加利福尼亚州消费者隐私法案(CCPA)或AB 375是一项新法律,于2020年1月1日生效,旨在通过对企业如何处理其隐私权实施规则来增强消费者隐私权和对加利福尼亚州居民的保护。 个人信息.
CCPA是美国通过的最广泛的消费者隐私法规,类似于欧盟'通用数据保护条例(GDPR)以及其他数据隐私法律和隐私条例。
该法案在七天之内就已经制定出来,以避免投票表决通过一项甚至遭到许多科技公司反对的更为严格的法律的议案。
CCPA的目的是什么?
加利福尼亚州's 新 privacy law is designed to provide 加利福尼亚州 residents with 新 rights to:
- 了解正在收集有关他们的哪些个人数据,例如智能手机位置,语音记录或浏览历史记录
- 知道他们的消费者数据是出售还是透露给谁,例如应用开发人员,服务提供商和广告合作伙伴
- 对出售个人数据说不
- 访问他们的个人数据,例如在线活动,地理位置,乘车路线, 生物特征数据 和广告定位数据
- 要求企业删除其个人数据,例如您的电话号码,社会保险号或IP地址
- 不因行使隐私权而歧视他们
- 访问有关它们的特定推论,例如 心理学,预测和分类
- 授权公司,活动家,协会和其他机构代表他们行使选择权
大型技术公司(例如Facebook,Google,Microsoft和Twitter)已经提供了许多此功能,它们提供了自动化系统,您可以在其中登录并下载某些个人数据的副本。现在,加利福尼亚人可以向公司索取其他个人详细信息。
一旦提出要求,公司必须在十天内确认数据访问请求,并在45天内提供信息。
What is considered个人信息 under CCPA?
CCPA将个人信息定义为识别,关联,描述,合理地能够与特定消费者或家庭关联或可以直接或间接与特定消费者或家庭链接的信息,例如:
- 标识符,例如真实姓名,别名,邮政地址,唯一的个人标识符,在线标识符,IP地址,电子邮件地址,帐户名,社会安全号码,驾驶执照号码,护照号码或其他类似的标识符
- Characteristics of protected classifications under 加利福尼亚州 要么 federal law
- 商业信息,包括个人财产,购买,获得或考虑的产品或服务的记录,或其他购买或消费历史或趋势
- 生物识别信息
- 互联网或其他电子网络活动信息,包括但不限于浏览历史记录,搜索历史记录以及有关消费者与网站,应用程序或广告互动的信息
- 地理位置数据
- 音频,电子,视觉,热量,嗅觉或类似信息
- 专业或与就业有关的信息
- 教育信息,定义为不公开的信息 个人身份信息(PII) 根据《家庭教育权利和隐私法案》的定义
- 从此细分中标识的任何信息中得出的推论,以创建有关消费者的个人资料,反映消费者的偏好,特征,心理趋势,偏好,倾向,行为,态度,智力,能力和才能
很像 个人身份信息(PII) 和 受保护的健康信息(PHI), publicly available information is not considered个人信息 under CCPA.
谁必须遵守CCPA?
CCPA适用于任何业务,包括任何收集个人数据的营利性实体,这些实体在加利福尼亚州运营且至少满足以下条件之一:
- 年总收入至少2500万美元
- Buys 要么 sells the个人信息 of 50,000 要么 more consumers 要么 households
- 年销售收入的一半以上来自销售消费者'个人信息
违反CCPA数据隐私要求的公司,每条数据记录的违规公司将被罚款7,500美元。
组织如何遵守CCPA?
必须遵守CCPA的组织必须:
- 在出售或共享其数据以获取商业利益之前,执行程序以获取13岁以下未成年人的父母或监护人同意以及13至16岁未成年人的肯定同意。
- 提供一个"不要出售我的个人信息"网站首页上的链接,使加利福尼亚人可以选择退出出售其个人信息
- 指定提交数据访问请求的方法,至少包括免费电话号码
- 使用新要求的信息(包括对加利福尼亚居民的描述)更新隐私声明' rights under CCPA
- Avoid requesting opt-in consent 对于 12 months after a 加利福尼亚州n opts out
- 提供可访问的隐私声明,并明确指出其他格式的访问权限
加利福尼亚州法律还要求雇主告知员工他们收集的有关他们的个人信息的类别以及数据收集的目的。
如果公司不遵守CCPA,会发生什么?
监管机构将违规行为通知公司后,将有30天的时间遵守法律。
如果问题不是'如果得到解决,则可以采用以下制裁和补救措施:
- 遭受数据泄露或数据泄露的公司可在民事集体诉讼中被命令支付每位加利福尼亚居民100美元至750美元之间的法定赔偿以及事件或实际损失(以较高者为准),以及法院认为适当的任何其他救济,但受此限制加州总检察长的选择'公司办公室起诉公司,而不是对公司提起民事诉讼
- 每次故意违反的最高罚款为$ 7,500,每次非故意违反的最高罚款为$ 2,500
这是除了其他 数据泄露的成本 在2019年平均为819万美元。 防止数据泄露的软件.
CCPA合规性如何执行?
加利福尼亚司法部长Xavier Becerra尚未发布澄清和定义法律参数的最终法规,预计将在未来六个月内发布。国家获胜'直到2020年7月1日才执行法律。
也就是说,法律允许对未能采取合理预防措施的公司提起集体诉讼 防止数据泄露。除此之外,这取决于总检察长'的办公室要确保CCPA的合规性。有人指出,该办公室每年只能处理少量案件。
即使案例很少见,大文件的威胁(每条数据记录7500美元)也足以吸引大多数组织遵守。
How can 加利福尼亚州ns request access to their个人信息?
如果您想请求访问组织保留的有关您的个人信息和/或拒绝出售您的个人信息,则可以使用以下模板:
致隐私权合规官,
我的名字是[在这里输入您的名字]。我居住在加利福尼亚州,并且正在根据《加利福尼亚消费者隐私法案》(CCPA)行使我的数据访问权,以查看您的组织收集的有关我的类别和特定的个人信息。
我要求查看与我有关的所有记录的副本,包括:
- 我提供或发布的任何信息或内容
- 收集的关于我或与我相关的任何和所有数据,我的电话号码或设备,包括位置数据,登录数据,生物特征数据,使用情况数据,人口统计数据,网站访问和其他在线活动
- 您的组织或其服务提供商对我的兴趣,活动,行为,态度,心理,健康,健身,饮食,智力,能力和任何其他心理方面的任何推断,分类或分类
- 您的组织从第三方供应商,网站,应用,服务提供商或公司获取或获取的有关我的任何数据
- 拥有我的数据的所有实体和第三方的列表已被披露或出售给
我还要求您不要出售我的个人信息。
我的电子邮件地址是[在此处插入您的电子邮件地址],电话号码是[在此处插入您的电话号码]。
知道CCPA要求您在10天内确认此请求并在45天内提供我的个人信息可能对您有所帮助。
如果您需要任何其他信息,请尽快告知我。
谢谢,
[在这里输入您的名字]
CCPA与GDPR有何不同?
尽管许多人将CCPA视为等同于GDPR的美国,但仍存在一些关键差异。
最重要的不同是CCPA排除了通过第三方获取的数据。 GDPR还对组织如何保护提出了具体要求 个人身份信息(PII),监视安全事件并报告 数据泄露 or 数据泄漏 ,CCPA没有。
CCPA如何影响网络安全?
与GDPR不同,CCPA不提供有关安全性和违规响应的特定要求。实际上,CCPA并不要求组织报告数据泄露。话虽如此,加州确实有自己的数据泄露通知法,就像纽约和美国其他每个州一样。
CCPA的语言规定,企业必须"实施和维护适合于信息性质的合理安全程序和做法",但未指定合理的含义。
我们认为合理的安全程序将包括:
安全等级 提供实时访问涉及多个类别的,涉及整个行业的安全性能的广泛而客观的数据,包括 漏洞, 电子邮件欺骗, 间谍软件 , 勒索软件, 电脑蠕虫, 恶意软件 , 网络钓鱼 , 鱼叉式网络钓鱼, 域名劫持 and 中间人攻击以及缺乏 域名系统 , DMARC , SSL协议 协议 and other 网络安全 measures.
UpGuard如何防止数据泄露和数据泄漏
像这样的公司 洲际交流, 泰勒·弗莱 , 纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard保护其数据, 防止数据泄露,监视 漏洞 and avoid 恶意软件 .
We're experts in 数据泄露 and 数据泄漏 , 我们的 研究 已在 纽约时报, 华尔街日报, 彭博社 , 华盛顿邮报, 福布斯 , 路透社 and Techcrunch。
UpGuard供应商风险 通过自动化可以最大程度地减少组织花费在管理第三方关系上的时间 供应商问卷 并持续监控您的供应商' 安全态势 随着时间的流逝,同时将它们与行业进行比较。
每个供应商均根据50多个标准(例如是否存在 SSL协议 协议 and 域名系统 ,以及 域名劫持, 中间人攻击 and 电子邮件欺骗 for 网络钓鱼 .
每天,我们的平台都会通过 网络安全等级 out of 950. We'如果他们的分数下降,我会提醒您。
UpGuard BreachSight 可以帮助监控DMARC,打击 抢注 , 避免 数据泄露 and 数据泄漏 ,避免监管罚款并保护您的客户's trust through 网络安全等级 和连续曝光检测。
如果你 'd想看看您的组织如何堆叠, 获得免费的网络安全评级.
