什麼是 CCPA(《加州消費者隱私法案》)?

《加州消費者隱私法案》(CCPA) 讓加州居民能夠控制企業收集的有關他們的個人資料。

學習目標

閱讀本文後,您將能夠:

  • 瞭解加州居民根據 CCPA 享有哪些權利
  • 解釋 CCPA 何時適用於企業
  • 將 CCPA 與其他資料隱私立法進行對比

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是《加州消費者隱私法案》(CCPA)?

《加州消費者隱私法案》(CCPA) 是一項資料隱私立法,適用於處理加州居民個人資料的大多數企業。CCPA 賦予加州居民一定程度的控制權,來控制企業收集的有關他們的個人資料。

CCPA 於 2020 年 1 月 1 日生效。2020 年底,加州選民通過了一項提案,即《加州隱私權法案》(CPRA),該法案對 CCPA 進行了修訂和擴展。隨著時間的推移,CCPA 將繼續修訂。

CCPA 賦予消費者哪些權利?

CCPA 賦予消費者以下重要權利:

  • 知情權:消費者應該被告知組織收集了關於他們的哪些個人資訊以及這些資訊是如何使用的。
  • 刪除權:除了一些例外情況,消費者可以刪除有關他們的所收集資訊。
  • 選擇退出的權利:消費者可以阻止將他們的資訊出售給第三方。
  • 不受歧視的權利:組織不能區別對待行使 CCPA 權利的使用者——例如向他們收取更多的常規服務費用。但是,有時行使 CCPA 權利會影響組織可以提供的服務;例如,如果電子商務網站的使用者行使「刪除權」並刪除他們的帳戶,他們可能無法再在該網站上儲存他們的送貨地址或信用卡資訊。

假設 Alice 存取一個網站 news.example.com,並且該網站使用瀏覽器 cookie 和使用者位置追蹤。Alice 正在她位於加利福尼亞州聖荷西的公寓中使用筆記型電腦上載入此網站。因為她在加利福尼亞,所以當她載入 news.example.com 時會彈出一個橫幅,該橫幅會告訴 Alice 該網站使用 cookie 和位置資料的情況。出現此橫幅是因為 Alice 有知情權

該橫幅還為 Alice 提供了一個選擇:她可以透過點擊「請勿出售我的個人資訊」按鈕,選擇不允許 news.example.com 向廣告網路出售有關她位置的資訊。或者,她可以點擊「接受並繼續」以允許此資料銷售。她有這個選擇是因為她有選擇退出的權利

現在想像一下,Alice 點擊「不要出售我的個人資訊」,因為她寧願將她的位置盡可能保密。突然之間,news.example.com 上的所有內容都被鎖定,Alice 無法再觀看該網站上的影片或閱讀文章。這將違反 CCPA,因為 Alice 擁有不受歧視的權利——news.example.com 以什麼樣的價格向允許出售其資料的其他使用者提供什麼樣的服務,就必須以相同的價格向 Alice 提供同樣的服務。

CCPA 適用於何處?

CCPA 僅適用於加州居民的個人資料。但是,只要收集加州居民的資料,無論該組織的總部位於何處,都可能受到 CCPA 的約束。

CCPA 適用於在加利福尼亞州開展任何業務並符合以下描述之一的組織:

  1. 年總收入為 2500 萬美元或以上。
  2. 購買、接收或出售至少 5 萬加州居民、家庭或裝置的個人資訊。
  3. 從出售加州居民的個人資訊中獲得 50% 或更多的年收入。

CCPA 不適用於非營利組織、政府機構或某些類型的金融機構——例如,加州居民無法透過要求收債機構刪除其個人資訊來避免償還債務。

CCPA 如何定義「個人資訊」?

CCPA 這樣定義「個人資訊」:

「『個人資訊』是指直接或間接識別、涉及、描述特定消費者或家庭或者能夠合理地與特定消費者或家庭相關聯的資訊。」

CCPA 還列出了許多被視為個人資訊的資料類型,包括:

  • 姓名
  • IP 位址
  • 郵寄地址
  • 生物特徵辨識資訊
  • 網際網路瀏覽記錄或搜尋記錄
  • 地理位置
  • 從列出的任何類型的個人資訊中得出的任何推論

完整的清單可以在《加州消費者隱私法案》第 1798.140 條中找到。

CCPA 還澄清,公開資訊(例如合法獲得的政府記錄中的資訊)不被視為個人資訊。

請注意,這種「個人資訊」的定義是 CCPA 獨有的。其他隱私框架(例如歐盟的《一般資料保護規定》(GDPR))使用其自己的定義。

CCPA 合規性與 GDPR 合規性是否相同?

除了這兩個隱私框架適用於不同地區之外,CCPA 和 GDPR 本身也並不相同。它們對詞彙的定義不同,對企業有不同的要求,並有不同的罰款和處罰結構。遵守 GDPR 並不能保證遵守 CCPA,反之亦然。

CCPA 是否優先於 HIPAA?

《健康保險流通與責任法案》(HIPAA) 是美國聯邦法律,用於規範醫療資料隱私和保護。CCPA 不適用於已受 HIPAA 監管的個人健康資訊。

CCPA 如何影響 cookie 的使用?

「cookie」是網站在使用者存取網站時產生並傳送到使用者 Web 瀏覽器的一個小資訊檔案。一些 cookie 會收集使用者瀏覽歷程記錄、使用者搜尋歷程記錄或使用者與網站的互動。根據 CCPA,所有這些都被視為「個人資訊」。由於知情權,組織必須讓使用者知道他們透過 cookie 收集了哪些資料以及如何使用這些資料。

但是,與其他一些隱私框架不同的是,CCPA 不要求組織獲得使用者對 cookie 的同意。

瞭解有關 cookie 或有關資料隱私的更多資訊。