信息安全之美国加州CCPA 基础知识
一、CCPA 基础知识
1. 适用公司
满足下列情况的以营利为目的公司须遵守CCPA:
- 公司收集个人信息;
- 公司或关联公司有权决定收集个人信息的目的和方法;并且
- 满足以下情况之一:
- 年收入在2500万美元以上;
- 该公司每年从5万或更多的加州居民或家庭中获取个人信息; 或者
- 公司通过出售加州居民的个人信息获得其50%以上的年收入。
2.个人信息
CCPA对个人信息的定义非常广泛,包括所有可以直接或间接联系、描述、确定、合理关联到某个个人或家庭的信息。CCPA罗列了一些项目,如真实姓名、别名、地址、IP地址、电子邮件地址、帐户名、社会安全号码、驾驶执照号码、护照号码或其他类似的标识符、商业信息、购买记录、消费记录、生物信息、网上活动记录、地理位置信息、音频、视频等等。以上这些皆属于个人信息,受到CCPA保护。但是如果信息已经去除了指认某个人或家庭的属性,或者是无法联系到个人或家庭的集群信息,那么这些信息不在CCPA定义的个人信息的范围内。
- 操作建议:公司需要注意的是CCPA定义的个人信息是指加州居民的个人信息,公司应该就加州居民的个人信息划分为不同类别,例如来自当前客户的、潜在客户的、网站使用者、软件使用者、商业伙伴等等。第二,公司可以考虑使用去除指认身份信息的个人信息和集群信息。
3.消费者
由于CCPA是加州法律,其保护的对象是本州居民,包括长期居住本州的居民和暂时逗留在外州的本州居民。需要注意的是这里的居民不仅包括美国公民,也包括长期居住在本州的外国人。只有这些居民有CCPA赋予的权利。
二、CCPA的重点是将权力回馈给消费者。为了实现这一目标,该条例保障所有加利福尼亚州居民的十项基本权利:
- 了解收集的所有个人数据的权利:
消费者可以向相关公司提出申请,要求公司向其提供公司所收集的关于自己的个人信息。公司需要在收到该申请后的45天内向申请人提交其个人信息,特殊情况可以延长至90天。信息可以以电子方式传送,但要即刻可读、无需复杂的转换。
操作建议:公司应当对所收集、保存、销售、披露的个人信息做记录并统计,以为消费者的要求做好准备。另外,公司也应当确保IT系统和部门满足合规要求,避免产生延迟或对系统造成负面影响。
- 有权拒绝出售您的信息:
消费者有权利要求公司停止售卖自己的个人信息。售卖个人信息的公司必须在网站上创建“禁止出售我的信息”的按钮,并且不可要求消费者必须申请账户才可点击此按钮。一旦消费者向公司提出该要求,之后12个月内公司不得请求该消费者允许其重新出售其个人信息。
操作建议:公司要评估该申请的数量、对经营的影响,甚至要考虑对自身经营模式是否会造成影响。第二,公司要建立规范避免在12个月内重新售卖申请人的个人信息。
- 有权在数据泄露事件中起诉公司。
- 有权删除组织收集的个人数据:
消费者可以向相关公司要求删除有关自己的个人信息。同样的,公司需要在45天内处理该申请,特殊情况可延长至90天。但是CCPA规定了一些删除信息的例外情况,比如:公司需要该信息为该消费者提供商品或服务、履行同该消费者的合同义务、监控安全事件或非法行为、进行科学研究、依照其他联邦或州法律要求、或者在公司内部合法地使用消费者个人信息等等。自然,美国宪法修正案第一条保证了CCPA不适用于非商业的出版活动。
操作建议:公司要建立申请者真实身份的核实流程,避免个人信息被偷窃、盗用。另外,公司可以对申请的处理流程化、自动化,以提高效率、降低成本。最后,公司应对照豁免列表,豁免列表的信息不需要被删除或提供。
- 在行使CCPA项下的任何权利时不受歧视的权利:
公司对行使以上权利的消费者不得歧视,不得拒绝服务该消费者、不得涨价、不可降低服务或产品质量。但是CCPA也规定如果服务和产品的质量或价格同消费者提供的个人信息有合理的联系,这种差异可以存在。另外,公司可以为消费者提供经济奖励以获得其个人信息,但不得有胁迫或无理的要求,公司也应将该奖励措施写入其隐私规范中并公开。
- 被告知将收集哪些类别的数据的权利:
公司应该向消费者提供其过去12个月收集的个人信息的类别、信息来源的类别、收集或售卖个人信息的商业目的、被卖出的个人信息的类别、购买所卖出的个人信息的公司的类别、为了商业目的而披露个人信息的对象公司的类别。该类信息应该在公司网站上作为该公司隐私规范内容之一对外公开。
操作建议:公司应该考虑其隐私规范如何将CCPA的权利限制在加州消费者以内。另外,如果公司使用第三方服务商处理个人信息,该公司与第三方服务商的合同条款中建议包括CCPA相关内容,通过明确的合同条款禁止该第三方服务商在履行合同义务以外保存、使用、披露、贩卖个人信息。通过该条款,公司可以转移CCPA的违规风险、降低为第三方违规的担责风险。当然,如果该公司明知或有理由知道第三方违反CCPA,该风险转移是无法成立的。
- 在出售属于16岁以下儿童的数据之前强制选择加入。
- 有权知道第三方的类别您的数据与共享。
- 了解来源类别的权利您的数据是从以下来源收集的。
- 了解数据收集目的的权利。
三、企业需要审查系统和流程以实现法规遵从CCPA,以下是组织开始其法规遵从CCPA需要采取的一些基本步骤:
- 为用户提供请求访问其数据的方法,并提供有关您如何使用其数据的信息。
- 更新您的隐私政策,包括您收集哪些数据、从何处收集数据、谁有权访问数据以及您计划如何使用数据的所有信息。
- 为用户提供“不出售我的信息”选项,以防止其信息被出售。
- 审查并更新您的软件、系统和流程,以满足CCPA的要求。
- 实施CCPA授权的“合理安全实践”,以防止潜在漏洞和攻击。
- 开始培训您的员工和团队了解更新的隐私计划。
CCPA与欧洲GDPR差别:
- 在主页上添加“请勿出售我的个人信息”链接
- 为用户创建一种方法来请求更改或删除他们的信息
- 在提出此类请求时识别此人的身份
- 在出售他们的信息之前征得未成年人的同意