什么是 CCPA(《加州消费者隐私法》)?

《加州消费者隐私法》(CCPA) 让加州居民能够控制企业收集的有关他们的个人数据。

学习目标

阅读本文后,您将能够:

  • 了解加州居民根据 CCPA 享有哪些权利
  • 解释 CCPA 何时适用于企业
  • 将 CCPA 与其他数据隐私立法进行对比

复制文章链接

什么是《加州消费者隐私法》(CCPA)?

《加州消费者隐私法》(CCPA) 是一项数据隐私立法,适用于处理加州居民个人数据的大多数企业。CCPA 赋予加州居民一定程度的控制权,来控制企业收集的有关他们的个人数据。

CCPA 于 2020 年 1 月 1 日生效。2020 年底,加州选民通过了一项提案,即《加州隐私权法案》(CPRA),该法案对 CCPA 进行了修订和扩展。随着时间的推移,CCPA 将继续修订。

CCPA 赋予消费者哪些权利?

CCPA 赋予消费者以下重要权利:

  • 知情权:消费者应该被告知组织收集了关于他们的哪些个人信息以及这些信息是如何使用的。
  • 删除权:除了一些例外情况,消费者可以删除有关他们的所收集信息。
  • 选择退出的权利:消费者可以阻止将他们的信息出售给第三方。
  • 不受歧视的权利:组织不能区别对待行使 CCPA 权利的用户——例如向他们收取更多的常规服务费用。但是,有时行使 CCPA 权利会影响组织可以提供的服务;例如,如果电子商务网站的用户行使“删除权”并删除他们的帐户,他们可能无法再在该网站上保存他们的送货地址或信用卡信息。

假设 Alice 访问一个网站 news.example.com,并且该网站使用浏览器 cookie 和用户位置跟踪。Alice 正在她位于加利福尼亚州圣何塞的公寓中使用笔记本电脑上加载此网站。因为她在加利福尼亚,所以当她加载 news.example.com 时会弹出一个横幅,该横幅会告诉 Alice 该网站使用 cookie 和位置数据的情况。出现此横幅是因为 Alice 有知情权

该横幅还为 Alice 提供了一个选择:她可以通过点击“请勿出售我的个人信息”按钮,选择不允许 news.example.com 向广告网络出售有关她的位置的信息。或者,她可以点击“接受并继续”以允许此数据销售。她有这个选择是因为她有选择退出的权利

现在想象 Alice 点击“不要出售我的个人信息”,因为她宁愿将她的位置尽可能保密。突然之间,news.example.com 上的所有内容都被锁定,Alice 无法再观看该网站上的视频或阅读文章。这将违反 CCPA,因为 Alice 拥有不受歧视的权利——news.example.com 必须以相同的价格向 Alice 提供与向允许出售其数据的其他用户提供的服务相同的服务。

CCPA 适用于何处?

CCPA 仅适用于加州居民的个人数据。但是,只要收集加州居民的数据,无论该组织的总部位于何处,都可能受到 CCPA 的约束。

CCPA 适用于在加利福尼亚州开展任何业务并符合以下描述之一的组织:

  1. 他们的年总收入为 2500 万美元或以上。
  2. 他们购买、接收或出售至少 5 万加州居民、家庭或设备的个人信息。
  3. 他们从出售加州居民的个人信息中获得 50% 或更多的年收入。

CCPA 不适用于非营利组织、政府机构或某些类型的金融机构——例如,加州居民无法通过要求收债机构删除其个人信息来避免偿还债务。

CCPA 如何定义“个人信息”?

CCPA 以这种方式定义“个人信息”:

“‘个人信息’是指直接或间接识别、涉及、描述特定消费者或家庭或者能够合理地与特定消费者或家庭相关联的信息。”

CCPA 还列出了许多被视为个人信息的数据类型,包括:

  • 名称
  • IP 地址
  • 邮寄地址
  • 生物识别信息
  • 互联网浏览历史或搜索历史
  • 地理位置
  • 从所列任何类型的个人信息中得出的任何推论

完整的清单可以在《加州消费者隐私法》第 1798.140 条中找到。

CCPA 还澄清,公开信息,例如合法获得的政府记录中的信息,不被视为个人信息。

请注意,这种“个人信息”的定义��� CCPA 独有的。其他隐私框架(例如欧盟的《通用数据保护条例》(GDPR))使用其自己的定义。

CCPA 合规性与 GDPR 合规性相同吗?

除了这两个隐私框架适用于不同地区之外,CCPA 和 GDPR 并不相同。它们对术语的定义不同,对企业有不同的要求,并有不同的罚款和处罚结构。遵守 GDPR 并不能保证遵守 CCPA,反之亦然。

CCPA 是否优先于 HIPAA?

《健康保险便携性和责任法案》(HIPAA) 是美国联邦法律,用于规范医疗数据隐私和保护。CCPA 不适用于已受 HIPAA 监管的个人健康信息。

CCPA 如何影响 cookie 的使用?

“cookie”是网站在用户访问网站时生成并发送到用户 Web 浏览器的一个小信息文件。一些 cookie 会收集用户浏览历史、用户搜索历史或用户与网站的交互。根据 CCPA,所有这些都���视为“个人信息”。由于知情权,组织必须让用户知道他们通过 cookie 收集了哪些数据以及如何使用这些数据。

但是,与其他一些隐私框架不同的是,CCPA 不要求组织获得用户对 cookie 的同意。

了解有关 cookie 或有关数据隐私的更多信息。