与销售人员联系

信息中心

什么是 CPRA，它对您的企业意味着什么？

作为企业领导者，您的工作重心是满足客户需求，维系客户忠诚度。一直以来，我们的做法就是交付经济实惠又无可挑剔的产品。

但是，随着时代进步，客户的要求越来越高，唯有更完美的服务才能吸引更多客户。例如，您的品牌不仅要体现市场价值，而且购买体验也应无缝流畅且令人向往。最近连续爆出的网络安全和数据泄露问题，让客户心生恐惧，他们特别希望自己的数据能得到妥善保护。

PEW 研究报告指出，美国民众普遍对企业使用其个人数据的情况表示担忧，79% 的人明确表示非常担心个人数据的安全问题。因此，很多客户只愿意与大品牌分享他们的数据。

为保护居民隐私，加州对数据隐私监管采取了激进而严厉的措施。最有代表性的措施莫过于 2018 年通过并于 2020 年 1 月生效的《加州消费者隐私法案》(CCPA)。

但在未来，以加州居民为目标受众的企业还要遵守更严苛的条例，即 2020 年通过的《加州隐私权法案》(CPRA) ，该新法案在 CCPA 基础上进行了拓展。

考虑到 CPRA 的影响范围和潜在违规后果，企业务必要提前进行了解并做好相应准备。在本文中，您将了解到 CPRA 的相关规定。

CCPA 回顾

在探讨 CPRA 将给企业带来何种影响之前，我们先要了解一下当前加州隐私法案的内涵。由于 CPRA 是在 CCPA 基础之上构建的，因此我们先来研究一下后者。

首先，CCPA 的诞生源于多次大规模数据泄露后公众的强烈抗议。它的实施增强了加州居民对个人信息的掌控力度：

赋予他们知情权，了解公司所收集的个人信息
允许他们请求删除个人数据
企业在出售个人数据前需明确征得数据主体的同意
禁止歧视行使这些权利的个人

此法律适用于任何在加州开展业务的营利性企业，无论他们在该地是否设有实体。若企业违规，每起违规可能被处以高达 7500 美元的罚款。

何为 CPRA？

CPRA 是加州选民在 2020 年通过的 CCPA 法案的扩展。该法案于 2023 年 1 月生效，赋予加州居民对个人数据更高的控制力度。

CPRA 构建在 CCPA 现有条款基础之上。但它也包括了进一步保护消费者隐私的新条款。例如，CPRA 规定：

消费者有权选择不出售其个人数据
企业使用个人敏感信息需遵循更加严格的限制
创建一个新的州级机构，即加州隐私保护局 (CPPA)，作为这些条例的执法机构

此外，CPRA 还扩大了个人信息的定义，将 IP 地址、生物识别数据和地理位置等归纳在个人信息范畴。

CPRA 会取代 CCPA 吗？

不，CPRA 并不取代 CCPA。相反，它建立在现有法规基础之上，为保护消费者隐私提供了更强大的框架。遵守 CCPA 的合规企业也需要在 2023 年 CPRA 生效时遵守该新法案。

CPRA 的意义和影响

大致了解 CPRA 的基本知识后，让我们深入探讨该法案背后的意义。

如上所述，CPRA 构建在 CCPA 的现有条例基础之上，但它也包括保护消费者隐私的新条款。

1. 适用条件

CPRA 适用于任何在加州开展业务并收集加州居民个人信息的营利性企业，无论他们在该地是否设有实体。

因此，CPRA 辐射的企业范围较 CCPA 要小，不过符合条件的企业要付出更多努力才能实现合规。

该法案生效后：

设备将不再包含在监管范围内
受保护的人口或家庭数量将增加到 100,000

2. 敏感的个人信息

CPRA 带来的另一个主要变化是扩大了对个人敏感信息的定义。按照 CPRA 的规定，个人敏感信息包括：

地理定位数据
生物识别数据
种族
民族
政治观点
宗教
健康数据
性取向

与 CCPA 相比，这个范围得到极大扩展，后者仅包括身份证号和驾照号码。

扩大个人敏感信息的定义意味着，企业必须格外小心，务必全面保护个人数据。在收集、使用或共享信息之前，企业要明确征得消费者的同意。

1. 消费者权利

除了更广泛的敏感信息定义，CPRA 还扩展了消费者权利。CPRA 将赋予加州居民如下权利：

知情权：了解企业所收集的关于个人的信息
删除权：可请求删除个人数据
退出权：可选择不出售个人数据
平等服务权：无论是否行使上述权利，消费者均有权享有平等的服务

这些与 CCPA 规定的权利类似。但是 CPRA 更进一步，还赋予消费者决定如何使用个人数据的权利。

例如，CPRA 规定，如果消费者选择不出售个人数据，企业必须立即停止出售行为。因此，与 CCPA 不同，您并不是通知客户您将如何使用他们的数据，而是您在使用客户数据前要先征得他们的同意。

2. 显示链接

根据加州现行的隐私法，公司必须在主页上包含“请勿出售我的个人信息”链接。它应跳转到一个专门页面，消费者可以在其中行使退出权。

依据 CPRA，您还要添加第二个链接“限制使用我的个人敏感信息”。它应链接到一个专门页面，消费者可以在其中指示企业如何使用他们的个人信息。此外，只要客户的意图清晰，您就应允许他们以其他方式行使该权利。

3. 执法机构

CPRA 将创建一个新的州级机构，即加州隐私保护局 (CPPA)，作为这些条例的执法机构。CPPA 有权对每起违规行为处以最高 75000 美元的罚款。它还可以对违法企业提起民事诉讼。

相比 CCPA 的执法机构（加州司法部长办公室），这迈出了重要一步。因为，与州司法部长办公室相比，加州隐私保护局 (CPPA) 拥有更多资源，能更有效地处理执法过程中的问题。

4. 消费者权利

CCPA 允许消费者选择不出售个人数据。CPRA 更进一步，赋予个人选择不向第三方披露或共享其信息的权利，无论是否涉及付款。

5. 自动化决策

在大数据时代，数据分析是企业的宝贵资产。它可以帮助企业精准投放广告、定制个性化内容并改善客户体验。

不过，CPRA 对自动化决策施加了部分限制。企业仍可以进行自动化决策，但要先明确征得消费者的同意。企业还要通俗易懂地向消费者解释此决策流程的工作方式。

6. 数据更正

CPRA 规定消费者有权要求公司更正关于他们的任何不准确或不完整的数据。这与 CCPA 形成鲜明对比，后者仅允许消费者请求删除数据。

现在，如果消费者认为有关他们的信息是错误的，就可以联系企业进行更正。如果您不执行这些要求，消费者可以向 CPPA 投诉。

7. 数据保留

CCPA 规定，企业必须详细说明他们所收集的数据、数据的使用方式以及是否与其他方共享数据。除此之外，对于每类数据，企业还必须告知数据主体其数据的保留期限或解释确定该期限的方法。

此外，CPRA 将对企业保留消费者数据的期限施加部分限制。企业保留消费者数据的期限不得过长，具体视数据的用途而定。

这是有别于 CCPA 的主要变更之一，CCPA 允许企业保留数据最高长达 7 年。CPRA 将强制公司重新评估数据保留操作，确保数据保留期限不得过长。

CPRA 的其他主要变更

除了关键的变更点外，CPRA 还做出了其他一些更改，包括：

如果企业知道数据主体未满 16 岁，则违规行为的最高处罚将增加三倍。如果企业故意违规，可能被处以 7500 美元的罚款，非蓄意违规只处以 2500 美元的罚款。
公对公数据和人力资源数据的临时豁免权现延长至 2023 年 1 月 1 日。
CCPA 指出，个人可以对其任何未加密个人信息的数据泄露事件提起民事诉讼。CPRA 将此范围扩展到由于黑客访问多种个人信息，入侵个人帐户，而造成的信息泄露行为。这类信息包括密码、用户名和安全访问问题提示等。

CPRA 与 GDPR 的比较

CPRA 被称为“加州的 GDPR”。两个法案虽有相似之处，但也存在关键区别。

首先，CPRA 的范围要比 GDPR 窄得多。它仅适用于在加州开展业务或处理加州居民数据的企业。而 GDPR 则适用于处理欧盟居民数据的任何企业，无论该企业的营业地点位于何处。

其次，CPRA 赋予消费者的权利比 GDPR 要多。例如，CPRA 赋予消费者选择不向第三方披露或分享其信息的权利，无论是否涉及付款。GDPR 仅允许消费者有权选择是否将个人数据用于营销目的。

最后，CPRA 在执法方面要宽松得多。违反 CPRA 的最高罚款金额为 75000 美元，违反 GDPR 的最高罚款为 2000 万欧元（约合 2400 万美元）。

CPRA 对企业意味着什么

CPRA 是美国最全面的隐私法案，其他州可能会效仿加州的做法，出台类似的法律。这意味着实现 CPRA 合规不仅是上策，也是企业保持领先地位的必经之路。

如果您的企业收集加州居民的个人信息，则必须立即为 CPRA 合规做好准备。这样，当该法案在 2023 年生效时，您就能轻松遵守规定。

实现 CPRA 合规

如果您的企业目前已遵守了 CCPA 的条例规定，那么在 CPRA 合规之旅上您已经走完了大半的路程，但还要注意以下关键措施的执行情况。

1. 开展差距评估

在实现 CPRA 合规之前，您先要确定自己的差距和短板在哪里。开展差距评估可帮您确定哪些方面的隐私保护尚未达到 CPRA 标准。

2. 更新隐私政策

一旦您知道差距在哪儿，就可以更新隐私政策。请确保您的政策清晰明了，涵盖所有基本面，其中要包括对所收集的个人数据、收集的理由、使用方式以及保留期限的明确描述。

3. 实施新的数据处理流程

更新隐私政策后，相应地也要实施新的数据处理流程。如果 CPRA 要求您更改收集或处理数据的方式，请确保这些更改反映到您的系统和流程中。

4. 员工培训

员工是实现 CPRA 合规的直接执行人。因此，他们必须了解最新的条例规定和公司的隐私保护操作。要确保他们知晓保护个人数据的注意事项以及 CPRA 的退出条款。

5. 限定和评估个人敏感信息的所有用途

CPRA 对个人敏感信息的定义要比 CCPA 更广泛，个人信息中将包括种族、民族、性取向和健康状况等信息。您不仅要明确这类信息的收集和使用方式，还要确定信息的使用目的（用途）是否符合 CPRA 规定。

6. 创建数据地图

数据地图帮助您跟踪所收集的全部个人数据、数据的来源以及去向。这是评估 CPRA 合规性的重要工具，您一眼即可了解自己是否满足 CPRA 的要求。

7. 征求客户同意以及向客户披露信息

CPRA 规定企业在收集个人数据前必须向客户披露一些信息，这包括公司的联系方式以及 CPRA 赋予客户的权利的说明。

您还必须在收集个人敏感信息前明确征得客户的同意。比如，必须向客户提供其个人信息使用情况的链接，以及用于选择退出的链接。

8. 更新客户和供应商合同

如果您向第三方共享个人数据，您和第三方必须签订有关遵守 CPRA 的合同，并规定第三方只能将数据用于合同中指定的用途，还要按照 CPRA 的要求有效保护数据。

9. 使用标签管理软件开展隐私风险分析

鉴于不合规造成的后果甚为严重，企业务必要定期进行有关数据隐私的风险分析。为此，最好的办法就是使用标签管理软件。该软件可帮您识别和评估风险，以便采取措施缓解风险。

此外，标签管理软件还有助您管理客户的知情同意情况、跟踪客户的选择退出情况并生成报告。这些是实现 CPRA 合规不可缺少的功能。

10. 避开执法和诉讼陷阱

在 CPRA 的执法和诉讼方面，企业要学会辨别若干潜在的陷阱。为避免落入陷阱，企业必须熟悉法律，了解自身的权利和义务。

因此，您需要熟谙：

因违反 CPRA 而可能招致的处罚类型
CPRA 诉讼中可能裁定的损害赔偿的类型
CPRA 中个人诉讼的运行方式
CPRA 索赔中有关时效的规定

11. 数据量最小化

数据量最小化指的是仅收集和保留特定用途所需的数据。这是确保 CPRA 合规的有效战略，因为它降低了数据泄露及未经授权使用个人数据的风险。

12. 主动式安全保护

每个企业都应把安全性放在首位，在处理个人数据时尤其如此。CPRA 要求企业采取合理的安全措施，避免个人信息遭到未经授权的访问、损坏或使用。

您可以采取如下措施来提高安全性，如：

实施强大的访问控制措施
加密存储中和传输中的个人数据
开展定期安全审计
及时更新软件

实现 CPRA 合规的企业有哪些优势

CPRA 合规看似工作量大，但也为企业带来了物有所值的回报。对于实现 CPRA 合规的企业来说，可获得如下优势：

提高消费者信任度：消费者越来越重视自己的隐私安全，所以更倾向于与尊重其权利的公司打交道。实现 CPRA 合规可向消费者证明您致力于保护他们的个人数据。
提高数据安全性：CPRA 合规有助于您识别和缓解风险，避免个人数据遭到泄露和未经授权的使用。
更高的效率：CPRA 合规之路不一定很复杂或耗时。您可以使用标签管理软件自动执行 CPRA 合规相关的诸多任务。
避免违规罚款：CPRA 对违规公司处以重罚。针对每起违规事件，企业可能要赔偿每位消费者 2,500 美元到 7,500 美元不等。CPRA 合规将帮助您避免这些昂贵的罚款。
诉讼保护：CPRA 规定，因企业违规而受到伤害的消费者有权提起个人诉讼。如果您因违反 CPRA 而被起诉，合规证明可为您进行免责辩护。
优化业务运营：要实现 CPRA 合规，您必须重新评估数据收集和存储流程。因此，您可能会找到更高效、更有效的业务经营之道。

Veritas 能为您提供哪些帮助？

随着 CPRA 生效日期临近，增强数据合规性、优化治理策略与流程变得至关重要。请注意，在此期间其他数据隐私规定也可能会相继出台。因此，您不仅要遵守 CPRA，更重要的是确保采取最佳的数据处理措施。

鉴于此，企业务必要部署数据归档功能，以便合理保留信息，还可加快信息的检索速度。这正是 Veritas 数字合规产品组合等解决方案大展身手的舞台。

数据归档有助您索引、搜索和审计数据，同时确保了信息的安全性和机密性。

该产品组合还包括 Data Insight，它利用机器学习技术识别整个企业网络中的敏感数据，允许您跟踪数据的使用方式、共享方式以及访问方式，帮助您采取有效措施缓解风险，提高合规能力。

总结

CPRA 是一部有多项条例规定的综合性法规。其他州可能会效仿加州，出台类似的法律。这意味着实现 CPRA 合规不仅是上策，也是企业保持领先地位的必经之路。