《加州消费者隐私法案》(CCPA) 是 2020 年颁布的一项加州法律,旨在保障和执行加州民众在消费者个人信息 (PI) 隐私方面的权利。
订阅 IBM 时事通讯
CCPA 准则旨在为加州消费者提供一套明确涉及个人数据隐私的权利,并为他们提供合理的安全保障。这些权利包括加州居民可以就其客户数据提出消费者要求。这些要求包括如何:
通过发布所谓的“不要出售我的个人信息”指令,防止将其个人信息出售给第三方公司(即“防止转售权”)
索要已收集的任何个人信息数据(即“取用权”)
要求删除所有收集到的有关该消费者的数据(即“被遗忘权”)
感谢加州隐私保护局(California Privacy Protection Agency),加州居民还享有其他保护权利,即确保在发生影响居民的数据变更时他们会收到适当的通知,以及反歧视规则,规定个人不能因为选择行使这些权利而受到压制或其他惩罚。
尽管大多数消费者对“个人数据”的含义有一个大致的了解,但这个词对不同的人来说可能有不同的含义,而且其涵盖的内容比最初想象的要多得多。
在 CCPA 中,个人数据被定义为“识别、涉及、描述特定消费者或家庭,能够合理地与特定消费者或家庭直接或间接关联或合理关联的信息”。1
CCPA 准则涵盖以下个人数据的具体示例:
姓名名称
地址
*电话号码
*电子邮件地址
IP 地址
出生日期
社会保障号码
驾驶执照号码
护照号码
银行账户信息
信用卡/借记卡号码
教育数据和证书
例如,当每种类型的信息可以通过数据分析进行组合,用于创建特定消费者或消费者群体的综合视图,并对消费者营销趋势做出更广泛的推断时,个人数据对营销人员来说变得更有价值。 常规收集的其他一些形式的 PI 同样会透露个人特征,包括:
消费者购物偏好
个人浏览历史
明确的个人态度
特定的个人行为
另一个值得关注的领域涉及 Cookie 以及网站如何将其用作唯一标识符。 这包括第一方 Cookie(其设计目的是在其商业目的达成后自行删除)以及第三方 Cookie(不会自行删除,并且具有收集各种类型的个人数据的功能,包括敏感的个人信息)。
由于网站可能滥用第三方 Cookie,CCPA 认为通过使用 Cookie 在网站上收集的数据属于 PI,因此需要加以保护。
大多数受影响的组织并不是将 CCPA 合规视为一个步骤,而是将其视为一个过程。 该过程的第一部分通常涉及消费者心态的转变,并意识到他们的隐私需求很重要并且确实具有可执行的权利。
保持 CCPA 合规涉及通过为加州消费者提供管理个人数据清单的选项(包括选择加入选项)来维护他们的权益。 这还意味着跟上 CCPA 的任何演变,以便跟上新技术(例如生物识别技术)和 CCPA 政策的修订。
实现 CCPA 合规涉及一系列步骤,可能需要六个月甚至一年的时间才能完全实现。 尽管如此,每个人在实现 CCPA 合规方面都发挥着至关重要的作用。 (由于某些合规要求可能要同时执行,因此用项目符号而不是数字表示步骤。)
第一步是准确了解收集了哪些消费者数据,并对各个位置进行编目。 这既涉及从公司外部消费者收集的“外部”消费者数据,也涉及从公司员工和求职者收集的“内部”消费者数据。
必须保证安全存储收集的所有个人数据,无论这些数据来自消费者还是求职者。 此外,还有关于保护所收集的未成年人信息的附加条款。
应向所有消费者(甚至公司员工和求职者)发出“收集通知”声明。 重要的是,此隐私声明应在在数据收集活动开始之前或开始之时传达,而不能在数据收集活动开始之后。
现在,大多数组织都为其公司制定了详细的数据隐私政策,并在其网站上发布。
配置有效且及时的方法来处理与消费者信息相关的任何请求也很重要。
应制定和实施数据最小化规则,以确保组织仅收集实现给定目的所需的最少量 PI。 组织还应考虑如果收集的数据发生泄露可能对消费者造成的危险,并采取适当的预防措施(例如,在使用后自动删除收集的数据)。
实现合规的一个关键方面是确保公司经理和所有员工了解 CCPA 要求,特别是直接影响其工作内容的要求。 可通过培训课程和网络研讨会实现信息更新。
法律和法规经常会进行更改和修订。 (CCPA 本身在 2023 年重新发布之前也经历了此类修订。) 因此,应及时了解 CCPA 的最新变化。
数据经纪(PI 的买卖)是一项蓬勃发展的业务,专家预计 2021 年全球这一业务的估值将达到 2400 亿美元。 预计到这个十年末,这一金额将增加近一倍,激增至 4500 亿美元以上。2
任何像数据一样有价值的东西都必须得到严格保护。 因此,对于违反 CCPA 的公司,加州隐私保护局 (CPPA) 有权加以处罚。 虽然 CCPA 的处罚上限相对较低(对于非故意违规,处罚为 2,500 美元,对于故意违规,处罚为 7,500 美元),但值得注意的是,这些 CCPA 处罚仅适用于单一违规行为,例如涉及一人的数据泄露。
但现实情况是,数据泄露很少涉及单个受影响方。 相反,更典型的是涉及数千甚至数十万消费者的大规模事件。 因此,如果将 CCPA 可能的罚款乘以大量加州居民,很快就会计算出巨额罚款。
CCPA 确实为违规公司提供了一种免于支付巨额罚款的方法,即给予违规公司 30 天的宽限期来纠正他们所犯的错误。 如果违规公司能够加强安全措施并在一个月内“解决”问题,则可以免除罚款。 显然,公司有经济上的义务来纠正此类违规行为,但考虑到此类违规行为通常涉及无法逆转的数据泄露,因此加以纠正在某些情况下可能很困难甚至不可能。
CCPA 管辖的范围不断扩大和发展,以跟上科技的爆炸性增长,例如物联网 (IoT)。
例如,CPPA 最近宣布了一个新的关注点——带有数据收集机制的“联网”车辆 (CV)。 现代车辆可以收集有关驾驶员的大量信息和地理位置数据,并能传输这些数据。 考虑到加州有 3500 多万辆注册车辆,这是一项艰巨的任务。 但 CPPA 执行主任表示,这是一个需要关注的需求。
“现代车辆实际上是车轮上的联网计算机,”Ashkan Soltani 在 2023 年 7 月表示。 “它们能够通过内置应用程序、传感器和摄像头收集大量信息,这些信息可以监控车辆内部和附近的人员。”3
“车辆附近”一词值得注意,因为它意味着不仅驾驶员的数据受到保护,任何可能乘坐该车的人,甚至只是在车辆附近行走且其瞬间图像被车载摄像头捕捉到的个人,他们的数据都受到保护。
这一公告似乎也很重要,因为在公告中,CCPA 的权力被用来保护通过物联网生成的个人数据,在本例中是来自联网车辆的数据。 如果公告表明,一家机构打算在未来几年对越来越多涉及物联网相关事务的案件进行裁决,那么这一公告可能会更加重要。
欧盟 (EU) 于 2018 年 5 月颁布《通用数据保护条例》(GDPR) 时,推出了尽可能积极主动的框架来保护个人和/或消费者信息。 CCPA 已成为美国境内最严格的数据隐私政策。 因此,一些观察者想知道这两个标准的异同。
在大多数方面,这两个标准是同出一辙。 GDPR 和 CCPA 均:
是出于保护和赋予公民个人权力的本能
如果收集到的数据有错误,则消费者有权利反对所收集的数据并要求更正数据
赋予消费者访问其个人信息、迁移信息或(如果他们选择这样做)永久删除其个人信息的权利
要求在所收集数据的安全性遭到破坏时,亲自通知消费者
二者也存在差异。 GDPR 有跨境传输要求,而这对仅适用于加州的 CCPA 是不需要的。CCPA 对 PI 的销售有限制,而 GDPR 则没有。
尽管如此,GDPR 和 CCPA 之间的相似之处多于不同之处。 这两个标准都必须解决棘手的第三方风险问题,即一家公司实际上将其个人数据管理外包给了外部公司。 如果是这种情况,第三方公司必须做好准备,并且在法律上能够承担原始公司在最初收集或购买相关数据后所承担的基于 CCPA 的 PI 责任。CCPA 和 GDPR 都要求公司共享与之共享信息的第三方类别,他们与每个第三方共享的信息以及原因。
GDPR 和 CCPA 还有另一个重要的共同之处,即能够对违反规定的服务提供商和其他公司进行经济处罚。 这一点最近以一种戏剧性的方式得到了体现,这是迄今为止最高的数据隐私罚款。
2023 年 5 月,爱尔兰数据保护委员会 (DPC) 对 Meta(原名 Facebook)处以创纪录的 12 亿欧元(约合 13 亿美元)罚款,原因是 Meta 在其包括 Instagram 在内的美国业务中非法使用欧洲数据。
自动执行合规审计和报告,发现数据和数据源并加以分类,近乎实时监控用户活动并应对威胁。Guardium® Insights 通过帮助发现有关敏感数据的异常活动并降低暴露风险,支持现代的零信任数据安全方法。
获得更清晰的可见性和敏锐的洞察力,帮助您调查和应对网络威胁。 近乎实时地执行安全策略和访问控制,快速满足监管合规需求。
基于零信任原则和经过验证的数据隐私保护,采用整体、自适应的数据隐私方法,提供值得信赖的客户体验并发展您的业务。借助 IBM 数据隐私解决方案,您可以加强数据隐私保护、建立客户信任并发展您的业务。
脚注
1 “4 Types of Personal Data Under the California Consumer Privacy Act (CCPA),” Eric Andrews, securiti website(链接位于 ibm.com 外部)
2 “Data Brokers Market Outlook 2031,” Data Brokers Market, Transparency Market Research website (链接位于 ibm.com 外部)
3 “CPPA to Review Privacy Practices of Connected Vehicles and Related Technologies,” reported 23 July 2023 on California Privacy Protection Agency website (链接位于 ibm.com 外部)