每个品牌都应该知道的关于 CCPA 的关键事项
已发表: 2019-12-212018 年,欧洲通用数据保护条例 (GDPR) 的实施重塑了欧洲和全球企业的数据隐私格局,并使消费者数据隐私和安全成为任何关心客户参与度的人的重要话题。
随着加州消费者隐私法案 (CCPA) 计划于 2020 年 1 月 1 日开始执行,由 GDPR 引发的隐私革命已经成为美国公司的主场。 这项新立法是一个大话题,对于品牌来说可能是可怕的——尤其是那些尚未开始合规工作的品牌。 虽然 Braze 无法向我们的客户或其他任何人提供法律建议,但我们可以引导您了解在 CCPA 和一般数据隐私方面您需要考虑的一些主要事项。 继续阅读以了解最新情况:
基础知识
什么是 CCPA?
CCPA 代表加利福尼亚州消费者隐私法,最初由加利福尼亚州政府于 2018 年 6 月通过。该法律为居住在加利福尼亚州的人们创造了新的隐私和消费者保护。 CCPA 的实施将于 2020 年 1 月 1 日开始。
加州为何通过 CCPA?
2018 年,在一系列数据隐私事件(包括剑桥分析丑闻)之后,一个名为“加州消费者隐私保护”的倡导组织提出了一项州投票倡议,如果选民通过,该倡议将制定一项极其严格的新消费者隐私法。
为了抢占先机,加州立法机构引入并通过了 CCPA,导致加州消费者隐私权撤回他们的倡议。 虽然 CCPA 在美国被认为在消费者数据隐私权方面开辟了新天地,但它的要求没有提议的倡议那么严格。
加州居民在 CCPA 下享有哪些权利?
根据 CCPA,加州居民有权知道谁在收集他们的个人信息 (PI) 以及如何处理这些信息,并且他们有权访问该信息、将其删除、选择退出“销售” ”他们的个人信息,并不受歧视地行使所有这些权利——也就是说,他们不能被剥夺不选择退出的人所获得的利益或权利。
CCPA 是否适用于加州以外的组织?
该法律适用于在加利福尼亚州开展业务且收入达到或超过 2500 万美元的任何组织,以及从 50,000 名或更多加利福尼亚州居民那里收集数据或至少 50% 的收入来自“出售”个人信息的企业。 这可能包括大多数位于该州的公司,以及许多美国和国际组织,其受众包括加州居民。
CCPA 和数据
CCPA监管哪些数据?
CCPA 仅涵盖与商业目的相关的“个人信息”的收集、销售和披露。 然而,由于它的目标是针对社交媒体公司、数据经纪人和在线行为广告商处理的大量数据,因此它有许多严格的要求,从而产生了深远的影响。
在 CCPA 下,PI 包括可以识别个人的所有信息——姓名、地址、电子邮件、银行帐号、出生日期、生物特征信息、指纹等——以及家庭数据、音频、热量和嗅觉信息。 因此,CCPA 对 PI 的定义可以说使其成为世界上与隐私权相关的最广泛的法律之一。
根据 CCPA,品牌必须向客户披露哪些信息?
CCPA 包括必须每年更新的详细披露要求; 公司必须披露他们在过去 12 个月中出于商业目的收集、“出售”和披露的 PI,并确保加州居民在涉及其个人信息时拥有披露、访问和选择退出的权利。 组织还需要解释他们收集的 PI 的类别以及收集该信息的目的是什么——他们必须在收集时这样做,无论是网站、活动还是其他东西。
CCPA 如何定义“销售”?
CCPA 对“销售”的定义非常广泛,涵盖了很少有人会与数据销售相关的活动。 在 CCPA 下,出售不仅是指以金钱交换个人信息——法律还认为出售包括“出租、发布、披露、传播、提供、转让或以其他方式口头、书面、或通过电子或其他方式,将消费者的个人信息由该企业提供给另一企业或第三方以换取金钱或其他有价值的对价。”
因为法律没有定义“其他有价值的考虑”,并且因为“销售”的定义包括数据共享,所以许多不销售数据(在这个词的白话意义上)的品牌可能被要求充当尽管他们这样做是为了遵守法律。 “其他有价值的考虑”被认为是指任何价值,因此,如果与第三方共享个人数据并且这样做对任何一方都有任何价值,那么这可能是 CCPA 下的“出售”——这是其中之一CCPA 被认为是世界上最广泛的隐私法之一的原因。
CCPA 对被视为“出售”个人信息的品牌是否有特殊要求?
如果一家公司根据 CCPA “出售”加州居民的 PI,则该组织必须在其网站上包含一个突出的“请勿出售我的个人信息”链接,该链接将允许个人选择退出其个人信息的“出售”信息。 不这样做的品牌将面临潜在的罚款和其他惩罚。
CCPA 是否有关于收集未成年人信息的规定?
CCPA 允许成年人选择退出数据收集,并禁止企业在选择退出后至少 12 个月内重新请求收集其数据的许可。 但是,对于 16 岁以下的儿童,规则要严格得多,需要选择加入来收集他们的个人信息。 对于 12 岁以下的儿童,未经父母同意不得收集 PI(例如,父母或其他监护人必须为孩子选择加入)。
CCPA 是否适用于在法律通过之前收集的数据?
如果受 CCPA 约束的公司收集个人信息,则该公司必须遵守 CCPA 的要求,即使数据是在 2020 年 1 月 1 日之前收集的,以执行 CCPA。 这意味着居住在加利福尼亚州的消费者可以对其个人信息行使所有权利——例如,消费者可以要求您的品牌删除您在五年前收集的有关他们的数据,并且根据 CCPA,您的品牌有义务这样做。
CCPA 执法
CCPA的执行截止日期是什么时候?
尽管 CCPA 最初于 2018 年 6 月通过,但组织被要求在 2020 年 1 月 1 日之前遵守法律。
不遵守 CCPA 的处罚是什么?
加利福尼亚州总检察长有权对违反 CCPA 的组织处以最高 2,500 美元的罚款; 但是,这些组织将有 30 天的时间来回应违规通知,并且如果他们在这段时间内解决问题,则不会被罚款。 需要理解的关键一件事——这些罚款是针对每项违规行为的,因此如果有 100 人受到违规行为的影响,那么潜在的罚款将是 250,000 美元,而不是 2,500 美元。 此外,如果发现违规行为是故意的,每次违规的罚款总额最高可达 7,500 美元,对品牌造成重大财务影响的可能性甚至更高。
CCPA 还允许加州个人居民对他们认为违反法律的组织提出投诉,每人可能获得高达 750 美元的赔偿。
此外,CCPA 规定了私人诉讼权——这意味着如果个人认为公司未遵守 CCPA 的安全要求并且该人的 PI 存在数据泄露,则个人可以提起诉讼。 这种个人诉讼权可能导致集体诉讼,这在加利福尼亚的诉讼环境中尤其令人警醒,理论上有许多原告的律师急切地等待机会提起此类诉讼,并在诉讼中追回巨额赔偿金代表大类原告。 赔偿金额可能超过所遭受的实际损失,这使得这种可能性对于受 CCPA 约束的公司来说尤其可怕。 此外,目前正在审查的拟议法规正在考虑对所有违反 CCPA 的行为实施私人诉讼权,而不是仅在违反法规安全要求的情况下允许他们采取行动。
在 CCPA 合规方面,组织应该从哪里开始?
组织应确保在其网站上以及在收集加州居民个人信息的所有点上都包含适当的披露信息。 他们应该能够遵守所有 CCPA 要求,如果他们被视为“出售”加州居民的个人信息,他们应该在其网站上突出显示“请勿出售我的数据”按钮。
已经符合 GDPR 的组织正在顺利实现 CCPA 合规,但两项法律的要求并不相同,鼓励公司寻求其值得信赖的顾问的建议,以确保他们已采取一切必要措施来确保他们在 2020 年 1 月 1 日之前符合 CCPA 的要求。
CCPA 和 GDPR
CCPA 和 GDPR 有何不同?
欧盟的通用数据保护条例 (GDPR) 于 2016 年通过,其灵感来自欧洲大部分地区的隐含信念,即那里的个人拥有控制自己个人数据的基本权利。 另一方面,CCPA 认为加利福尼亚州在保护居民隐私和保护他们免受 PI 滥用(包括身份盗用、财务欺诈、名誉损害、骚扰等)方面落后了。 .
鉴于这些差异,虽然 GDPR 主要侧重于确保每个受影响的个人对个人数据的所有权和控制权,但 CCPA 侧重于针对在线公司在未经加州居民知情和同意的情况下进行涉及大量个人信息的交易的能力。 也就是说,GDPR 适用于涉及个人数据处理的所有活动,包括存储、访问和传输数据。 但是,CCPA 仅适用于出于商业目的收集、“出售”和披露个人信息。
CCPA 和 GDPR 在哪些方面相互补充?
CCPA 和 GDPR 都要求从个人那里收集个人信息的组织披露他们将如何处理这些个人信息,并且这两项法律都为第三方提供了许多关于他们自己的个人信息的类似权利。 此外,这两项法律都要求个人对自己的个人信息的同意、透明度和控制权,并且两项法律都对未能遵守其要求的行为处以罚款。
欧盟和加利福尼亚之间监管环境的差异是否会分别影响 CCPA 和 GDPR 的执行?
由于加州的诉讼环境比欧盟要好得多,并且预计加州的监管机构将从新的一年开始严格执行法律,我们很可能会看到更多的组织因未能遵守 CCPA 而被罚款比我们开始执行 GDPR 时所做的还要多。 鉴于此,选择观望而不是积极寻求遵守 CCPA 的组织可能会冒着严重的风险。