什么是《加州消费者隐私法案》(CCPA)?

 
CCPA被认为是美国历史上最先进，最严格的数据保护法律之一，反映了《通用数据保护条例》(GDPR)为欧盟居民提供的许多保护措施。从本质上讲，它旨在改善数据主体​​对数据的控制程度，并迫使公司在处理数据方面更加透明。
该法案还对发现不合规或已成为数据泄露受害者的公司施加了更严厉的制裁，根据受到影响的用户数量确定罚款。
CCPA法案已于2018年6月28日获得通过并签署成为法律，此后收到了许多修订。截至2019年9月13日，该法案现在已经超出任何终止其制定机会的期限，因此，将要求企业在2020年1月之前改变其处理用户数据的方式。
为什么起草了《加利福尼亚消费者隐私法》?
数据保护权的改善已成为世界上许多政府，数字权利团体和公民的问题，过去十年来已在寻找有效的数据保护与精心制定的规则之间取得平衡的工作，以允许公司仍然使用该数据用于商业收益。
但是，近来这个问题被放大了，这在很大程度上要归功于发现了一些历史上最严重的数据泄露和数据滥用现象。在过去六年中，数十亿客户受到了Yahoo，Equifax，First American Bank和Marriott International的黑客攻击。 Cambridge Analytica丑闻还强调了对用户数据的空前程度，Facebook的做法允许未经许可就将数百万用户的帐户数据不当分享给第三方公司。
鉴于美国目前尚无主要的联邦数据保护制度，因此各州应制定自己的法律，以保护公民免受最严重的滥用行为之害。
对于加利福尼亚来说，这种紧迫性导致了更为严厉的加利福尼亚消费者个人信息披露和销售计划，该倡议最初是由倡导组织提出的，目的是改善该州的数据权利，提议完全禁止某些公司共享或出售个人数据。 。但是，经过讨论，各小组同意通过撤回该法案以做出更宽容但更切实可行的CCPA的方式达成折衷方案。
CCPA负责谁?
CCPA为所有加利福尼亚州的消费者(定义为加利福尼亚州的永久居民)赋予了新的数据权利。
具体来说，消费者有权准确地知道公司正在收集关于他们的哪些个人数据，以及该数据随后是在第三方上出售还是透露给第三方。消费者也有权选择不出售其数据，访问公司持有的数据，并要求删除这些数据。
反过来，收集这些数据的公司在法律上必须促进这些新数据权利，并禁止歧视选择行使这些数据的消费者。
消费者每年最多可以接受两个数据访问请求，尽管这仅限于前12个月的数据收集和处理。但是，对数据删除请求或“不出售”请求没有任何限制。
CCPA适用于任何收集加利福尼亚永久居民的个人数据并在加利福尼亚开展业务的商业实体，包括非营利组织和慈善机构。该企业还必须具有以下任一条件：
年总收入为2500万美元或更高;
涉及50,000或更多消费者，家庭或设备的信息的处理活动
一半以上的收入来自销售个人信息
CCPA如何定义个人数据?
根据CCPA，个人信息具有相当宽泛的定义，并且可以包括与“个人和商业的特征和行为，以及从该信息得出的推论”有关的任何内容。
这意味着任何可能识别，关联或描述个人的数据将被视为个人信息。名称，用户的别名，地址，电子邮件地址，唯一的在线标识符，IP地址，帐户名称，社会安全号码，护照号码和驾驶执照均属于此定义。
法规中列出了一些特定类别，包括生物特征识别，位置，财务和家庭购买数据。
一个人的签名，其身体特征的描述，教育背景，工作经历也是与消费者有关的数据示例，因此受到限制。
请务必注意，CCPA并未针对收集，处理，保留或销售匿名或已被取消识别的消费者数据制定法律。但是，企业必须能够证明数据确实是匿名的。
CCPA对企业有何要求?
该法案引入了许多要求，这些要求迫使企业提高其数据处理活动的透明度。
数据权利的路标
这些要求中最主要的是在公司网站上发布明确的隐私权政策，表明他们收集了个人数据，因此属于CCPA的审查。
企业还必须为希望退出将其数据出售给第三方的任何消费者在其网站上提供“请勿出售我的个人信息”链接。还应该有清晰的路标，提醒用户其数据权利，以及使消费者轻松免费直接与公司联系以行使其数据权利的方式。
对于任何特定的消费者要求，企业都必须提供有关如何处理其数据，处理目的，所涉及数据的类别以及处理活动的预期长度的详细信息。如果企业希望获取更多的个人信息或将现有信息用于其他目的，则还必须提供进一步的通知。
允许第三方转售从另一家公司获得的任何个人信息，但是，第三方必须向消费者明确告知这是他们的意图，并在销售发生之前为这些消费者提供选择退出的机会。
CCPA还禁止未经同意出售与16岁以下儿童或消费者有关的个人信息。如果孩子的年龄在13至16岁之间，则可以直接提供该同意书。对于13岁以下的孩子，必须获得父母的同意。
数据请求的执行
为了促进公民的权利，包括访问和删除，企业必须具有可靠的数据处理流程。这不仅是因为需要在公司和消费者之间进行平稳的数据传输，而且还因为与此数据检索相关的任何额外费用都不能传递给消费者，而必须由公司承担。
要求企业在执行数据权利时遵守消费者的要求，包括提供对数据以及与该数据相关联的任何其他信息的访问，例如与共享数据的第三方有关的信息。
此信息必须以免费格式提供(除非请求过多)，可以由消费者访问，并且可以无阻碍地共享给其他实体。还要求企业在消费者指示下删除数据，并确保第三方在适用的情况下也进行数据删除。
要求企业在收到通知后45天内回复请求。消费者每年只能访问两个数据访问请求，并且只能请求过去12个月的数据，但是，对数据删除请求没有此类限制。
有趣的是，CCPA还明确禁止企业歧视选择行使其数据权利的消费者。
CCPA可能采取哪些制裁措施?
CCPA不仅对消费者数据保护进行了全面改革，而且还对数据滥用行为处以更严厉甚至潜在的严重罚款。
加州总检察长有权对被发现违反CCPA的公司进行每次制裁，最高可判处$ 2,500的罚款，而如果显然是故意的，则可处以最高$ 7,500的罚款。任何因数据盗窃而受害的企业也可能被集体诉讼提起，向受影响的每位消费者支付100至750美元的法定赔偿。
但是，法律还规定，如果适用，企业有30天的时间纠正所有违规行为。
CCPA修正案
在2019年9月13日截止日期之前提出了一些最终修正案，其中五项已经通过，目前正在等待加利福尼亚州州长签署。以下是五项修订将产生的最实质性的变化：
法案25：就业信息
该法案免除企业在雇用过程中收集的个人信息，例如，作为应用程序一部分或作为其在该企业中的角色而收集的数据-直至2021年1月1日。处理就业福利。
一年的宽限期有效地给了州政府时间来制定进一步的针对就业的隐私法案。
法案874：公开可用的“个人信息”。
这缩小了“个人信息”的定义范围，并扩大了“公开信息”的范围
第1146号法案：车辆信息
如果共享的数据仅严格用于保修期内的汽车维修目的，则允许新车经销商和制造商之间共享消费者数据，从而更改“退出”权利的范围。
其他变化
一项仅持续一年的新条款就免除了作为企业对企业合同的一部分或通过与消费者的B2B通信而收集的个人数据的大部分CCPA规则。
现在还允许企业在消费者数据请求的上下文中执行适当的身份验证步骤，并且还允许企业要求消费者通过其现有帐户提交请求。
明显被拒绝的修正
公开面部识别使用
根据这项法案，该法案将迫使公司公开披露其对面部识别技术的使用。就目前而言，企业不需要这样做。