每個品牌都應該知道的關於 CCPA 的關鍵事項
已發表: 2019-12-212018 年,歐洲通用數據保護條例 (GDPR) 的實施重塑了歐洲和全球企業的數據隱私格局,並使消費者數據隱私和安全成為任何關心客戶參與的人的重要話題。
隨著加州消費者隱私法案 (CCPA) 計劃於 2020 年 1 月 1 日開始執行,由 GDPR 引發的隱私革命已經成為美國公司的主場。 這項新立法是一個大話題,對於品牌來說可能是可怕的——尤其是那些尚未開始合規工作的品牌。 雖然 Braze 無法向我們的客戶或其他任何人提供法律建議,但我們可以引導您了解在 CCPA 和一般數據隱私方面您需要考慮的一些主要事項。 繼續閱讀以了解最新情況:
基礎知識
什麼是 CCPA?
CCPA 代表加利福尼亞州消費者隱私法,最初由加利福尼亞州政府於 2018 年 6 月通過。該法律為居住在加利福尼亞州的人們創造了新的隱私和消費者保護。 CCPA 的實施將於 2020 年 1 月 1 日開始。
加州為何通過 CCPA?
2018 年,在一系列數據隱私事件(包括劍橋分析醜聞)之後,一個名為“加州消費者隱私保護”的倡導組織提出了一項州投票倡議,如果選民通過,該倡議將製定一項極其嚴格的新消費者隱私法。
為了搶占先機,加州立法機構引入並通過了 CCPA,導致加州消費者隱私權撤回他們的倡議。 雖然 CCPA 在美國被認為在消費者數據隱私權方面開闢了新天地,但它的要求沒有提議的倡議那麼嚴格。
加州居民在 CCPA 下享有哪些權利?
根據 CCPA,加州居民有權知道誰在收集他們的個人信息 (PI) 以及如何處理這些信息,並且他們有權訪問該信息、將其刪除、選擇退出“銷售” ”他們的個人信息,並不受歧視地行使所有這些權利——也就是說,他們不能被剝奪不選擇退出的人所獲得的利益或權利。
CCPA 是否適用於加州以外的組織?
該法律適用於在加利福尼亞州開展業務且收入達到或超過 2500 萬美元的任何組織,以及從 50,000 名或更多加利福尼亞州居民那裡收集數據或至少 50% 的收入來自“出售”個人信息的企業。 這可能包括大多數位於該州的公司,以及許多美國和國際組織,其受眾包括加州居民。
CCPA 和數據
CCPA監管哪些數據?
CCPA 僅涵蓋與商業目的相關的“個人信息”的收集、銷售和披露。 然而,由於它的目標是針對社交媒體公司、數據經紀人和在線行為廣告商處理的大量數據,因此它有許多嚴格的要求,從而產生了深遠的影響。
在 CCPA 下,PI 包括可以識別個人的所有信息——姓名、地址、電子郵件、銀行帳號、出生日期、生物特徵信息、指紋等——以及家庭數據、音頻、熱量和嗅覺信息。 因此,CCPA 對 PI 的定義可以說使其成為世界上與隱私權相關的最廣泛的法律之一。
根據 CCPA,品牌必須向客戶披露哪些信息?
CCPA 包括必須每年更新的詳細披露要求; 公司必須披露他們在過去 12 個月中出於商業目的收集、“出售”和披露的 PI,並確保加州居民在涉及其個人信息時擁有披露、訪問和選擇退出的權利。 組織還需要解釋他們收集的 PI 的類別以及收集該信息的目的是什麼——他們必須在收集時這樣做,無論是網站、活動還是其他東西。
CCPA 如何定義“銷售”?
CCPA 對“銷售”的定義非常廣泛,涵蓋了很少有人會與數據銷售相關的活動。 在 CCPA 下,出售不僅是指以交換金錢來轉移個人信息——法律還認為出售包括“出租、發布、披露、傳播、提供、轉讓或以其他方式口頭、書面、或通過電子或其他方式,將消費者的個人信息由該企業提供給另一企業或第三方以換取金錢或其他有價值的對價。”
因為法律沒有定義“其他有價值的考慮”,並且因為“銷售”的定義包括數據共享,所以許多不銷售數據(在這個詞的白話意義上)的品牌可能被要求充當儘管他們這樣做是為了遵守法律。 “其他有價值的考慮”被認為是指任何價值,因此,如果與第三方共享個人數據並且這樣做對任何一方都有任何價值,那麼這可能是 CCPA 下的“出售”——這是其中之一CCPA 被認為是世界上最廣泛的隱私法之一的原因。
CCPA 對被視為“出售”個人信息的品牌是否有特殊要求?
如果一家公司根據 CCPA “出售”加州居民的 PI,則該組織必須在其網站上包含一個突出的“請勿出售我的個人信息”鏈接,該鏈接將允許個人選擇退出其個人信息的“出售”信息。 不這樣做的品牌將面臨潛在的罰款和其他懲罰。
CCPA 是否有關於收集未成年人信息的規定?
CCPA 允許成年人選擇退出數據收集,並禁止企業在選擇退出後至少 12 個月內重新請求收集其數據的許可。 但是,對於 16 歲以下的兒童,規則要嚴格得多,需要選擇加入來收集他們的個人信息。 對於 12 歲以下的兒童,未經父母同意不得收集 PI(例如,父母或其他監護人必須為孩子選擇加入)。
CCPA 是否適用於在法律通過之前收集的數據?
如果受 CCPA 約束的公司收集個人信息,則該公司必須遵守 CCPA 的要求,即使數據是在 2020 年 1 月 1 日之前收集的,以執行 CCPA。 這意味著居住在加利福尼亞州的消費者可以對其個人信息行使所有權利——例如,消費者可以要求您的品牌刪除您在五年前收集的有關他們的數據,並且根據 CCPA,您的品牌有義務這樣做。
CCPA 執法
CCPA的執行截止日期是什麼時候?
儘管 CCPA 最初於 2018 年 6 月通過,但組織被要求在 2020 年 1 月 1 日之前遵守法律。
不遵守 CCPA 的處罰是什麼?
加利福尼亞州總檢察長有權對違反 CCPA 的組織處以最高 2,500 美元的罰款; 但是,這些組織將有 30 天的時間來回應違規通知,並且如果他們在這段時間內解決問題,則不會被罰款。 需要理解的關鍵一件事——這些罰款是針對每項違規行為的,因此如果有 100 人受到違規行為的影響,那麼潛在的罰款將是 250,000 美元,而不是 2,500 美元。 此外,如果發現違規行為是故意的,每次違規的罰款總額最高可達 7,500 美元,對品牌造成重大財務影響的可能性甚至更高。
CCPA 還允許加州個人居民對他們認為違反法律的組織提出投訴,每人可能獲得高達 750 美元的賠償。
此外,CCPA 規定了私人訴訟權——這意味著如果個人認為公司未遵守 CCPA 的安全要求並且該人的 PI 存在數據洩露,則個人可以提起訴訟。 這種個人訴訟權可能導致集體訴訟,這在加利福尼亞的訴訟環境中尤其令人警醒,理論上有許多原告的律師急切地等待機會提起此類訴訟,並在訴訟中追回巨額賠償金代表大類原告。 賠償金額可能超過所遭受的實際損失,這使得這種可能性對於受 CCPA 約束的公司來說尤其可怕。 此外,目前正在審查的擬議法規正在考慮對所有違反 CCPA 的行為實施私人訴訟權,而不是僅在違反法規安全要求的情況下允許他們採取行動。
在 CCPA 合規方面,組織應該從哪裡開始?
組織應確保在其網站上以及在收集加州居民個人信息的所有點上都包含適當的披露信息。 他們應該能夠遵守所有 CCPA 要求,如果他們被視為“出售”加州居民的個人信息,他們應該在其網站上突出顯示“請勿出售我的數據”按鈕。
已經符合 GDPR 的組織正在順利實現 CCPA 合規,但兩項法律的要求並不相同,鼓勵公司尋求其值得信賴的顧問的建議,以確保他們已採取一切必要措施來確保他們在 2020 年 1 月 1 日之前符合 CCPA 的要求。
CCPA 和 GDPR
CCPA 和 GDPR 有何不同?
歐盟的通用數據保護條例 (GDPR) 於 2016 年通過,其靈感來自歐洲大部分地區的隱含信念,即那裡的個人擁有控制自己個人數據的基本權利。 另一方面,CCPA 認為加利福尼亞州在保護居民隱私和保護他們免受 PI 濫用(包括身份盜用、財務欺詐、名譽損害、騷擾等)方面落後了。 .
鑑於這些差異,雖然 GDPR 主要側重於確保每個受影響的個人對個人數據的所有權和控制權,但 CCPA 側重於針對在線公司在未經加州居民知情和同意的情況下進行涉及大量個人信息的交易的能力。 也就是說,GDPR 適用於涉及個人數據處理的所有活動,包括存儲、訪問和傳輸數據。 但是,CCPA 僅適用於出於商業目的收集、“出售”和披露個人信息。
CCPA 和 GDPR 在哪些方面相互補充?
CCPA 和 GDPR 都要求從個人那裡收集個人信息的組織披露他們將如何處理這些個人信息,並且這兩項法律都為第三方提供了許多關於他們自己的個人信息的類似權利。 此外,這兩項法律都要求個人對自己的個人信息的同意、透明度和控制權,並且兩項法律都對未能遵守其要求的行為處以罰款。
歐盟和加利福尼亞之間監管環境的差異是否會分別影響 CCPA 和 GDPR 的執行?
由於加州的訴訟環境比歐盟要好得多,並且預計加州的監管機構將從新的一年開始嚴格執行法律,我們很可能會看到更多的組織因未能遵守 CCPA 而被罰款比我們開始執行 GDPR 時所做的還要多。 鑑於此,選擇觀望而不是積極尋求遵守 CCPA 的組織可能會冒著嚴重的風險。