什么是《加州消费者隐私法案》(CCPA)？

在数字世界中，营销人员将消费者数据视为新的黄金，并认识到其巨大的潜在价值。然而，尽管企业希望挖掘这些数据，但一场声势不断壮大的权利保护行动却坚持认为，对于企业掌握的消费者数据以及生成的相关研究性信息，是否能够被使用或应如何使用，消费者应该拥有发言权。

在加利福尼亚州，通过 CCPA 立法，这一行动的目标已经转化为法律。通过为加利福尼亚州执行数据隐私法律法规提供一个有效框架，该法案为消费者权益和网络安全提供了有力的支持。它为加利福尼亚州居民提供了实现私人诉讼权的途径，以寻求对数据泄露的法律追索。

CCPA 准则旨在为加州消费者提供一套明确涉及个人数据隐私的权利，并为他们提供合理的安全保障。这些权利包括加州居民可以就其客户数据提出消费者要求。这些要求包括如何：

• 通过发布所谓的“不要出售我的个人信息”指令，防止将其个人信息出售给第三方公司（即“防止转售权”）
  

• 索要已收集的任何个人信息数据（即“取用权”）
  

• 要求删除所有收集到的有关该消费者的数据（即“被遗忘权”）

加利福尼亚州隐私保护局确保加利福尼亚州居民也能得到保护，并在出现影响到他们的数据变更时收到适当的通知。此外，它还强制执行反歧视规则，即个人不得因为选择行使这些权利而受到压制或其他惩罚。

尽管大多数消费者对“个人数据”的含义有一个大致的了解，但这个词对不同的人来说可能有不同的含义，而且其涵盖的内容比最初想象的要多得多。

在 CCPA 中，个人数据被定义为“识别、涉及、描述特定消费者或家庭，能够合理地与特定消费者或家庭直接或间接关联或合理关联的信息”。¹

CCPA 准则涵盖以下个人数据的具体示例：

• 姓名名称

• 地址

• *电话号码

• *电子邮件地址

• IP 地址

• 出生日期

• 社会保障号码

• 驾驶执照号码

• 护照号码

• 银行账户信息

• 信用卡或借记卡号码

• 教育数据和证书

营销人员发现，通过数据分析将各类信息整合起来后，个人数据会变得更有价值。相关人员可使用该视图创建特定消费者或消费者群组的复合视图。例如，它们还可对消费者营销趋势做出更广泛的推断。常规收集的其他某些形式的 PI 同样会透露个人特征，包括：

• 消费者购物偏好

• 个人浏览历史

• 明确的个人态度

• 特定的个人行为

另一个值得关注的领域涉及 Cookie 以及网站如何将其用作唯一标识符。其中包括第一方 Cookie，其设计目的是在其商业目的达成后自行删除。此外，还有不会自动删除的第三方 Cookie。第三方 Cookie 具备收集各种个人数据的功能，包括敏感的个人信息。

由于网站可能滥用第三方 Cookie，CCPA 认为通过使用 Cookie 在网站上收集的数据属于 PI，因此需要加以保护。

大多数受影响的组织并不是将 CCPA 合规视为一个步骤，而是将其视为一个过程。 该过程的第一部分通常涉及消费者心态的转变，并意识到他们的隐私需求很重要并且确实具有可执行的权利。

保持 CCPA 合规涉及通过为加州消费者提供管理个人数据清单的选项（包括选择加入选项）来维护他们的权益。 这还意味着跟上 CCPA 的任何演变，以便跟上新技术（例如生物识别技术）和 CCPA 政策的修订。

实现 CCPA 合规涉及一系列步骤，可能需要六个月甚至一年的时间才能完全实现。尽管如此，每个人在实现 CCPA 合规方面都发挥着至关重要的作用。（由于某些合规要求可能要同时进行，因此使用步骤的项目符号而不是数字。）

第一步是准确了解收集了哪些消费者数据，并对各个位置进行编目。这些数据既涉及从公司外部消费者收集的“外部”消费者数据，也涉及从公司员工和求职者收集的“内部”消费者数据。

必须保证安全存储收集的所有个人数据，无论这些数据来自消费者还是求职者。 此外，还有关于保护所收集的未成年人信息的附加条款。

应向所有消费者（甚至公司员工和求职者）发出“收集通知”声明。 重要的是，此隐私声明应在在数据收集活动开始之前或开始之时传达，而不能在数据收集活动开始之后。

现在，大多数组织都为其公司制定了详细的数据隐私政策，并在其网站上发布。

配置有效且及时的方法来处理与消费者信息相关的任何请求也很重要。

应制定和实施数据最小化规则，以确保组织仅收集实现给定目的所需的最少量 PI。组织还应考虑如果收集的数据发生泄露可能对消费者造成的危险，并采取适当的预防措施（例如，在使用后自动删除收集的数据）。

实现合规的一个关键方面是确保公司经理和所有员工了解 CCPA 要求，特别是直接影响其工作内容的要求。 可通过培训课程和网络研讨会实现信息更新。

法律和法规经常会进行更改和修订。 （CCPA 本身在 2023 年重新发布之前也经历了此类修订。） 因此，应及时了解 CCPA 的最新变化。

数据经纪（PI 的买卖）是一项蓬勃发展的业务，专家预计 2021 年全球这一业务的估值将达到 2400 亿美元。 预计到这个十年末，这一金额将增加近一倍，激增至 4500 亿美元以上。²

任何像数据一样有价值的东西都必须得到严格保护。因此，对于违反 CCPA 的公司，加州隐私保护局 (CPPA) 有权加以处罚。CCPA 的处罚上限较低：对于非故意违规，处罚为 2,500 美元；对于故意违规，处罚为 7,500 美元。值得注意的是，这些 CCPA 处罚仅适用于单一违规行为，例如涉及一人的数据泄露。

但现实情况是，数据泄露很少涉及单个受影响方。 相反，更典型的是涉及数千甚至数十万消费者的大规模事件。 因此，如果将 CCPA 可能的罚款乘以大量加州居民，很快就会计算出巨额罚款。

CCPA 确实为违规公司提供了一种免于支付巨额罚款的方法，即给予违规公司 30 天的宽限期来纠正他们所犯的错误。如果违规公司能够加强安全措施并在一个月内“解决”问题，则可以免除罚款。显然，公司在经济上有义务对此类违法行为进行补救，但在某些情况下则可能是困难甚至不可能的。这是因为数据泄露等犯罪行为通常涉及无法逆转的数据泄露。

CCPA 管辖的范围不断扩大和发展，以跟上科技的爆炸性增长，例如物联网 (IoT)。

例如，CPPA 最近宣布了一个新的关注点—带有数据收集机制的“联网”车辆 (CV)。现代车辆可以收集有关驾驶员的大量信息和地理位置数据，并能传输这些数据。加州有 3,500 多万辆注册车辆，因而是一项艰巨的任务。但 CPPA 执行主任表示，这是一个需要关注的需求。

“现代车辆实际上是车轮上的联网计算机，”Ashkan Soltani 在 2023 年 7 月表示。 “它们能够通过内置应用程序、传感器和摄像头收集大量信息，这些信息可以监控车辆内部和附近的人员。”³

“车辆附近”一词值得注意。这意味着不仅会保护驾驶员的数据，乘坐该车的任何人员以及在车辆附近行走的人员的数据也会受到保护。车辆上的车载摄像头可捕捉这些人员的瞬间图像。

该公告似乎也很重要，因为它表明 CCPA 正利用其权限保护通过 IoT 生成的个人数据；在本例中，此数据为来自联网车辆的个人数据。如果公告表明，一家机构打算在未来几年对越来越多涉及物联网相关事务的案件进行裁决，那么这一公告可能会更加重要。

欧盟 (EU) 于 2018 年 5 月颁布《通用数据保护条例》(GDPR) 时，推出了尽可能积极主动的框架来保护个人和/或消费者信息。 CCPA 已成为美国境内最严格的数据隐私政策。 因此，一些观察者想知道这两个标准的异同。

在大多数方面，这两个标准是同出一辙。 GDPR 和 CCPA 均：

• 是出于保护和赋予公民个人权力的本能
  

• 如果收集到的数据有错误，则消费者有权利反对所收集的数据并要求更正数据
  

• 赋予消费者访问其个人信息、迁移信息或（如果他们选择这样做）永久删除其个人信息的权利
  

• 要求在所收集数据的安全性遭到破坏时，亲自通知消费者

二者也存在差异。GDPR 有跨境传输要求，而这对仅适用于加州的 CCPA 是不需要的。CCPA 对 PI 的销售有限制，而 GDPR 则没有。

尽管如此，GDPR 和 CCPA 之间的相似之处多于不同之处。这两个标准都面临着第三方风险的挑战。当一家公司实际上将个人数据管理外包给外部公司时，就会出现该挑战。然后，该第三方公司必须做好准备并在法律上能为 PI 承担基于 CCPA 的相同责任。这些责任与原始公司在最初收集或购买相关数据后承担的责任相同。CCPA 和 GDPR 都要求公司共享与之共享信息的第三方类别，他们与每个第三方共享的信息以及原因。

GDPR 和 CCPA 还有另一个重要的共同之处，即能够对违反规定的服务提供商和其他公司进行经济处罚。最近，它们以迄今为止最高的数据隐私处罚戏剧性地展示了这一能力。

2023 年 5 月，爱尔兰数据保护委员会 (DPC) 对 Meta（原名 Facebook）处以创纪录的 12 亿欧元（约合 13 亿美元）罚款。这笔罚款是因为其在包括 Instagram 在内的美国业务中非法使用欧洲数据。