำนวนมากที่มีผู้ชมซึ่งรวมถึงผู้อยู่อาศัยในแคลิฟอร์เนีย

CCPA และ Data

CCPA ควบคุมข้อมูลใดบ้าง

CCPA ครอบคลุมเฉพาะการรวบรวม การขาย และการเปิดเผย "ข้อมูลส่วนบุคคล" ที่เกี่ยวข้องกับวัตถุประสงค์ทางธุรกิจ อย่างไรก็ตาม เนื่องจากเป็นไปตามเป้าหมายในการกำหนดเป้าหมายข้อมูลจำนวนมหาศาลที่จัดการโดยบริษัทโซเชียลมีเดีย นายหน้าข้อมูล และผู้โฆษณาตามพฤติกรรมออนไลน์ จึงมีข้อกำหนดที่เข้มงวดจำนวนหนึ่งซึ่งส่งผลกระทบในวงกว้าง

ภายใต้ CCPA PI จะรวมทุกอย่างที่สามารถระบุตัวบุคคลได้ เช่น ชื่อ ที่อยู่ อีเมล หมายเลขบัญชีธนาคาร วันเกิด ข้อมูลไบโอเมตริก ลายนิ้วมือ ฯลฯ ตลอดจนข้อมูลในครัวเรือน เสียง ข้อมูลความร้อน และการดมกลิ่น ด้วยเหตุนี้ คำจำกัดความของ PI ภายใต้ CCPA จึงทำให้เนื้อหานี้เป็นกฎหมายที่กว้างที่สุดในโลกที่เกี่ยวข้องกับสิทธิความเป็นส่วนตัว

แบรนด์ต้องเปิดเผยข้อมูลใดบ้างแก่ลูกค้าภายใต้ CCPA

CCPA มีข้อกำหนดการเปิดเผยรายละเอียดที่ต้องปรับปรุงทุกปี บริษัทต้องเปิดเผย PI ที่พวกเขาได้รวบรวม "ขาย" และเปิดเผยเพื่อวัตถุประสงค์ทางธุรกิจในช่วง 12 เดือนที่ผ่านมา และทำให้แน่ใจว่าผู้อยู่อาศัยในแคลิฟอร์เนียมีสิทธิ์ในการเปิดเผย เข้าถึง และเลือกไม่ใช้เมื่อพูดถึงข้อมูลส่วนบุคคลของพวกเขา องค์กรยังต้องอธิบายหมวดหมู่ของ PI ที่พวกเขารวบรวมและจุดประสงค์ในการรวบรวมข้อมูลนั้นคืออะไร และต้องทำที่จุดรวบรวม ไม่ว่าจะเป็นเว็บไซต์ เหตุการณ์ หรืออย่างอื่น

CCPA กำหนด "การขาย" อย่างไร

CCPA ให้คำจำกัดความ "การขาย" อย่างกว้างๆ ครอบคลุมกิจกรรมที่คนไม่กี่คนจะเชื่อมโยงกับการขายข้อมูล ภายใต้ CCPA การขายไม่ได้หมายความถึงการถ่ายโอนข้อมูลส่วนบุคคลเพื่อแลกกับเงินเท่านั้น กฎหมายยังพิจารณาการขายเพื่อรวม "การเช่า การปล่อย การเปิดเผย การเผยแพร่ การทำให้พร้อมใช้งาน การถ่ายโอน หรือการสื่อสารด้วยวาจาเป็นลายลักษณ์อักษร หรือโดยทางอิเล็กทรอนิกส์หรือวิธีการอื่น ข้อมูลส่วนบุคคลของผู้บริโภคโดยธุรกิจไปยังธุรกิจอื่นหรือบุคคลที่สามเพื่อการพิจารณาทางการเงินหรือ อันมีค่าอื่น ๆ "

เนื่องจากกฎหมายไม่ได้กำหนด "การพิจารณาที่มีคุณค่าอื่น ๆ " และเนื่องจากคำจำกัดความของ "การขาย" รวมถึงการแบ่งปันข้อมูล หลายแบรนด์ที่ไม่ขายข้อมูล (ในความหมายทั่วไปของคำ) อาจต้องทำหน้าที่เป็น ทั้งๆ ที่ตนทำเพื่อให้เป็นไปตามกฎหมาย “การพิจารณาอันมีค่าอื่น ๆ” ถูกนำมาใช้เพื่อหมายถึงมูลค่าใดๆ ดังนั้นหากมีการแบ่งปันข้อมูลส่วนบุคคลกับบุคคลที่สามและมีค่าใด ๆ ในการดำเนินการดังกล่าวสำหรับฝ่ายใดฝ่ายหนึ่ง นั่นอาจเป็น "การขาย" ภายใต้ CCPA— และนั่นเป็นหนึ่งใน เหตุผลที่ CCPA ถือว่าเป็นหนึ่งในกฎหมายความเป็นส่วนตัวที่กว้างที่สุดในโลก

มีข้อกำหนดพิเศษสำหรับแบรนด์ที่ถือว่าเป็น "การขาย" ข้อมูลส่วนบุคคลภายใต้ CCPA หรือไม่

หากบริษัท “ขาย” PI ของผู้อาศัยในแคลิฟอร์เนียภายใต้ CCPA องค์กรนั้นจะต้องระบุลิงก์ “ห้ามขายข้อมูลส่วนบุคคลของฉัน” ที่เด่นชัดบนเว็บไซต์ของบริษัท ซึ่งจะทำให้บุคคลต่างๆ สามารถเลือกไม่รับ “การขาย” ส่วนบุคคลของตนได้ ข้อมูล. แบรนด์ที่ไม่ปฏิบัติตามจะถูกปรับและบทลงโทษอื่นๆ ที่อาจเกิดขึ้น

CCPA มีกฎเกณฑ์เกี่ยวกับการเก็บรวบรวมข้อมูลจากผู้เยาว์หรือไม่?

CCPA อนุญาตให้ผู้ใหญ่เลือกไม่รับการรวบรวมข้อมูลและห้ามไม่ให้ธุรกิจขออนุญาตเพื่อรวบรวมข้อมูลของตนอีกครั้งเป็นเวลาอย่างน้อย 12 เดือนหลังจากการเลือกไม่รับดังกล่าว อย่างไรก็ตาม สำหรับเด็กอายุต่ำกว่า 16 ปี กฎเกณฑ์จะเข้มงวดกว่ามากและกำหนดให้ต้องเลือกรับข้อมูลส่วนบุคคลของพวกเขา และสำหรับเด็กอายุต่ำกว่า 12 ปี จะไม่สามารถเก็บ PI ได้โดยไม่ได้รับความยินยอมจากผู้ปกครอง (เช่น พ่อแม่หรือผู้ปกครองคนอื่นๆ ต้องเลือกรับเด็ก)

CCPA มีผลบังคับใช้กับข้อมูลที่รวบรวมก่อนที่กฎหมายจะผ่านหรือไม่

หากบริษัทที่อยู่ภายใต้ CCPA รวบรวมข้อมูลส่วนบุคคล บริษัทนั้นจะต้องปฏิบัติตามข้อกำหนดของ CCPA แม้ว่าข้อมูลนั้นจะถูกรวบรวมก่อนวันที่ 1 มกราคม 2020 สำหรับการบังคับใช้ CCPA ซึ่งหมายความว่าผู้บริโภคที่อาศัยอยู่ในแคลิฟอร์เนียสามารถใช้สิทธิ์ทั้งหมดของตนในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลของตนได้ ตัวอย่างเช่น ผู้บริโภคสามารถขอให้แบรนด์ของคุณลบข้อมูลที่คุณรวบรวมเกี่ยวกับพวกเขาเมื่อห้าปีที่แล้ว และภายใต้ CCPA แบรนด์ของคุณจะต้องปฏิบัติตาม ทำเช่นนั้น

การบังคับใช้ CCPA

กำหนดเส้นตายการบังคับใช้สำหรับ CCPA คือเมื่อใด

แม้ว่า CCPA เดิมจะผ่านการอนุมัติในเดือนมิถุนายน 2018 แต่องค์กรต่างๆ ได้รับจนถึงวันที่ 1 มกราคม 2020 ก่อนที่พวกเขาจะต้องปฏิบัติตามกฎหมาย

บทลงโทษสำหรับการไม่ปฏิบัติตาม CCPA คืออะไร?

อัยการสูงสุดแห่งแคลิฟอร์เนียได้รับอนุญาตให้ปรับองค์กรสูงถึง 2,500 ดอลลาร์สำหรับการละเมิด CCPA อย่างไรก็ตาม องค์กรเหล่านี้จะมีเวลา 30 วันในการตอบสนองต่อหนังสือแจ้งการไม่ปฏิบัติตามและจะไม่ถูกปรับหากพวกเขาแก้ไขปัญหาในช่วงเวลาดังกล่าว สิ่งสำคัญอย่างหนึ่งที่ต้องเข้าใจ—ค่าปรับเหล่านี้มีไว้สำหรับการละเมิดแต่ละราย ดังนั้นหากผู้คน 100 คนได้รับผลกระทบจากการละเมิด ค่าปรับที่เป็นไปได้จะเป็น $250,000 แทนที่จะเป็น 2,500 ดอลลาร์ นอกจากนี้ หากพบว่าการไม่ปฏิบัติตามเป็นเจตนา ค่าปรับอาจสูงถึง 7,500 ดอลลาร์ต่อการละเมิดหนึ่งครั้ง ซึ่งจะทำให้ผลกระทบทางการเงินที่สำคัญต่อแบรนด์สูงขึ้นไปอีก

CCPA ยังอนุญาตให้ผู้อยู่อาศัยในแคลิฟอร์เนียแต่ละรายยื่นเรื่องร้องเรียนต่อองค์กรที่พวกเขาเชื่อว่าละเมิดกฎหมาย โดยอาจมีการจ่ายเงินสูงถึง $750 ต่อคน

นอกจากนี้ มีสิทธิดำเนินการส่วนตัวภายใต้ CCPA ซึ่งหมายความว่าบุคคลสามารถฟ้องร้องได้ หากบุคคลดังกล่าวเชื่อว่าบริษัทไม่ปฏิบัติตามข้อกำหนดด้านความปลอดภัยของ CCPA และมีการละเมิดข้อมูลที่เกี่ยวข้องกับ PI ของบุคคลนั้น สิทธิในการดำเนินการของบุคคลนี้สามารถนำไปสู่การฟ้องร้องดำเนินคดีแบบกลุ่ม ซึ่งเป็นไปได้อย่างยิ่งในสภาพแวดล้อมทางกฎหมายของรัฐแคลิฟอร์เนีย ซึ่งในทางทฤษฎีมีทนายความของโจทก์จำนวนหนึ่งที่รอคอยโอกาสที่จะยื่นฟ้องประเภทเหล่านี้อย่างใจจดใจจ่อ และได้รางวัลก้อนโตคืนมา ในนามของโจทก์กลุ่มใหญ่ รางวัลนี้อาจมากกว่าความเสียหายที่เกิดขึ้นจริง ทำให้ความเป็นไปได้นี้น่ากลัวเป็นพิเศษสำหรับบริษัทที่อยู่ภายใต้ CCPA นอกจากนี้ ข้อบังคับที่เสนอภายใต้การตรวจสอบในปัจจุบันกำลังพิจารณาใช้สิทธิ์ในการดำเนินการส่วนตัวสำหรับการละเมิด CCPA ทั้งหมด แทนที่จะปล่อยให้พวกเขาอยู่ในที่ที่มีการละเมิดข้อกำหนดด้านความปลอดภัยของกฎหมาย

องค์กรควรเริ่มต้นที่ใดเมื่อต้องปฏิบัติตาม CCPA

องค์กรควรตรวจสอบให้แน่ใจว่าได้รวมการเปิดเผยที่เหมาะสมบนเว็บไซต์ของพวกเขาและทุกจุดของการรวบรวมข้อมูลส่วนบุคคลจากผู้อยู่อาศัยในแคลิฟอร์เนีย พวกเขาควรจะสามารถปฏิบัติตามคำขอ CCPA ทั้งหมดได้ และหากถือว่าเป็นการ "ขาย" ข้อมูลส่วนบุคคลของชาวแคลิฟอร์เนีย พวกเขาควรมีปุ่ม "ห้ามขายข้อมูลของฉัน" บนเว็บไซต์ของพวกเขาอย่างชัดเจน

องค์กรที่ปฏิบัติตาม GDPR อยู่แล้วนั้นกำลังปฏิบัติตาม CCPA เป็นอย่างดี แต่ข้อกำหนดของกฎหมายทั้งสองนั้นไม่เหมือนกัน และบริษัทต่างๆ ควรขอคำแนะนำจากที่ปรึกษาที่เชื่อถือได้เพื่อให้แน่ใจว่าได้ทำทุกอย่างที่จำเป็นเพื่อให้แน่ใจว่าพวกเขา เป็นไปตามข้อกำหนดของ CCPA ก่อนวันที่ 1 มกราคม 2020

CCPA และ GDPR

CCPA และ GDPR แตกต่างกันอย่างไร

กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของสหภาพยุโรปได้รับการอนุมัติในปี 2559 และได้รับแรงบันดาลใจจากความเชื่อโดยปริยายในยุโรปส่วนใหญ่ว่าบุคคลที่นั่นมีสิทธิ์ขั้นพื้นฐานในการควบคุมข้อมูลส่วนบุคคลของตนเอง ในทางกลับกัน CCPA เกิดขึ้นจากความเชื่อที่ว่ารัฐแคลิฟอร์เนียได้อยู่เบื้องหลังในการปกป้องความเป็นส่วนตัวของผู้อยู่อาศัยและปกป้องพวกเขาจากการใช้ PI ในทางที่ผิด (รวมถึงการขโมยข้อมูลประจำตัว การฉ้อโกงทางการเงิน ความเสียหายต่อชื่อเสียง การล่วงละเมิด ฯลฯ) .

ด้วยความแตกต่างเหล่านี้ ในขณะที่ GDPR มุ่งเน้นไปที่การรับรองความเป็นเจ้าของและการควบคุมข้อมูลส่วนบุคคลโดยบุคคลที่ได้รับผลกระทบแต่ละราย CCPA มุ่งเน้นไปที่การกำหนดเป้าหมายความสามารถของบริษัทออนไลน์ในการทำธุรกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลจำนวนมากโดยไม่ได้รับความรู้และความยินยอมจากผู้อยู่อาศัยในแคลิฟอร์เนีย เพื่อความฉลาด GDPR ใช้กับกิจกรรมทั้งหมดที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล รวมถึงการจัดเก็บ การเข้าถึง และการถ่ายโอนข้อมูล อย่างไรก็ตาม CCPA จะใช้เฉพาะกับการเก็บรวบรวม "การขาย" และการเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางธุรกิจเท่านั้น

CCPA และ GDPR ส่งเสริมซึ่งกันและกันในลักษณะใด

ทั้ง CCPA และ GDPR กำหนดให้องค์กรที่รวบรวมข้อมูลส่วนบุคคลจากบุคคลต้องเปิดเผยสิ่งที่พวกเขาจะทำกับข้อมูลส่วนบุคคลนั้น และกฎหมายทั้งสองฉบับให้สิทธิ์ที่คล้ายคลึงกันหลายประการแก่บุคคลที่สามในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลของพวกเขา นอกจากนี้ กฎหมายทั้งสองฉบับกำหนดให้ได้รับความยินยอม ความโปร่งใส และการควบคุมโดยบุคคลในข้อมูลส่วนบุคคลของตน และกฎหมายทั้งสองฉบับกำหนดโทษปรับสำหรับการไม่ปฏิบัติตามข้อกำหนดของตน

ความแตกต่างในสภาพแวดล้อมด้านกฎระเบียบระหว่างสหภาพยุโรปและแคลิฟอร์เนียคาดว่าจะส่งผลกระทบต่อการบังคับใช้ CCPA และ GDPR ตามลำดับหรือไม่

เนื่องจากแคลิฟอร์เนียเป็นสภาพแวดล้อมที่มีการฟ้องร้องดำเนินคดีมากกว่าสหภาพยุโรป และความคาดหวังที่หน่วยงานกำกับดูแลในแคลิฟอร์เนียจะพยายามบังคับใช้กฎหมายอย่างเข้มงวดตั้งแต่ช่วงปีใหม่ จึงมีแนวโน้มว่าเราจะเห็นองค์กรจำนวนมากขึ้นถูกปรับเนื่องจากไม่ปฏิบัติตาม CCPA มากกว่าที่เราทำเมื่อการบังคับใช้ GDPR เริ่มต้นขึ้น ด้วยเหตุผลดังกล่าว องค์กรที่เลือกที่จะรอดูมากกว่าที่จะปฏิบัติตาม CCPA อย่างจริงจังจึงมักจะมีความเสี่ยงร้ายแรง