2018年,《歐洲通用數據保護條例》(GDPR)的實施重塑了歐洲和全球範圍內企業的數據隱私格局,並使消費者數據隱私和安全成為任何關心客戶參與的人的一個重要話題。
隨著《加州消費者隱私法》(CCPA)定於2020年1月1日開始實施,GDPR引發的隱私革命對美國公司來說已經得到了報應。這項新立法是一個很大的話題,它可能會讓品牌公司感到害怕——尤其是那些還沒有開始努力合規的品牌。雖然Braze不能向我們的客戶或其他任何人提供法律建議,但我們可以向您介紹在涉及CCPA和一manbetx万博全站客户端般數據隱私時需要考慮的一些主要問題。繼續往下讀,加快速度:
最基本的
CCPA是什麼?
CCPA是加利福尼亞州消費者隱私法案的縮寫,該法案最初於2018年6月由加利福尼亞州政府通過。該法律為居住在加州的人們提供了新的隱私和消費者保護。《CCPA》將於2020年1月1日開始執行。
加州為什麼通過CCPA?
2018年,在一係列數據隱私事件之後——包括劍橋分析公司醜聞——一個名為“加州人保護消費者隱私”的倡導組織提出了一項州投票倡議,如果選民通過,將製定一項極其嚴格的新的消費者隱私法。
為了先發製人,加州立法機構引入並通過了CCPA,導致加州消費者隱私協會撤回了他們的倡議。雖然CCPA被認為是在美國消費者數據隱私權方麵開辟了新領域,但它的特點是要求沒有提議的倡議那麼嚴格.
根據CCPA,加州居民享有什麼權利?
根據CCPA,加州居民有權知道是誰在收集他們的個人信息(PI)以及這些信息被用來做什麼,他們有權訪問這些信息,有權刪除這些信息,有權選擇退出個人信息的“出售”,並且可以不受歧視地行使所有這些權利——也就是說,他們不能被剝奪那些沒有選擇退出的人所享有的利益或權利。
CCPA是否適用於加州以外的組織?
該法律適用於任何在加州營業收入在2500萬美元或以上的組織,也適用於從5萬名或以上的加州居民收集數據或至少50%的收入來自“出售”個人信息的企業。這可能包括大多數總部設在加州的公司,以及許多受眾包括加州居民的美國和國際組織。
CCPA和數據
什麼資料是受CCPA規管的?
CCPA隻涵蓋與商業目的有關的“個人信息”的收集、出售和披露。然而,由於它的通過目標是針對社交媒體公司、數據經紀人和在線行為廣告商處理的大量數據,因此它有許多嚴格的要求,使其具有深遠的影響。
在CCPA下,PI包括所有能夠識別個人的信息——姓名、地址、電子郵件、銀行賬號、出生日期、生物特征信息、指紋等——以及家庭數據、音頻、熱度和嗅覺信息。因此,CCPA下的PI定義可以說是世界上與隱私權相關的最廣泛的法律之一。
根據CCPA,品牌商須向顧客披露什麼資料?manbetx万博全站客户端
CCPA包括每年必須更新的詳細披露要求;公司必須披露他們在過去12個月裏為商業目的收集、“出售”和披露的PI,並確保加州居民在涉及個人信息時擁有披露、訪問和選擇退出的權利。組織機構也被要求解釋他們收集的PI的類別,以及收集這些信息的目的是什麼——他們必須在收集的時候這樣做,無論是網站、活動還是其他東西。
CCPA如何定義“銷售”?
CCPA對“銷售”的定義非常寬泛,涵蓋了很少有人會將其與數據銷售聯係在一起的活動。根據CCPA,出售不隻是指以金錢交換個人信息,法律還認為出售包括“租賃、發布、披露、傳播、提供、轉讓或以其他方式溝通,消費者的個人信息由企業向另一個企業或第三方以金錢或其他方式。其他有價值的考慮”。
因為法律沒有定義“其他有價值的對價”,因為“銷售”的定義包括共享數據,為了遵守法律,許多不銷售數據的品牌可能會被要求表現得好像他們在銷售數據一樣。“其他有價值的考慮”被理解為任何價值,因此,如果個人數據與第三方共享,並且這樣做對任何一方都有價值,那麼根據CCPA,這就是潛在的“出售”——這也是CCPA被認為是世界上最廣泛的隱私法之一的原因之一。
根據《防止犯罪行為防治法》,被視為“出售”個人資料的品牌是否有特別要求?
如果一家公司根據CCPA“出售”加州居民的身份證,該組織被要求在其網站上添加醒目的“不要出售我的個人信息”鏈接,允許個人選擇退出其個人信息的“出售”。未能做到這一點的品牌可能麵臨罰款和其他懲罰。
CCPA是否有收集未成年人信息的規定?
CCPA允許成年人選擇退出數據收集,並禁止企業在選擇退出後的至少12個月內重新請求允許收集他們的數據。然而,對於16歲以下的兒童,規則要嚴格得多,並要求他們選擇是否收集個人信息。對於12歲以下的兒童,未經父母同意,不得收集PI(例如,必須由父母或其他監護人為兒童選擇)。
CCPA是否適用於法律通過前收集的數據?
如果受CCPA約束的公司收集個人信息,那麼該公司必須遵守CCPA的要求,即使數據是在2020年1月1日執行CCPA的日期之前收集的。這意味著居住在加州的消費者可以行使他們關於個人信息的所有權利——例如,消費者可以要求你的品牌刪除你五年前收集的關於他們的數據,根據CCPA,你的品牌有義務這麼做。
CCPA執法
CCPA的執行期限是什麼時候?
盡管CCPA最初是在2018年6月通過的,但直到2020年1月1日,機構才被要求遵守法律。
不遵守《防止舞弊行為守則》的處罰是什麼?
加州司法部長有權對組織處以最高2500美元的罰款違反CCPA的;然而,這些組織將有30天的時間來回應不合規通知,如果他們在這段時間內解決了問題,就不會被罰款。需要了解的一個關鍵問題是,這些罰款是針對每個違規行為的,因此,如果有100人受到違規行為的影響,那麼潛在的罰款將是25萬美元,而不是2500美元。此外,如果發現違規行為是故意的,那麼每次違規行為的罰款總額可達7500美元,這將給品牌帶來更大的潛在財務影響。
CCPA還允許加州居民個人對他們認為違反法律的組織提出投訴,每個人可能獲得高達750美元的賠償。
此外,在CCPA下還有私人訴訟權,這意味著如果個人認為某公司沒有遵守CCPA的安全要求,並且該個人的個人賬戶發生了數據泄露,個人可以提起訴訟。這種個人訴訟權利可能導致集體訴訟,這在加州的訴訟環境中是一種特別發人深省的可能性。理論上,加州有大量原告律師熱切地等待著提出這類訴訟的機會,並代表大量原告獲得巨額賠償。賠償金額可能超過實際遭受的損害,這使得受CCPA約束的公司特別害怕這種可能性。此外,目前正在審查的擬議條例正在考慮對所有違反《CCPA》的行為實施私人訴訟權,而不是隻允許違反《CCPA》安全要求的行為。
當涉及到CCPA合規時,組織應該從哪裏開始?
各組織應確保在其網站上以及在收集加州居民個人信息的所有點上進行適當的披露。他們應該能夠遵守CCPA的所有要求,如果他們被認為是在“出售”CA居民的個人信息,他們應該在他們的網站上顯眼地添加一個“不出售我的數據”按鈕。
已經符合GDPR的組織正在朝著符合CCPA的方向前進,但這兩個法律的要求並不相同,鼓勵企業尋求他們信任的顧問的建議,以確保他們已經做了所有必要的事情,以確保他們在2020年1月1日之前符合CCPA的要求。
CCPA和GDPR
CCPA和GDPR有何不同?
歐盟的一般資料保障規例(GDPR)於2016年通過,其靈感來自歐洲許多國家的一種隱含信念,即那裏的個人擁有控製自己個人數據的基本權利。另一方麵,CCPA遵循的信念是,加利福尼亞州在保護居民隱私和保護他們免受PI濫用(包括身份盜竊、財務欺詐、聲譽損害、騷擾等)方麵落後了。
鑒於這些差異,GDPR主要側重於確保每個受影響的個人對個人數據的所有權和控製權,而CCPA則側重於針對在線公司在加州居民不知情和不同意的情況下進行涉及大量個人信息的交易的能力。也就是說,GDPR適用於所有涉及個人數據處理的活動,包括存儲、訪問和傳輸數據。然而,CCPA隻適用於為商業目的收集、“出售”和披露個人信息。
CCPA和GDPR在哪些方麵相互補充?
CCPA和GDPR都要求從個人收集個人信息的組織披露他們將如何處理這些個人信息,兩項法律都為第三方提供了一些類似的關於其個人信息的權利。此外,這兩項法律都要求個人同意、透明度和對自己個人信息的控製,並且都對不遵守這些要求的人處以罰款。
歐盟和加州之間監管環境的差異是否會分別影響CCPA和GDPR的執行?
因為加州是一個比歐盟更愛訴訟的環境,而且預計加州的監管機構將尋求從新年開始嚴格執行該法律,我們很可能會看到比GDPR執行開始時更多的組織因未能遵守CCPA而被罰款。有鑒於此,選擇觀望而不是積極追求符合CCPA的組織可能會承擔嚴重的風險。