加州消费者隐私保护法案详解


2020年1月1日,加州消费者隐私保护法案(CCPA, California Consumer Protection Act)正式开始实施,在这个数据为王的时代,该法案的实施对涉及数据收集的企业有哪些影响,企业又应该如何应对呢?

一.CCPA的适用对象

所有为加利福尼亚州居民提供服务,业务涉及收集或处理消费者信息的公司,只要满足下列三个条件中的一个或多个,就将收到CCPA的管束:(1)年收入至少2500万美元;(2)拥有至少50,000名个人数据的任何规模的公司;(3)通过出售个人数据而获得其收入一半以上的任何规模的公司。特别需要关注的是:公司不必一定要设在加利福尼亚,也不必在加利福尼亚设有实体机构,他们甚至不必设在美国,只要公司向加州居民提供了服务并收集了数据,就有可能要遵守该法案。

二.个人信息的定义

与欧盟的一般数据保护条例(General Data Protection Regulation, GDPR)相比,CCPA对个人信息的定义更加宽泛,包括以下几大类:

  • 标识符,例如真实姓名,别名,邮政地址,唯一的个人标识符,在线标识符IP地址,电子邮件地址,帐户名,社会安全号码,驾驶执照号码,护照号码或其他类似的标识符
  • 加州或联邦法律规定的受保护分类的特征(比如性别,年龄,残疾状况)
  • 商业信息,包括个人财产,购买、获得或考虑购买的产品或服务的记录,或其他购买或消费历史或趋势
  • 生物特征信息
  • 互联网或其他电子网络活动信息,包括但不限于浏览历史记录,搜索历史记录以及有关消费者与网站,应用程序或广告互动的信息
  • 地理位置数据
  • 音频,电子,视觉,热量,嗅觉或类似信息
  • 专长或与就业有关的信息
  • 教育信息,相关教育法律所定义的不可公开获得的个人身份信息。
  • 从上述相关信息中得出的推论,以创建有关消费者的档案,反映消费者的偏好、特征、心理趋势、倾向、行为、态度、智力、能力和才能的信息

 

三.CCPA的主要条款

 

消费者知情权:根据CCPA,类似于欧洲的GDPR,加州的消费者有权要求知道自己哪些信息被收集了,以及出售或以其他方式披露的有关他们的个人信息。 CCPA要求相关企业遵守消费者关于收集、出售和披露其个人信息的“可验证要求”,并概述了这些企业必须遵循的特定程序和时间表。

 

消费者删除权:加州消费者有权要求删除其个人信息。相关企业必须遵守“可验证”的删除消费者个人信息的请求。但有几个明显的例外,其中包括如果需要维护信息以完成交易或提供商品或服务,则相关企业无需删除个人信息。

 

消费者退出权:加州的消费者有权“选择退出”(OPT OUT)其个人信息被“销售”。相关企业必须向消费者告知此权利(包括在其网站上提供清晰明显的链接,标题为“请勿出售我的个人信息”),并且必须采用指定的方法让消费者选择退出(包括免费电话号码以及选择退出的网站地址)。相关企业必须尊重消费者的选择退出,并且必须等待12个月才能寻求重新授权以出售其个人信息。

 

未成年人的个人信息的特别保护:根据CCPA,只有在消费者的父母或监护人肯定地批准(选择参加)出售后,才能出售13岁以下的未成年人的个人信息。对于13至16岁的未成年人,也需要获得肯定授权,但这些未成年人本人就可以提供授权。

 

反歧视规定:如果消费者选择行使CCPA赋予的权利,相关企业不得因为这个原因歧视消费者。也就是说相关企业不能对该行使权利的消费者拒绝出售商品或提供服务、对此类商品或服务收取不同的价格或提供质量较低的商品和服务。

四.CCPA的执法力度

对于违反CCPA的行为,可以公力救济,也可以私人诉讼。公力救济由加州总检察长(ATTORNEY GENERAL)执行,总检察长可以对每一项违法行为最高处以7500美元的民事罚款。需要指出的是,CCPA自2020年1月1日生效,但是对违法行为的执法自2020年7月1日才开始,该法提供了半年的缓冲期。

另外,如果由于相关企业违反CCPA的规定,致使消费者的个人信息及数据遭受未经授权的访问、泄漏、盗窃或披露,那么消费者有权提起民事诉讼,可以获得的救济包括:1)主张被诉企业就每次违规事件对每个消费者赔偿100-750美元的损害赔偿金或实际损害赔偿金(以数额较大为准);2)主张发布禁止令或宣告性法律救济;3)法院认为适当的任何其他救济。

在行使私人诉讼权之前,消费者应当在30个工作日内通知拟诉企业,企业可以在此期间内就其违规行为进行补救,并向消费者提供书面声明,以说明数据泄露已经得到纠正且不会再发生,以避免诉讼。

 

五.企业的应对之策

  1. 自查自审。如果企业业务涉及收集加州居民的信息,首先需要判断评估是否受CCPA管辖,如果答案是肯定的,需要结合CCPA的规定自查否符合CCPA的规定。加强内部审核机制,对信息的保护有章可循,培训到位。
  2. 改进流程,合法合规。针对CCPA的要求,制定具体实施计划,对现有数据信息的收集,存储,应用加以改进(比如增加对消费者删除权,退出权的提示)。强化对各层级员工的培训,加强和第三方的合作,保证数据安全。

 

吴迪律师,先后毕业于南京大学,北京大学,美国密苏里大学,获得文学学士,法律硕士,法学硕士学位。曾经就职于芝加哥美洲银行(Bank of America)证券信托部和多家欧美跨国公司,吴律师在中美两国都工作过,拥有丰富的公司运营及商业谈判经验,特别擅长帮助客户理解中美两国的文化、法律、制度方面的差异。吴律师为中小企业企业赴美投资以及个人移民事务提供全方位服务,2016年夏季、2017年冬季和2018年冬季,吴律师在国内多地(包括中国国际贸易促进会)成功巡回主讲了专门针对企业家和高净值人士的投资美国和移民美国的讲座, 收获诸多赞誉。

 

蔡旌明律师,法学博士,曾经担任雅虎公司的内部资深法律顾问。他的法律专长侧重于公司法,商业诉讼,及商业投资移民。 在中国业务方面则包括中国国营及民间企业在美设立跨国公司,雇佣执行高管, 公司常年法律顾问。他曾成功代表过雅虎(Yahoo!),英特儿(Intel),诺基亚 (Nokia),海信(HiSense),富国银行 (Wells Fargo Bank),美国网讯公司(Webex), 裕隆集团,蓝驰创投 (Blue Run Venture), 中国苏州工业园区(Suzhou Industrial Park),加州圣何塞芭蕾舞团 (Ballet San Jose)等著名企业,社区团体, 以及众多的中小企业和个人。

微信公众号:USAttorneys

网址:www.mysvlawyers.com; www.sacattorneys.com

地址:1754 Technology Drive, Suite 122, San Jose, CA 95110

蔡律师: Cell (手机): (408) 210-9634

微信:jingmingcai

Email: jcai@sacattorneys.com

吴律师:Cell (手机): (209) 986-6102

微信:woody899woody

Email: wwu@sacattorneys.com

收藏并分享: