过去十年来,网络威胁已然成为企业和消费者最担忧的风险之一。有数据表明,92% 的美国人在使用互联网时,最担心的是其个人隐私问题。为此,加州于 2018 年 6 月 28 日通过了《加州消费者隐私法案》(CCPA),赋予消费者对个人数据更大的掌控权。
该法案于 2020 年 1 月 1 日正式颁布,执行机构是加州司法部长办公室。凡收集加州居民个人数据的企业一律要遵守该法案规定。
在本文,我们总结了 CCPA 中与企业有关的注意事项,以及该法案会给企业带来哪些影响。
《加州消费者隐私法案》(CCPA) 赋予加州居民对个人数据知情权、删除权以及拒绝权。具体而言就是,居民有权了解哪些个人信息会被收集,有权要求相关企业删除个人信息,有权拒绝企业出售个人数据。
该法案适用于符合以下一项或多项条件的营利性企业:
该法案对企业提出了以下四项主要规定:
此外,企业必须在其主页上清晰醒目的显示“勿出售我的个人信息”链接,以引导消费者前往退出页面。
相比 GDPR,《加州消费者隐私法案》对敏感数据的定义范围更广。GDPR 侧重于保护具体数据,而《加州消费者隐私法案》更关注敏感信息的构成。
例如,嗅觉数据、网站浏览历史记录、用户活动记录等都涵盖在内。AB 375 条指出,“个人信息”指的是:
加州司法部长办公室负责对不合规企业进行惩处。对于普通民事违规行为,企业面临每起违规 2,500 美元罚款;对于故意违规,企业面临每起违规最高 7500 美元的罚款。
CCPA 还规定,由于企业没有采取合理的安全措施,导致消费者个人信息泄露,消费者有权以个人名义提起诉讼。在这种情况下,消费者可以就每起违规获得最高 750 美元的赔偿或实际损失的等额赔偿,以较高者为准。
“第三方”指的是不受 CCPA 约束的个人或实体,包括被豁免的企业和任何代表企业处理个人信息的服务提供商。
第三方也可能包括数据经纪商,即购买和出售个人信息的公司。数据经纪商在 2023 年以前可不受 CCPA 的约束。
最显著的豁免情况是,如果企业受其他隐私法管辖(如《格雷姆-里奇-比利雷法案》(GLBA),或《健康保险携带和责任法案》(HIPAA)),则可以不受 CCPA 的管辖。
其他 CCPA 豁免包括:
CCPA 还豁免了年收入低于 2500 万美元的企业、不出售个人信息的企业以及只收集少量个人信息的企业。
虽然 CCPA 为遵纪守法的企业提供了一些回旋的余地,但务必要注意,这个法案适用于所有收集加州居民个人信息的企业。
人们常常把 CCPA 称为加州的 GDPR,其实并不尽然。《通用数据保护条例》(GDPR) 除了保护欧盟居民的数据隐私权外,与 CCPA 还是存在许多不同之处。
首先,CCPA 只适用于个人信息,而 GDPR 适用于任何数据,包括个人数据和非个人数据。
其次,它们都赋予消费者知情权(有权了解收集了哪些个人信息)、删除权(有权要求删除个人信息)以及退出权(有权选择不出售自己的个人信息)。GDPR 在此基础上,还规定消费者有权访问自己的个人数据、有权更改决定(加入/退出权)以及有权在可移动介质上接收自己的数据副本。
第三,CCPA 仅适用于收集或出售加州居民个人数据的企业。GDPR 则适用于任何处理或打算处理欧盟公民数据的企业,无论该企业的营业地点位于何处。
第四,CCPA 适用于年收入达到 2500 万美元的企业。GDPR 则适用于任何处理或打算处理欧盟公民数据的企业,无论该企业的规模如何。
监管机构将通知违规企业在 30 天内进行整改。如果在该时间段内仍不能合规,公司将面临每条记录高达 7500 美元的惩罚。
虽然 7500 美元对于大企业来说不值一提,但这并不是最终罚款金额。这个数字要乘以每起泄露事件中受影响的记录条数,最终金额可能呈指数级增长。
如果企业因违反 CCPA,使消费者未加密或未编辑的个人信息遭到非法访问、泄露、盗窃或披露,消费者有权以个人名义向企业提起诉讼。
这意味着,个人消费者可以起诉企业并索要赔偿,这可能是一笔不菲的支出。此外,司法部长也有权对企业的违规行为提起民事诉讼。
因此,违反 CCPA 规定的企业不仅会面临经济赔偿,还可能有声誉风险。另外,消费者对个人数据隐私保护的意识越来越强,很大程度上会对侵犯他们权利的公司提起诉讼。
加州隐私法还规定,企业应在网站底部用醒目的方式显示退出数据共享的选项,便于消费者自行选择其个人数据的处理方式。否则,企业将会面临每名消费者 100 美元的罚款。这也是消费者向企业提起诉讼的另一种可能原因。
除了处罚和诉讼,您还会面临因违规而导致的其他相关损失。例如,企业需通知消费者信息泄露,并为他们提供信用监控服务,还要进行善后工作以维护公共形象。
所有这些成本叠加起来,再次证明了企业遵守 CCPA 规定的重要性。认识法律并采取措施遵守法律,有利于企业远离代价高昂的经济处罚和声誉损失。
兹事体大,企业必须了解 CCPA 并采取必要措施以确保合规。
遵守 CCPA 并非易事,但企业只需采取一定措施就能确保自身不会违反法律规定。
第一步是确定您的企业是否在 CCPA 管辖范围内。它适用于在加州营业且满足如下一项或多项条件的营利性企业:
如果 CCPA 适用于您的企业,那么您就要采取措施确保合规。
下一步是识别您所收集和存储的个人信息。CCPA 对个人信息的定义是:能够识别、描述、关联到特定消费者或住户,直接或间接与特定消费者或住户联系起来或合理联系起来的信息。
这些信息包括姓名、地址、电子邮件地址、电话号码、身份证号码、驾照编号等等。一旦确定了您所收集和存储的数据属于个人信息,就要采取措施保护这类信息。
CCPA 要求企业采取合理的安全措施,保护消费者个人信息免于遭到未经授权的访问、损坏、使用、篡改或披露。这包括加密个人信息,确保仅授权的员工可以访问此类信息。
您还必须对企业的隐私保护措施和信息安全框架进行审计,确保其遵守 CCPA 规定。例如,企业是否制定了数据保护政策,是否了解个人信息的收集和使用方式,消费者是否可以依法行使自己的权利。
CCPA 赋予消费者知情权(有权了解收集了哪些个人信息,以及信息的使用方式)、删除权(有权要求删除个人信息)以及退出权(有权选择不共享个人信息)。
您必须确保企业有相应的政策和流程来配合消费者行使这些权利。
CCPA 的合规需要团队上下齐心协力。从 IT 部门到营销部门,企业所有团队和部门务必全员参与到 CCPA 合规流程中来。
每个团队都有各自相关的 CCPA 职责。例如,营销团队应确保以符合 CCPA 的方式收集或使用个人信息。IT 团队应确保个人信息得到妥善保护。
您应制定 CCPA 合规方案,让所有团队和部门都有规章可循。这个方案应包含合规的全部措施,明确 CCPA 合规负责人,以及监督合规的落实等方面。
务必注意 CCPA 是动态法案,一直在不断完善更新,新条款可能会随时补充进来。因此,请定期审查您的 CCPA 合规方案,确保及时涵盖新条款的要求。
在 CCPA 合规的准备阶段,可能企业各环节的工作都会有不同程度的中断。为顺利推进 CCPA 合规工作,企业有必要成立专门的工作组。
该工作组负责制定和实施 CCPA 合规方案,向员工宣传 CCPA 的相关知识,确保所有员工了解自己在该法案下的义务。
制定了 CCPA 合规方案后,您必须有配套的 CCPA 合规政策和流程,这些政策和流程的目的也是帮助企业遵守该法案。
在 CCPA 合规政策和流程中应包含数据保留政策、退出数据共享的流程,以及员工培训计划。
CCPA 法案适用于加州居民。但是,如果您也向其他州的客户提供服务或打算提供服务,制定单独的安全框架显然行不通。因此,您应视每位客户为加州居民,确保所有客户的数据均符合 CCPA 要求。
这需要您妥善保护所有个人信息,仅有授权的员工可以访问这些信息。您还应确保,无论消费者居住在何处,均可以行使 CCPA 下的权利。
这样,您的就不必为了其他州而调整已实施的安全框架。
CCPA 合规是一项长期工作,要融入到企业文化中。企业应定期审查并按需更新 CCPA 合规方案。
将 CCPA 合规的相关要求纳入员工入职培训中,可有助于新员工了解该法案,清楚知道自己应承担的义务。
将 CCPA 合规要求提升到企业文化的高度,会使其得到全体员工的重视,确保员工清晰了解自己的法定义务。
与所有其他活动一样,员工是企业实现 CCPA 合规的中坚力量。企业应采取有效措施,确保所有员工了解 CCPA 的规定以及知晓如何在工作践行这些规定。
企业可以面向所有员工定期开展 CCPA 培训。培训的宗旨是帮助员工了解 CCPA 规定以及它们对员工日常工作的影响。
定期开展员工培训,有助于员工及时掌握 CCPA 的最新规定,了解自己在该法案下的义务。
最后,您还要监督 CCPA 的合规落实情况。这包括定期审计数据隐私保护措施和信息安全框架,确保消费者可以行使其在 CCPA 下的权利,并密切关注该法案的一切变更。
监督 CCPA 合规,有助于企业始终遵守该法案的规定。
2020 年 11 月,加州居民投票通过了第 24 号提案,该提案被称为《加州隐私权法案》(CPRA)。CPRA 从多个方面对 CCPA 进行了修正,并将于 2023 年 1 月生效。
其中,最显著的一个变化是设立新的执法机构 - 加州隐私保护机构 (CPPA)。CPPA 有权受理并调查投诉案件,开具罚款单并制定法规条例。
另一个重大修正是,扩大了 CCPA 的个人诉讼覆盖范围。CCPA 规定,只有因企业违规而导致未加密或未编辑的个人信息遭到非法访问、泄露、盗窃或披露的消费者才能以个人名义提起诉讼。
CPRA 将个人诉讼范围扩大到包括任何违反 CCPA 的行为,无论是否有实质性的损害风险。此举意味着,将有更多消费者对违反 CCPA 规定的企业提起诉讼,企业将面临更大的潜在损失。
最后,CPRA 进一步强化了 CCPA 的退出要求。CCPA 规定企业必须在主页上放置“勿出售我的个人信息”链接。
CPRA 更进一步,要求企业在其隐私政策中明确表示自己是否出售消费者的个人信息,以及出售何种类型的个人信息。如果企业出售个人信息,则还必须在每个收集个人信息的页面上提供退出收集的按钮。
CPRA 还规定消费者有权拒绝企业出售其敏感的个人信息,如种族、民族、宗教和性取向。
数据隐私安全问题日益严峻,可以预见,未来将诞生更多有关数据隐私权的法律法规,现有的法规也会不断更新。因此,您应提高警惕,在处理消费者数据时要慎之又慎。
数据的合规和治理可能让人望而生畏,尤其在新法规不断出台,现有法规频繁更新的局面下更是如此。您不仅要具备数据归档能力,还要能够快速查找相关信息。在这方面,Veritas 可助您一臂之力。
借助 Veritas 数字合规产品组合,您可以提高整个企业环境的可见度,掌控数据,保证合规。这些 Veritas 产品支持您捕获、归档和查找 120 多个内容源中的数据,帮助您优化数据合规,堵住数据管理过程中出现的任何漏洞。
《加州消费者隐私法案》是一部突破性的基础法,赋予消费者在更大程度上掌控个人信息的权利。CCPA 要求企业采取措施保护个人信息,支持消费者行使法案下的权利,包括拒绝企业出售个人信息的权利。
现在,随着 CPRA 正式实施的日期临近,您还要为遵守新法规做好准备。CPRA 从多个方面对 CCPA 进行了修正,并将于 2023 年 1 月生效。
立即联系我们,了解我们可为您的企业合规提供哪些帮助。
Veritas 客户包括 95% 的财富 100 强企业,而且 NetBackup™ 是企业保护海量数据的首要选择。
了解 Veritas 如何通过企业数据保护服务跨虚拟、物理、云和传统工作负载全面保护数据。