隱私的下一步是什麼? GDPR 和 CCPA 常見問題解答
已發表: 2020-01-29
加州消費者隱私法 (CCPA) 於 2020 年 1 月 1 日生效,被廣泛認為是美國迄今為止範圍最廣的隱私法之一。 CCPA 對客戶個人信息的收集和銷售施加了限制,同時在涉及相同個人信息時也提供了某些法律保護。 但 CCPA 不僅僅是歐盟通用數據保護條例 (GDPR) 的美國版本。 如果您已為 GDPR 做好準備,則不必從頭開始,但這並不意味著您的所有基礎都已涵蓋 CCPA。
在此博客中,我們將介紹 CCPA 的基礎知識、它如何與 GDPR 進行比較,以及圍繞每一個出現的一些常見問題解答以及它們在美國國內和國際業務中的實施情況。
CCPA 適用於哪些人?
CCPA 適用於滿足以下一項或多項條件的任何企業:
- 在加利福尼亞州做生意
- 並滿足以下條件之一:
- 年度總收入超過 2500 萬美元;
- 每年為商業目的單獨或聯合購買、接收、出售或共享至少 50,000 名消費者、家庭或設備的個人信息; 或者
- 至少 50% 的年收入來自銷售消費者的個人信息。
GDPR 和 CCPA 之間的最大區別在於適用範圍、收集限制的範圍以及有關違規問責和不合規挑戰的規則。 在此圖表中,您會看到 GDPR 和 CCPA 之間的一些細微但重要的區別。
| 通用數據保護條例 | CCPA | |
| 範圍 | 保護歐盟居民免受位於歐盟內部或外部的公司的影響。 涵蓋個人數據的處理、收集和應用。 | 保護 CA 居民並適用於收入超過 2500 萬美元的公司,50% 的收入來自客戶的個人信息或處理超過 50,000 名居民的信息 涵蓋個人信息的收集、處理和銷售。 |
| 個人數據/信息 | 定義為與個人有關的任何信息,包括公開可用的數據。 | 定義為與個人或家庭相關、描述或可以直接或間接關聯的信息。 |
| 訪問/披露的權利 | 要求企業在收集點告知客戶權利。 | 要求企業在收集時或之前告知客戶要收集的個人信息類別和收集目的。 |
| 選擇退出 | 客戶可以要求限制任何類型的個人數據。 | 企業必須提供選擇退出權的通知,並向消費者提供選擇退出 PI 銷售的權利,但不是收集 PI 的權利。 他們必須在主頁上提供“請勿出售我的個人信息”鏈接。 |
| 數據保護影響評估 (DPIA) | 任何可能危及主體數據權利的處理都需要 DPIA。 | 不需要 DPIA,但企業有責任實施和維護適當的安全措施來保護客戶的信息。 |
經常問的問題
這是否適用於不在加利福尼亞州的企業?
企業無需位於加利福尼亞州即可受 CCPA 約束。 這意味著任何通過在線交易與加州居民“開展業務”或擁有居住在該州的員工的企業。
公司會因不合規而被罰款嗎?
CCPA 中的私人訴訟權僅限於數據洩露。 根據私人訴訟權,每位消費者每次事件的損失可能在 100 美元到 750 美元之間。 California AG 還可以全面執行 CCPA,並有權處以每次違規不超過 2,500 美元或每次故意違規不超過 7,500 美元的民事罰款。
我不認為我們真的收集個人信息。 CCPA 適用嗎?
CCPA 對個人信息的構成有極其廣泛的描述。 如果您為發布職位而收集簡歷,您的網站會跟踪 cookie,或者如果您的網站上有“聯繫我們”表格,那麼您就是在收集個人信息。
B2B 業務是否有豁免?
有點。 當涉及到與其他組織、公司和政府機構的交易和通信時,B2B 公司可以有限地免於遵守 CCPA 的每一項要求。 在 B2B 通信或交易過程中從企業或政府機構的僱員、所有者、董事、官員或承包商收集的個人信息不受大多數 CCPA 要求的約束。 但這項豁免將於 2020 年底到期。即使您的 B2B 公司不出售業務聯繫信息,您仍然需要確定您為營銷目的收集的信息在多大程度上必須遵守 CCPA。
如何覆蓋你的基地?
CCPA 要求公司保留可追溯到 2019 年 1 月 1 日的所有個人信息類別的詳細記錄。您應該開始清點自該日期以來收集的所有數據。 您還需要更新您的隱私聲明,並在您的主頁上添加“請勿出售我的個人信息”鏈接。
企業主的其他資源
Magento 還提供了一份出色的、更詳細的指南,以確保您的網站符合 GDPR 和 CCPA 標準。 它可以在這裡找到。
如需對 CCPA 法律進行更深入的審查,請參閱《國家法律評論》中的這篇精彩文章。
雖然 CCPA 目前有一些限制僅限於加利福尼亞州,但毫無疑問它將在美國和世界範圍內產生反響。 畢竟,加利福尼亞是地球上第五大經濟體。 對於與這項新法律一樣複雜且與您的業務一樣重要的事情,我們建議您在採取合規性行動之前諮詢您的律師以確認 CCPA 是否適用於您的業務。
保持聯繫
立即與我們的一位專家聯繫,討論您的電子商務需求!
聯繫我們