《加州消費者隱私法案》(CCPA) 讓加州居民能夠控制企業收集的有關他們的個人資料。
閱讀本文後,您將能夠:
複製文章連結
《加州消費者隱私法案》(CCPA) 是一項資料隱私立法,適用於處理加州居民個人資料的大多數企業。CCPA 賦予加州居民一定程度的控制權,來控制企業收集的有關他們的個人資料。
CCPA 於 2020 年 1 月 1 日生效。2020 年底,加州選民通過了一項提案,即《加州隱私權法案》(CPRA),該法案對 CCPA 進行了修訂和擴展。隨著時間的推移,CCPA 將繼續修訂。
CCPA 賦予消費者以下重要權利:
假設 Alice 存取一個網站 news.example.com,並且該網站使用瀏覽器 cookie 和使用者位置追蹤。Alice 正在她位於加利福尼亞州聖荷西的公寓中使用筆記型電腦上載入此網站。因為她在加利福尼亞,所以當她載入 news.example.com 時會彈出一個橫幅,該橫幅會告訴 Alice 該網站使用 cookie 和位置資料的情況。出現此橫幅是因為 Alice 有知情權。
該橫幅還為 Alice 提供了一個選擇:她可以透過點擊「請勿出售我的個人資訊」按鈕,選擇不允許 news.example.com 向廣告網路出售有關她位置的資訊。或者,她可以點擊「接受並繼續」以允許此資料銷售。她有這個選擇是因為她有選擇退出的權利。
現在想像一下,Alice 點擊「不要出售我的個人資訊」,因為她寧願將她的位置盡可能保密。突然之間,news.example.com 上的所有內容都被鎖定,Alice 無法再觀看該網站上的影片或閱讀文章。這將違反 CCPA,因為 Alice 擁有不受歧視的權利——news.example.com 以什麼樣的價格向允許出售其資料的其他使用者提供什麼樣的服務,就必須以相同的價格向 Alice 提供同樣的服務。
CCPA 僅適用於加州居民的個人資料。但是,只要收集加州居民的資料,無論該組織的總部位於何處,都可能受到 CCPA 的約束。
CCPA 適用於在加利福尼亞州開展任何業務並符合以下描述之一的組織:
CCPA 不適用於非營利組織、政府機構或某些類型的金融機構——例如,加州居民無法透過要求收債機構刪除其個人資訊來避免償還債務。
CCPA 這樣定義「個人資訊」:
「『個人資訊』是指直接或間接識別、涉及、描述特定消費者或家庭或者能夠合理地與特定消費者或家庭相關聯的資訊。」
CCPA 還列出了許多被視為個人資訊的資料類型,包括:
完整的清單可以在《加州消費者隱私法案》第 1798.140 條中找到。
CCPA 還澄清,公開資訊(例如合法獲得的政府記錄中的資訊)不被視為個人資訊。
請注意,這種「個人資訊」的定義是 CCPA 獨有的。其他隱私框架(例如歐盟的《一般資料保護規定》(GDPR))使用其自己的定義。
除了這兩個隱私框架適用於不同地區之外,CCPA 和 GDPR 本身也並不相同。它們對詞彙的定義不同,對企業有不同的要求,並有不同的罰款和處罰結構。遵守 GDPR 並不能保證遵守 CCPA,反之亦然。
《健康保險流通與責任法案》(HIPAA) 是美國聯邦法律,用於規範醫療資料隱私和保護。CCPA 不適用於已受 HIPAA 監管的個人健康資訊。
「cookie」是網站在使用者存取網站時產生並傳送到使用者 Web 瀏覽器的一個小資訊檔案。一些 cookie 會收集使用者瀏覽歷程記錄、使用者搜尋歷程記錄或使用者與網站的互動。根據 CCPA,所有這些都被視為「個人資訊」。由於知情權,組織必須讓使用者知道他們透過 cookie 收集了哪些資料以及如何使用這些資料。
但是,與其他一些隱私框架不同的是,CCPA 不要求組織獲得使用者對 cookie 的同意。