《加州消费者隐私法》(CCPA) 让加州居民能够控制企业收集的有关他们的个人数据。
阅读本文后,您将能够:
复制文章链接
《加州消费者隐私法》(CCPA) 是一项数据隐私立法,适用于处理加州居民个人数据的大多数企业。CCPA 赋予加州居民一定程度的控制权,来控制企业收集的有关他们的个人数据。
CCPA 于 2020 年 1 月 1 日生效。2020 年底,加州选民通过了一项提案,即《加州隐私权法案》(CPRA),该法案对 CCPA 进行了修订和扩展。随着时间的推移,CCPA 将继续修订。
CCPA 赋予消费者以下重要权利:
假设 Alice 访问一个网站 news.example.com,并且该网站使用浏览器 cookie 和用户位置跟踪。Alice 正在她位于加利福尼亚州圣何塞的公寓中使用笔记本电脑上加载此网站。因为她在加利福尼亚,所以当她加载 news.example.com 时会弹出一个横幅,该横幅会告诉 Alice 该网站使用 cookie 和位置数据的情况。出现此横幅是因为 Alice 有知情权。
该横幅还为 Alice 提供了一个选择:她可以通过点击“请勿出售我的个人信息”按钮,选择不允许 news.example.com 向广告网络出售有关她的位置的信息。或者,她可以点击“接受并继续”以允许此数据销售。她有这个选择是因为她有选择退出的权利。
现在想象 Alice 点击“不要出售我的个人信息”,因为她宁愿将她的位置尽可能保密。突然之间,news.example.com 上的所有内容都被锁定,Alice 无法再观看该网站上的视频或阅读文章。这将违反 CCPA,因为 Alice 拥有不受歧视的权利——news.example.com 必须以相同的价格向 Alice 提供与向允许出售其数据的其他用户提供的服务相同的服务。
CCPA 仅适用于加州居民的个人数据。但是,只要收集加州居民的数据,无论该组织的总部位于何处,都可能受到 CCPA 的约束。
CCPA 适用于在加利福尼亚州开展任何业务并符合以下描述之一的组织:
CCPA 不适用于非营利组织、政府机构或某些类型的金融机构——例如,加州居民无法通过要求收债机构删除其个人信息来避免偿还债务。
CCPA 以这种方式定义“个人信息”:
“‘个人信息’是指直接或间接识别、涉及、描述特定消费者或家庭或者能够合理地与特定消费者或家庭相关联的信息。”
CCPA 还列出了许多被视为个人信息的数据类型,包括:
完整的清单可以在《加州消费者隐私法》第 1798.140 条中找到。
CCPA 还澄清,公开信息,例如合法获得的政府记录中的信息,不被视为个人信息。
请注意,这种“个人信息”的定义是 CCPA 独有的。其他隐私框架(例如欧盟的《通用数据保护条例》(GDPR))使用其自己的定义。
除了这两个隐私框架适用于不同地区之外,CCPA 和 GDPR 并不相同。它们对术语的定义不同,对企业有不同的要求,并有不同的罚款和处罚结构。遵守 GDPR 并不能保证遵守 CCPA,反之亦然。
《健康保险便携性和责任法案》(HIPAA) 是美国联邦法律,用于规范医疗数据隐私和保护。CCPA 不适用于已受 HIPAA 监管的个人健康信息。
“cookie”是网站在用户访问网站时生成并发送到用户 Web 浏览器的一个小信息文件。一些 cookie 会收集用户浏览历史、用户搜索历史或用户与网站的交互。根据 CCPA,所有这些都被视为“个人信息”。由于知情权,组织必须让用户知道他们通过 cookie 收集了哪些数据以及如何使用这些数据。
但是,与其他一些隐私框架不同的是,CCPA 不要求组织获得用户对 cookie 的同意。