加利福尼亚州消费者隐私法案(CCPA)于2018年颁布,并于2020年1月1日生效,为加利福尼亚州的消费者提供了有关企业如何使用其个人信息的更多权利和保护。符合欧盟(EU)颁布的《通用数据保护条例》(GDPR)的要求。 尽管如此,已经符合GDPR的企业可能还要根据CCPA承担其他义务。
重要要点
- 加利福尼亚州消费者隐私法案(CCPA)于2020年1月1日生效,该法案赋予该州的消费者关于其个人数据的附加权利。企业必须遵守各种义务才能遵守。
加利福尼亚消费者的权利
- 了解企业收集,使用,共享或出售哪些个人数据的权利,删除个人数据的权利,禁止出售个人数据的权利。 16岁以下的儿童必须明确同意才能出售其数据,父母或监护人必须明确同意13岁以下的儿童。保证行使CCPA权利的消费者不会与那些没有受到惩罚的人相比,受到更高价格或更低服务水平的惩罚。
什么企业要遵守CCPA
- 至少满足以下三个条件之一的企业将受CCPA约束:年收入达到2500万美元或以上;购买,接收或出售50, 000个或更多个人,家庭或设备的个人数据的企业。数据代表了年收入的50%或更多。此外,处理来自超过400万消费者的个人数据的企业最终可能还要承担其他义务。
企业义务
- 事先将收集到的个人数据通知消费者,使消费者可以轻松地执行该法案规定的权利,例如在其网站和移动应用程序上提供链接以禁止出售其数据。在特定时间范围内响应行为中的消费者。验证行为中提出请求的消费者的身份。披露为交换保留或出售个人数据而提供的任何经济诱因,以及如何计算这些数据的价值。 此外,企业必须解释为什么他们相信CCPA会允许这种激励措施;保留该法案下提出的所有请求的记录及其响应方式;维护数据清单和映射数据流;披露数据隐私政策和做法。
范围和成本
根据伯克利经济咨询研究公司(Berkeley Economic Advising and Research,LLC。)为2019年8月发布的标准化监管影响评估所做的估算,CCPA将保护每年在加利福尼亚州投放广告的价值超过120亿美元的个人数据。 在同一份报告中,在2020年至2030年期间,遵守法规草案的成本(不包括与CCPA基础法律的一般合规成本在内)总计约为4.67亿美元至164.54亿美元。
公众意见
根据CCPA的规定,加利福尼亚总检察长必须征询广大公众的意见,以指导旨在促进该法案目标的法规的制定和实施。 根据该规定,总检察长于2019年12月上旬举行了一系列公开听证会,2019年12月6日是公众提出书面评论的截止日期。
实施和关注点
CCPA于2020年1月1日生效,但包括罚款在内的执法将推迟至6月。 基于互联网的企业(其中许多总部位于加利福尼亚州)一直是该法律最直言不讳的反对者,他们争辩说要制定全国统一标准的美国联邦立法。 他们担心的部分原因是,每次违反CCPA的行为都可能引发数千美元的罚款,仅在加利福尼亚州,可能就可能涉及数百万个用户,因此加起来的金额很高。
但是,互联网巨头Facebook Inc.(FB)和Google母公司Alphabet Inc.(GOOGL,GOOG)已符合欧盟GDPR的要求,该保护条件比CCPA更为强大,尤其是要求选择加入以共享个人数据,而不是只是促进退出,就像新的加利福尼亚法律一样。 结果,一些观察家认为CCPA对于较小的参与者而言将更加繁重,从而使在线广告的领导者更加牢固。
