《加州数据隐私保护法》即将生效 企业应如何应对？

正如美国企业在逐步接受欧盟“数据隐私安全法案”（GDPR）的理念一样，加州也通过了消费者隐私保护法案（CCPA），该法案将要求美国公司实施一系列类似的隐私保护计划，并为加州居民提供数据隐私权。该法将于2020年1月1日正式生效。南加州知名审判出庭律所，郑博仁联合律师事务所，华人服务团队，就针对包括新法适用对象及实施形式等，总结了以下内容，帮助企业提供合规的逐步指导。

企业必须遵守CCPA的规定？

除了下面讨论的一些例外情况，CCPA涵盖了为了商业目的而收集和销售消费者“个人信息”，或披露个人数据的各“业务”。

通过相关定义，“业务”是指在加州开展业务收集有关加州居民的个人信息的营利性法人实体。根据先前判例，加州开展该“业务”的角色，包括向加州居民出售商品或服务的公司，即使该公司并非实际位于加州。其在美国境外的应用可以显著扩大立法的影响。

并非所有业务都符合资格。要属于CCPA的范围，企业还必须满足以下叁个标准之一：
年收入超过2500万美元；或
拥有超过50,000个“消费者丶家庭丶或设备”的个人数据；或
销售消费者个人数据的年收入占一半以上。
至于什麽构成“个人信息”，被广义地定义为“与特定的加州居民或家庭直接或间接地识别丶关联丶描述丶能够与之相关或可能合理地相关联的信息”。“个人信息”的定义包括：
个人识别码，例如真实姓名丶别名丶邮政地址丶唯一个人识别码丶IP地址丶电子邮件地址丶帐户名称丶社会安全号码丶驾驶执照号码丶护照号码丶或其他类似标识符；
商业信息，包括个人财产丶产品或服务购买丶购得丶或关注丶或其他购买或消费历史或趋势的记录；
互联网或其他电子网络活动信息，包括但不限于浏览历史丶搜索历史丶和有关加州居民与其他互联网网站丶应用程序丶或广告的互动信息；
地理位置数据；
生物信息；
音频丶电子丶视觉丶热丶嗅觉丶或类似信息；
专业或就业相关信息；和
教育信息
“消费者”是指作为加州居民的自然人（因此不是法人实体，例如公司），其中包括州内除临时或暂时居留目的以外的所有个人，或者居住在该州但出于临时或暂时目的而在州外的每个人。这个定义相当广泛，这意味著该法涵盖了加州居民在其他州旅行时的情况。

例外

如果商业行为的每个方面都完全在加州以外的地方进行，CCPA规定的义务并不限制企业收集或出售消费者个人信息的能力。换句话说，如果企业收集在加州以外的消费者个人信息，则销售消费者个人信息的行为没有在加州发生，而当在消费者在加州时，没有任何被收集的个人信息被销售。

CCPA也不适用于受其他联邦法规约束的信息，包括医疗电子交换法案（HIPAA）；金融现代化法案（Gramm-Leach Bliley法案，或GLBA）；公平信用报告法（FCRA）；或者，驾驶员隐私保护法（DPPA），CCPA将适用于这些法律所涵盖的实体，在收集和处理有关消费者的其他个人信息的行为。

CCPA为消费者提供了哪些权利？

CCPA将为消费者提供新的权利，包括了解数据收集的透明度的权利丶免于商家骚扰的权利丶以及选择不出售其数据的权利（包括未成年人选择出售其数据的权利）。

虽然这些权利似乎与欧盟GDPR下数据受保护主体的权利大致相同，但存在一些重大差异，一个是GDPR的结构为选择退出机制，而不是GDPR相对复杂的选择加入机制。

CCPA的选择退出机制授予消费者以下权利：
有权知道他们的个人信息是否被收集；
要求企业向消费者披露所收集的任何个人信息以及使用个人信息的目的。
根据可验证的请求，要求企业披露特定类别信息的权利：
授予消费者权利，要求企业披露其收集个人信息的类别丶来源丶商业目的丶以及与之共享信息的第叁方信息。

有权知道个人信息的收集类别：
要求企业向消费者披露其所收集的任何个人信息，以及使用个人信息的目的。
授予消费者权利，要求企业披露其收集个人信息的类别丶来源丶商业目的丶以及与之共享信息的第叁方信息。

对出售个人信息说“不”的权利：
授权消费者选择退出企业销售个人信息的计划，并禁止企业歧视行使此权利的消费者，包括向选择退出的消费者收取费用，或向这些消费者提供不同质量的商品或服务，除非差异与消费者数据提供的价值合理相关。
禁止企业出售16岁以下消费者的个人信息，除非得到肯定的授权。
**出于CCPA目的，“出售”一词的定义很广泛，包括“出售丶出租丶发布丶披露丶传播丶提供丶转让，或以口头丶书面丶或通过电子或其他方式，出于经济利益考虑，一家企业向另一企业或第叁方提供的消费者个人信息的行为。”

删除其个人信息的权利：
授予消费者请求删除个人信息的权利，并要求企业在收到经过验证的请求后删除个人信息。

享有平等服务和价格的权利，即使他们行使其隐私权：
授权企业为收集个人信息提供财务奖励。

逐步合规

对于那些必须遵守GDPR的公司来说，遵守CCPA应该是轻而易举。但对于那些还没有实行的公司来说，仍然需要了解进一步的具体措施。以下是CCPA合规的一些关键步骤：

第1步：更新隐私声明及政策

根据2018年5月大量收到的“隐私政策更新”（GDPR合规）电子邮件，预计在2019年12月，企业将会迎来CCPA合规的另一波浪潮。

2003年“加州网络隐私保护法”已要求那些通过商业网站处理加州消费者个人信息的公司发布隐私声明，而必须遵守GPDR的公司需在2018年初向这些隐私声明添加其他法律要求的信息。

CCPA将要求“在收集信息时或之前”，公司必须向消费者发出声明，告知他们公司收集的个人信息类别，以及公司使用信息的目的。

声明还必须明确规定收集丶披露丶或出售的个人信息类别，并且消费者有权选择不出售其信息。

公司还需要更新其隐私政策，以包括对CCPA提供的其他新消费者权利的描述。

由于许多公司必须确定是否符合GDPR标准，在进行法律要求的政策更新之前，公司需要确定是否会为加州居民保留一份隐私声明，同时为其他消费者保留另一份隐私声明，或者制定一项普遍政策。

第2步：更新数据库存丶业务流程丶和数据策略

公司还必须维护数据清单，该数据清单本质上是一个跟踪其数据处理活动的数据库，包括业务流程丶第叁方丶产品丶设备丶和处理消费者个人数据的应用程序。

被要求符合GDPR标准的公司必须在其数据清单中添加以下内容：
确定数据使用是否包括“销售”信息；
确定哪些类别的个人信息被转移给第叁方；
确定HIPAA丶FCRA丶或其他将数据从CCPA的范围中豁免的法律，是否涵盖任何类别的个人信息；和
确定数据是否超过12个月前被收集而可能受到豁免。
数据库还必须保持最新，并能够跟踪所有消费者权利请求，例如跟踪经过验证的信息请求。

第3步：实施协议以确保消费者权利

如上文所述，CCPA要求企业需要采取措施去确保消费者权利。

获得声明的权利：虽然这不完全是才被授予的权利，但在企业从消费者处收集个人信息时或之前，公司必须通知消费者其收集信息的类别以及信息的使用目的。

访问权/请求权：在收到可验证的请求后，企业必须采取措施，向消费者免费披露和提供可通过电子邮件等方式传递的个人信息。如果以电子方式提供，则必须以便携的方式提供。另外，在技术上可行的范围内，以易于使用的格式提供，并允许消费者将个人信息无差别地传送给另一实体。企业可以随时向消费者提供个人信息，但不必在12个月内将信息提供给消费者两次以上。

（注意：如果企业没有出售或保留单次交易所收集的个人信息，或者以重新识别等其他方式链接未维护被视为个人信息的信息，则不要求企业保留以上信息）

知情权：消费者有权要求收集个人信息的企业披露以下信息：（1）收集的个人信息类别；（2）收集信息的来源；（3）收集或出售信息的商业目的；（4）与企业共享信息的第叁方类别；（5）企业所收集有关消费者的具体个人信息。

（注意：如果企业没有出售或保留单次交易所收集的个人信息，或者以重新识别等其他方式链接未维护被视为个人信息的信息，则不要求企业保留以上信息）

删除权：消费者有权在可验证的请求下，请求企业删除任何所收集的消费者个人信息。在收到此类请求后，企业必须删除该信息，并指示服务提供商从其记录中删除该信息，除非该业务或服务提供商需要：（1）计算收集的他人交易信息，提供消费者要求的商品或服务，或在企业与消费者的持续业务关系的背景下合理预期，或以其他方式履行企业与消费者之间的合同；（2）检测安全事件，防止恶意丶欺骗丶欺诈丶或非法活动，或起诉对该活动负责的人；（3）调试，以此识别和修复现有预期功能的错误；（4）行使言论自由，保障其他消费者行使言论自由的权利，或者行使法律规定的其他权利；（5）遵守加州电子通信隐私保护法；（6）为公共利益从事公共或同行的科学丶历史丶或统计研究；（7）根据消费者与企业的关系，单独实现与消费者期望合理一致的内部使用；（8）遵守法律义务；（9）在内部以合法方式使用消费者的个人信息，该信息与消费者提供信息的预期相符。

拒绝的权利：消费者有权选择拒绝企业出售个人信息。企业必须以消费者可合理获取的形式，提供在主页上明确且显眼的链接，标题为“拒绝销售我的个人信息”，使消费者能够选择拒绝个人信息的销售。在要求出售任何消费者个人信息之前，企业必须等待至少12个月。

如果企业销售消费者的信息，则消费者具有附加权利，可以请求企业向消费者披露：（1）企业收集的关于消费者个人信息的类别；（2）按销售信息参与第叁方的类别，按业务销售的消费者的信息类别，和销售该信息的第叁方类别；（3）企业为商业目的披露的有关消费者的信息类别。

这样，除非消费者已经收到明确的通知并且有机会选择拒绝，否则第叁方被禁止出售由企业出售给第叁方的消费者信息。

获得收益补偿的权利：企业可以向消费者收取不同的价格或费率，或向消费者提供不同级别或质量的商品或服务，如果该差异与提供给消费者的价值合理相关。企业可以提供补偿，包括信息收集丶销售个人信息丶或删除信息而支付给消费者的补偿。如果该价格或差异与消费者数据提供给消费者的价值直接相关，则企业还可以向消费者提供不同的商品或服务的价格丶水平丶或质量。如果企业提供收益奖励，则必须通知客户。只有当消费者在事先明确描述收益补偿计划重要条款的情况下，给予消费者可以随时撤销该企业的服务时，企业才可以将消费者纳入收益补偿计划。

不得歧视的权利：禁止企业歧视行使任何消费者权利的行为，包括：（A）拒绝向消费者提供商品或服务；（B）对商品或服务收取不同的价格或费率，包括使用折扣丶或其他收益丶或处以罚款; （C）向消费者提供不同水平或质量的商品或服务；或（D）告示消费者将收到不同的商品丶或服务价格丶或费率丶或级别丶或质量的商品或服务。

但是，禁止歧视并不禁止企业可以向消费者收取不同的价格或费率，或向消费者提供不同级别或质量的商品或服务，如果该差异与提供给消费者的价值合理相关。企业可以提供补偿，包括信息收集丶销售个人信息丶或删除信息而支付给消费者的补偿。如果该价格或差异与消费者数据提供给消费者的价值直接相关，则企业还可以向消费者提供不同的商品或服务的价格丶水平丶或质量。如果企业提供收益奖励，则必须通知客户。只有当消费者在事先明确描述收益补偿计划重要条款的情况下，给予消费者可以随时撤销该企业的服务时，企业才可以将消费者纳入收益补偿计划。

消费者可以行使以下权利：（1）要求企业提供有关业务收集的及其对信息的处理方式的信息；（2）要求企业删除所收集的任何个人信息；（3）不得歧视，企业必须向消费者提供至少两种指定的提交信息请求的方法，包括至少一个免费电话号码。如果企业有网站，必须提供网站地址。

企业还必须确保其已制定协议，以便在收到可验证的请求后45天内免费响应此类请求。

此信息必须在企业的在线隐私政策或任何加州特定的消费者隐私权描述中披露，且信息必须至少每12个月更新一次。

这是在应用程序中应当展示的内容：

• 确保数据清单是最新的，并包含所有必需的信息，其中包括业务记录系统和记录集，作为所有CCPA用途的权威数据集；
• 更新所有相关政策，包括任何加州有关消费者隐私权的描述；
• 更新政策以提供数据请求服务，包括免费电话号码或网站地址；
• 确定记录消费者请求的过程，该过程必须包括用于验证请求的协议，及时响应请求，实现“停止销售信息”指令；并否认不正当或不合时宜的要求；
• 培训处理消费者对企业相关隐私政策和程序的要求的员工，以确保及时处理丶响应丶监控丶和更新数据库存；
• 随著新的消费者信息的收集和删除，确保数据库存流程保持最新；
• 确保选择不出售其信息的消费者在退出选择的12个月之前不会被要求重新同意
• 每12个月需要更新所有相关隐私政策。

第4步：进行安全更新

CCPA要求相关企业“合理”地保护个人数据。在实践中，公司采取基于风险的标准来解决对个人数据的机密性丶完整性和可用性的威胁。公司应当评估数据威胁，对检测到的漏洞的风险进行排名，并首先解决高风险漏洞。对于少数公司而言，解决高风险的成本是惊人的，有些公司选择不减轻某些中等风险。

第5步：更新第叁方处理器协议

为了遵守CCPA，雇佣其他公司处理其数据的企业需要更新其第叁方合同，包括准入标准合同条款语言；要求供应商提供数据清单；使用广泛的调查问卷；提供处理记录；需要同步消费者响应流程；要求现场评估和审核；并要求反映与每个第叁方共享的特定数据元素，包括指定那些有资格被“销售”的数据转移行为。

对于那些支付费用获取信息的第叁方，他们需要设计另外的流程，以满足拒绝被销售并提供删除数据的请求的消费者。

第6步：培训

CCPA要求服务于消费者的员工了解所有询问要求。由于可能受到处罚的严重性，此培训应当得到保障，并应进行额外的员工培训。

处罚

CCPA通常由***长强制执行，但在未经授权的访问和泄露丶盗窃丶或披露未加密或未编辑的个人信息的情况下，它规定了私人诉讼权利。

如果由于安全措施合理性失败，而导致“未加密或未编辑”的消费者信息受到损害，则消费者可以对损害提起法律诉讼，每次违规赔偿金额为100至750美元，或实际损失金额，以较大者为准。

所有其他处罚将由***长推动，***长可能会针对公司安全措施的合理性发出强制令，但***长也负责追究法定处罚，每次违规处罚可达7,500美元。