CCPA是《加州消费者隐私法案》(2018)的全称,该法案旨在加强美国加利福尼亚州居民的隐私权和消费者保护。
CCPA为加州居民提供了了解他们的个人数据被收集的权利,这些数据是否被出售或披露,以及被提供给谁。根据该法案,个人可以查阅企业收集的个人信息,并要求删除,还可以选择不出售个人信息。
企业被要求向消费者发出通知,解释他们的隐私做法,并且不得歧视消费者行使其在CCPA下的权利。
CCPA合规要求
为了符合CCPA, PI(个人信息)被定义为识别、涉及、描述、能够与特定消费者或家庭直接或间接合理关联或可能合理关联的信息。立法文本规定了PI的一些例子,尽管声明这些不是排他的。
示例包括典型的标识符,例如:
- 的名字
- 别名
- 邮政地址
- 唯一的个人和在线标识符
- IP地址
- 电子邮件地址
- 社保,驾照,护照号码
它们还包括生物特征信息、地理位置数据、商业信息和互联网活动。
遵守CCPA的要求包括:
- 收集到的消费者PI库存:符合CCPA规定的消费者权利涵盖广泛的个人信息,包括可能与消费者或家庭相关的信息,如IP地址和购物历史。公司需要有一个正在收集的完整的消费者数据清单。
- 执行访问和删除请求的进程:根据CCPA的要求,授予消费者访问和删除的权利。公司需要能够跨系统定位所需的PI,在45天内完成请求,并考虑任何适用的例外来满足或不满足请求。
- PI共享及销售披露:为了符合CCPA的规定,公司必须允许消费者选择不向其他公司“出售”他们的个人信息,这也包括为换取有价值的东西而转让个人信息。同一品牌下的联属公司被视为同一实体,而不同品牌下的联属公司被视为独立实体。一些附属共享可能是一种“出售”,需要适当的披露。
谁必须遵守《中华商业行为守则》?
在加州开展业务的公司必须遵守CCPA,在CCPA中,他们收集或处理与加州居民有关的PI。公司需要CCPA合规,如果他们是:
- 被认为是营利性实体
- 在加州做生意
- 收集或已收集消费者PI
- 单独或共同确定处理PI的目的
- 符合下列一项或多项标准:
- 每年有50%或更多的收入来自销售PI
- 适用于5万或更多消费者、家庭或设备的PI
- 年总收入为2500万美元或更高
未能遵守CCPA的公司会得到通知,如果在30天后仍未完成CCPA合规工作,他们将面临民事诉讼,并有可能在数据泄露的情况下,每次违规被处以最高7500美元的罚款。
如何符合CCPA?
四步流程支持CCPA合规性
1.了解消费者权益
《消费者权益法案》下的消费者权益大致可分为以下五类:
- 知情权。这项权利既包括“知道自己的哪些个人信息正在被收集”,也包括“知道自己的个人信息是否被出售或披露给谁”的权利。
- 选择退出的权利。这项权利具体指的是个人身份证明被出售,使加州人“对出售个人信息说不”。它不一定限制其他形式的个人信息处理。
- 进入的权利。这项权利允许消费者获得被收集的关于他们的“特定个人信息”,以及这些信息的来源、收集或出售这些数据的目的,以及与之共享信息的第三方。
- 删除权。这项权利允许消费者在某些条件下要求删除他们的个人信息。例如,公司仍然可以保留信息以防止欺诈或遵守其他法律义务。
- 不歧视的权利。这项权利确保加州人可以行使对自己数据的权利,而不用担心受到歧视。具体来说,这些规定保证“加州人享有平等的服务和价格的权利,即使他们行使自己的隐私权。”
2.回顾您收集的消费者信息
检查您拥有的消费者PI,以及:
- 它是如何通过不同渠道收集的?
- 储存在哪里,如何储存?提供什么类型的资讯保安?还需要进一步加强吗?
- 它是如何处理的?
- 您是否与任何其他实体共享消费者PI ?怎么做,为什么?如何使用共享的消费者信息?其他实体是否符合CCPA合规要求?
3.向消费者公开您的隐私政策
根据CCPA合规要求,您需要在收集时或之前告知您的消费者,包括“将收集的个人信息类别以及个人信息类别应使用的用途。”
这些信息应该“通过公开发布的隐私通知,特别是在消费者提出要求时”披露。它们还必须每年更新。为了符合CCPA的要求,公司网站主页上的隐私链接应该指向披露,这也应该允许消费者选择不出售他们的PI。
4.响应消费者权益要求
为了遵守CCPA,组织必须在45天内“免费”回应消费者的权利请求,除非他们能证明这些请求“明显没有根据或过度”。在某些情况下,响应时间可以延长45天或90天,具体取决于请求的复杂程度,但前提是组织必须在最初的45天期限过去之前通知消费者。
在答复要求时,各组织可以选择以书面形式或电子形式提供资料。就电子格式而言,法律规定“信息应采用便携式格式,并在技术上可行的情况下,采用易于使用的格式,使消费者能够不受阻碍地将该信息传输到另一个实体。”
要满足这些CCPA合规标准,您需要以下最小关键数据工作流:
- 接收。任何进入的新请求都必须被记录,不管它来自哪个通道。在许多情况下,法律规定组织需要提供至少两种提出请求的方法-免费电话号码和网站地址。
- 审查。消费者在CCPA下的权利不是绝对的,因此任何入站请求都需要进行审查,以确定它是否符合所有相关标准,并且可以在不影响组织的任何其他法律义务的情况下进行。
- 检索。如果入站请求获得批准,则需要检索相关信息。此外,删除信息或选择退出销售的请求将需要处理。
- 回应。一旦完成了必要的流程,包括检索、删除或围绕PI的处理/销售设置的控制,就需要向消费者发送响应。
制定可持续的CCPA合规战略
CCPA合规是一个持续的过程,当您引入新的渠道和活动时,需要您在法律有更新时快速响应。为了有效地管理法规遵循过程,您需要将数据置于CCPA法规遵循策略的中心。
实现以数据为中心的隐私策略可以帮助您在宣布越来越严格的法规时更快地做出响应。随着使用者信息范围的扩大,您需要跟踪PI的所有来源,了解如何以及为什么处理PI,了解哪些策略应用于哪些数据集,并维护粒度控制以限制特定的流程。
从更具体的角度评估这些广泛的能力,您将需要以下能力以实现可持续的CCPA合规:
- PI发现和分类:一个不可或缺的功能,可以帮助隐私保护团队确定PI在整个企业数据生态系统中的存储位置。为了遵从CCPA,您需要定期扫描数据并为其提供上下文。一旦数据被监控,您必须能够对其进行分类和系统化,并遵从性地使用它。投资自动PI发现工具可以帮助您随着CCPA的发展和新法规强调消费者权利而扩展。自动PI分类使您能够正确地标记不同PI类下的数据,确保新数据源将有效地上船。
- 业务流程管理:您有责任了解和沟通如何以及为什么使用PI。业务流程管理通过映射与PI相关的业务流程来提供数据上下文,以解释处理背后的目的。例如,记录业务流程有助于确定是否可以完整地执行删除请求,或者是否需要保留某些信息以遵守其他义务。
采用可持续的以数据为中心的方法来遵守CCPA,可确保您的组织数据隐私政策与CCPA合规要求保持一致,并且具备必要的流程。全面的数据策略将帮助您的组织快速遵守任何未来的数据隐私法规。
