什么是 CCPA?
加州消费者隐私法案 (CCPA)
《加州消费者隐私法案》(CCPA) 是 2018 年签署成为法律的一项州法规,旨在加强本州居民的隐私权和消费者保护。 该法案于 2020 年 1 月生效,赋予消费者对企业收集的有关他们的个人信息的更多控制权,并规定了新的消费者隐私权,包括:
- 了解企业收集他们哪些个人信息以及如何使用和共享这些信息的权利
- 删除其个人信息的权利
- 选择退出出售其个人信息的权利
- 行使 CCPA 权利时不受歧视的权利
上述权利必须包含在企业的隐私政策中,该政策必须以易读、易懂和可打印的格式提供给消费者。
消费者须知
CCPA 要求企业以易读易懂的格式向消费者提供以下通知:
- 隐私政策
- 收集个人信息的通知
- 拒绝出售个人信息的权利通知
- 财务激励通知
CCPA 适用于哪些对象?
CCPA 适用于任何在加州开展业务并符合以下标准的营利性企业:
- 年总收入超过 2500 万美元
- 购买或出售 5 万或以上加州居民、家庭或设备的个人信息
- 年收入的 50% 或以上来自出售加州居民的个人信息
如何处理 CCPA 违规行为?
不遵守 CCPA 的企业将被处以经济处罚,每次意外违规罚款 2,500 美元,每次故意违规罚款 7,500 美元,外加每位受影响消费者 750 美元的民事赔偿。
是否必须进行数据加密才符合 CCPA?
为了满足 CCPA 合规性,企业必须对消费者个人信息进行加密,如该法案第 1798.150 条所述: “如果由于企业违反了为保护个人信息,而实施和维护与信息性质相适应的合理安全程序和实践的义务,导致第 1798.81.5 节 (d) 款 (1) 段 (A) 小段所定义的任何消费者的非加密和非屏蔽的个人信息,可能会遭到未经授权访问和泄露、失窃或披露,可能会受到以下任何一项民事诉讼:
a. 按每起事件每位消费者赔偿不少于一百美元 ($100) 且不超过七百五十美元 ($750) 或赔偿实际损失,以较高者为准。
b. 禁令性或宣告性救济措施。
C. 法院认为适当的任何其他救济措施。”
简单来说,如果未加密的消费者数据从企业被盗,受影响的个人可以起诉该企业,每位消费者最高可获得 750 美元或实际损失赔偿,以较高者为准。
如何根据 CCPA 处理数据泄露事件?
只有在满足某些条件的情况下,消费者才能根据 CCPA 起诉企业。 被盗的个人信息必须包含消费者的名字(或首字母缩写)和姓氏,以及消费者的以下信息:
- 社会安全号码
- 驾驶执照号码、税务识别号码、护照号码、军人身份号码,或其他政府文件上签发的、通常用于识别个人身份的唯一识别号码
- 金融账号、信用卡号或借记卡号(如果与任何必要的安全代码、访问代码或密码相结合,让他人可以访问消费者的账户)
- 医疗或健康保险信息
- 指纹、视网膜或虹膜图像,或其他用于识别个人身份的独特生物特征数据(但不包括照片,除非用于或存储用于面部识别)
值得注意的是,这些信息必须是以未加密和未编辑的形式被盗的。
CCPA 是否涵盖加密密钥?
CCPA 本身未讨论加密密钥。 但我们可以参考法案第 1798.150 条(请参阅上文“是否必须进行数据加密才符合 CCPA?” )以及 “...任何消费者的非加密和非屏蔽的个人信息,可能会遭到未经授权访问和泄露、失窃或披露...” 声明(为了强调而添加下划线)。假定记录已经加密,那么谨慎的做法是,在泄露后审计中对加密密钥的维护方式和位置进行审查。如果密钥存储在与被盗记录相同的位置,或者保存在具有类似保护级别的另一个系统中,在审计师看来,此类程序和做法可能达不到“合理”水平。因此,建议将加密密钥与加密数据分开保护。
此外,相关立法还进一步规定,如果记录未加密或加密数据和加密密钥均被盗,企业将面临消费者信息泄露的后果。 具体而言,作为《议会法案 1130》修正案的一部分,《加州民法典》第 1798.82 条的部分内容如下:
“在加州开展业务,并且拥有或许可包含个人信息的计算化数据的个人或企业,在发现或接到数据安全违规情况通知后,应向以下加州居民披露系统安全违规情况 (1) 有合理理由认为,有未经授权的人员曾经或正在获取其未加密的个人信息,或 (2) 有合理理由认为,有未经授权的人员曾经或正在获取其已加密的个人信息,并且有合理理由认为,有未经授权的人员曾经或正在获取加密密钥或安全凭证,并且拥有或许可加密信息的个人或企业有合理理由认为,加密密钥或安全凭证可以使这些个人信息具有可读性或可用性。 披露应尽可能在最有利的时间进行,不得无故拖延,符合 (c) 小节规定的执法部门的法定要求,或采取任何必要措施确定违规范围并恢复数据系统的合理完整性。”
企业如何遵守 CCPA?
CCPA 法规范围广泛,要求企业采取多项措施告知消费者他们的权利,并保护他们的个人信息。 全面的 CCPA 解决方案包含数据加密、及时的消费者通知和客户服务等功能。
其他州是否采纳类似 CCPA 的要求?
尽管加利福尼亚州是第一个颁布广泛的数据隐私法的州,但许多其他州也已通过或正在立法,旨在采纳类似于 CCPA 的要求。 截至 2022 年年中,其他四个州(科罗拉多州、康涅狄格州、犹他州和弗吉尼亚州)也颁布了消费者数据隐私法,分别于 2023 年生效。 至少还有十几个州正在进行数据隐私立法,预计还会有更多的州效仿。