CCPA规定内容
CCPA赋予了消费者对公司收集和管理其个人信息更多的控制权,规范了企业收集处理数据的方式。
一是规定消费者对企业收集和管理其个人信息拥有更多控制权;
二是对企业收集处理数据的方式划定了红线。
CCPA具体内容
隐私权
“加州消费者隐私组织”网站对CCPA的宗旨做了突出的阐述:
·加州的消费者拥有并控制着他们的个人信息。
·企业有责任保护个人信息。
·大型企业对未能保护个人信息负有责任(可能要支付罚款)。
这些概念表现出五项个人信息权。
具体来说,加州居民有权:
·访问他或她的个人信息;
·删除个人信息;
·了解公司收集或出售了哪些个人信息;
·选择退出或选择加入,并且在退出后不会被窃听;
·不披露他或她的个人信息。
这些权利中的每一项都可能要求企业(包括电子商务企业)更改或调整通知、报告及回应。
由于GDPR的复杂性,对于部分卖家而言遵守CCPA可能相对容易。虽然在定义和要求上存在差异,但已经遵守GDPR的公司应该具备良好的条件来遵守CCPA。
CCPA适用对象
1、年销售额超过2500万美元;
2、处理50000或更多消费者、家庭或设备的个人信息;
3、通过销售消费者的个人信息,可以获得50%或更多的年收入。
此外,如果与上述企业有业务往来或是为其提供服务的,则那些原本不直接适用于该法案的企业也可能会受到该法案的约束。
CCPA罚款
企业违反隐私保护要求将面临支付给每位消费者最高750美元的赔偿金以及最高7500美元的民事处罚。
此外,禁止企业在未经本人授权情况下出售16岁以下未成年人的个人资料,而对于未满13周岁的儿童,则需要获得其父母的许可。
企业需要根据消费者要求,披露收集了哪些信息和删除了哪些相关数据等。若违反法案,企业将面临最高7500美元的民事处罚,以及向每位消费者支付最高750美元的赔偿金。
CCPA中国企业影响
首先确定自身是否是CCPA管辖对象;
对公司目前实践与CCPA要求进行差距评估;
准备并执行工作计划并以经济高效的方式实现合规,在适用的情况下利用现有的GDPR合规工作成果;
理解CCPA与GDPR条款中的细微差别,例如鉴别商业主体合作伙伴为服务供应商、第三方或法律规定的其他事项;
开展合规工作,包括:
(a)进行数据清点;
(b)设计流程以回应个人权利要求;
(c)起草隐私通知;
(d)准备合同,包括更新GDPR数据处理附录(DPAs)以涵盖CCPA。
