什么是CCPA?
CCPA(California Consumer Privacy Act)是2018年通过的加州消费者隐私保护法案,于2020年1月1日正式生效。该法案赋予加州居民对其个人信息的更多控制权,要求企业提高数据处理的透明度。CCPA被认为是美国最严格的隐私保护法律之一,其影响力远超加州范围,适用于所有在加州开展业务并处理加州居民个人数据的企业。
CCPA的主要要求
1. 消费者权利保障
CCPA赋予消费者五项核心权利:知情权(了解收集的个人信息类型
)、访问权(获取个人信息副本
)、删除权(要求删除个人信息
)、选择退出权(拒绝个人信息出售)以及不受歧视权(不因行使隐私权而受到差别待遇)。企业必须建立相应机制来响应这些权利请求。
2. 信息披露义务
企业必须在收集个人信息时或之前,通过隐私政策向消费者披露:收集的个人信息类别、收集目的、是否出售个人信息、第三方接收者类型等信息。隐私政策必须使用通俗易懂的语言,并定期更新。
企业合规实施步骤
要实现CCPA合规,企业应采取以下关键步骤:
CCPA与其他隐私法规的比较
CCPA常与欧盟GDPR(通用数据保护条例)相比较。两者都强调透明度、消费者控制和数据安全,但在适用范围、同意要求、处罚力度等方面存在差异。GDPR采用"选择加入"(opt-in)模式,而CCPA是"选择退出"(opt-out)模式。企业若同时受两部法律约束,需制定综合合规策略。
随着CPRA(加州隐私权法案)的通过,CCPA的要求将进一步强化。企业应持续关注隐私法规变化,将隐私保护融入业务流程,建立可持续的合规体系。这不仅可降低法律风险,更能增强消费者信任,提升品牌声誉。
常见问题解答
Q1: 哪些企业需要遵守CCPA?
A1: 年收入超过2500万美元;或每年购买、接收、出售或共享5万名以上消费者、家庭或设备的个人信息;或50%以上年收入来自出售消费者个人信息的企业。
Q2: CCPA规定的罚款金额是多少?
A2: 故意违规每起事件最高可罚7500美元,非故意违规最高可罚2500美元。消费者也可提起民事诉讼,每起事件索赔100-750美元。
Q3: 如何响应消费者的删除请求?
A3: 企业需验证请求者身份,在45天内免费处理请求(可延长至90天),通知所有第三方停止使用该数据,并保留相关记录。