您需要知道WordPress CCPA合規性的一切

確切地說，新的隱私法已於2020年1月1日生效，每個人都在爭先恐後地實施合規。聽起來有點熟？如果您感到似曾相識，請不要擔心，我們也記得GDPR。

雖然GDPR是保護歐盟公民隱私權的總體法律，但這項新法律關注的是加利福尼亞州居民的隱私權。請允許我們向您介紹2018年加州消費者保護法 (CCPA)，該法律旨在為加州人提供對其個人資訊的更多控制權。

在本指南中，我們將引導您完成以下操作：

• CCPA的簡要概述、其目標及其提供的權利
• CCPA適用於誰
• 不遵守CCPA的後果
• 有關如何使您的WordPress網站符合CCPA的提示
• CCPA合規的有用工具

請注意，本指南僅供參考，不應被視為法律建議。

什麼是CCPA？

CCPA是一項隱私法，於2018年6月28日通過。該法律的一個版本最初是作為房地產開發商2017年11月全州投票的一項倡議而引入的。開發商向加州立法機構提出了一項協議，即如果通過類似的隱私法，他將撤回他的選票（這對企業來說相當苛刻）。

立法機關在總共7天內介紹、修改並通過了他們的CCPA版本。此後，該法律又被修改了幾次，加州總檢察長也釋出了旨在澄清這項新法律要求的法規。您可以在此處找到CCPA的全文，以及通過的修正案，以及在此處提出的法規。

根據立法者的說法，CCPA獲得通過是因為：

1. 技術的發展限制了加州人適當保護和維護其隱私的能力
2. 加利福尼亞州的法律沒有跟上消費者與企業分享越來越多的個人資訊這一事實的步伐
3. 未經授權的個人資訊披露和隱私的喪失可能對人們造成毀滅性的影響
4. Cambridge Analytica醜聞增加了對隱私控制和資料實踐透明度的渴望。

最後，很明顯，人們渴望隱私和對自己資訊的更多控制，而CCPA的通過就是為了滿足這種願望。與GDPR類似，CCPA通過向消費者提供某些權利來滿足這一願望，在這種情況下，向加利福尼亞居民提供某些權利。這些權利如下：

1. 知道正在收集關於他們的哪些個人資訊的權利
2. 知道他們的個人資訊是否被出售或披露以及向誰披露的權利
3. 拒絕出售其個人資訊的權利
4. 要求刪除其個人資訊的權利
5. 訪問其個人資訊的權利
6. 平等服務和價格的權利，即使他們行使其隱私權

CCPA適用於誰？

隱私法中棘手的，有時也是最令人困惑的部分是弄清楚它們是否適用於您的業務。制定隱私法是為了保護特定州或國家的居民或公民的個人資訊，而不是企業。

這意味著加州以外的企業可能仍需遵守該法律。CCPA適用於“企業”，該企業被定義為在加利福尼亞州開展業務並滿足以下門檻之一的營利性法律實體：

1. 年總收入超過25,000,000美元
2. 每年出於商業或商業目的購買或接收、出售或共享50,000名或更多加利福尼亞消費者、家庭或裝置的個人資訊或
3. 其50%或更多的年收入來自出售加州消費者的個人資訊。

如果您認為CCPA在技術上僅適用於大公司，那您是部分正確的。由於個人資訊銷售的定義非常廣泛，CCPA合規性的很大一部分是供應商的管理。

這意味著，如果您與大型企業開展業務或充當其供應商，他們可能會要求您通過合同遵守CCPA 。所以，如果你是一家不符合上述門檻的小公司，你可能還是需要注意並遵守這些要求。

此外，如果您為需要遵守CCPA的大型公司設計網站，則需要注意，該法律將影響您設計這些網站的方式。

不遵守CCPA的後果是什麼？

CCPA通常由加州總檢察長執行。違規罰款為每次違規2,500美元或每次故意違規罰款7,500美元。“每次違規”通常被理解為是指您侵犯了其隱私權的每個人。

因此，如果您有100名來自加利福尼亞的網站訪問者並且沒有合規的隱私政策，您的罰款可能高達250,000美元。很容易看出這是如何膨脹成一個非常大的數字。

如果您必須僅通過合同遵守CCPA，則不遵守的後果可能是失去該客戶或業務關係。如果您必須建立一個符合CCPA的網站，不合規的後果可能意味著您的客戶會被罰款，您會被起訴作為回報或差評，從而損害您的網頁設計業務。

如何為CCPA準備WordPress網站

如果您的WordPress網站需要符合CCPA，我們將引導您完成一些可以採取的步驟，以確保您符合CCPA。您為CCPA做準備的步驟可能包括：

• 聘請隱私律師
• 瞭解您收集的個人資訊
• 瞭解您從哪些來源收集此個人資訊
• 建立“不要出售我的個人資訊”頁面
• 建立隱私宣告
• 建立隱私政策

如果這一切看起來像很多工作，那就是。不過不用擔心，我們還會為您提供一些我們最喜歡的工具和資源，您可以使用它們來幫助您做好準備。

聘請隱私律師

您很快就會看到，遵守CCPA有很多內容。至少可以說，法律和法規可能難以解釋。

如果您不確定自己的正確道路，您應該聘請一位專門研究隱私的律師，因為他們能夠為您指明正確的方向，並針對您的具體情況為您提供有價值的建議。

如果您不確定該選擇哪位律師，請檢視國際隱私專業人員協會 在隱私領域工作的律師事務所名單。

瞭解您收集的個人資訊

CCPA要求您告訴消費者您收集的個人資訊類別。您應該瀏覽您的網站並建立一個列表。

檢視您的所有頁面和您使用的所有表格，包括聯絡表格、訂閱登錄檔單、帳戶建立表格、評論提交表格、結帳表格以及您可能使用的任何其他表格及其相關聯外掛。

例如，如下所示，WordPress中用於提供部落格文章評論的預設表單收集姓名和電子郵件：

評論表示例

此外，將您從任何其他來源收集的個人資訊列表放在一起。想想分析軟體、Hotjar、電子商務結賬頁面或WordPress註冊頁面上的資訊，以及類似的。

然後，將您從這些表格中收集的個人資訊分類，以便消費者輕鬆瞭解您收集的個人資訊。個人資訊類別的示例包括：

1. 識別資訊
2. 財務資訊
3. 商業資訊
4. 生物特徵資訊
5. 網際網路活動資訊和
6. 地理位置資訊

瞭解您從哪些來源收集這些個人資訊

CCPA要求您披露您從哪些來源收集個人資訊。來源示例包括：

1. 直接來自消費者
2. 調查
3. 跟蹤畫素
4. 觀察和記錄活動，例如通過使用cookie和
5. 資料經銷商

瞭解您是否向第三方披露個人資訊

CCPA要求您披露您是否向第三方披露個人資訊。當被問及他們是否共享資料時，大多數人最初的回答是略帶冒犯的“不”。

花一些時間，真正考慮一下您與您的網站進行了哪些整合。

通訊訂閱是否直接使用MailChimp等電子郵件營銷工具？

表單提交是否會登入到HubSpot 等客戶關係管理工具？

每當您收到表單提交時，您的Web開發人員是否會收到警報？

如果是這樣，您正在與第三方共享資料，您需要披露該資料。

建立一個不要出售我的個人資訊頁面

如果您出售加州消費者的個人資訊，您需要有一個標題為“請勿出售我的個人資訊”或“請勿出售我的資訊”的網頁。此網頁需要包含以下資訊：

1. 描述消費者選擇不出售其個人資訊的權利
2. 消費者可以提交退出請求的網路表單
3. 消費者可以提交退出請求的任何其他方法的說明
4. 指向您的隱私政策的連結
5. 消費者想要指定授權代理人代表他們提交退出請求時所需的任何證明

下面，您可以看到一個網站主頁頁尾示例，其中包含指向“請勿出售我的個人資訊”頁面的超連結。

“請勿出售我的個人資訊”頁面示例

建立隱私宣告

CCPA要求您在收集個人資訊時向加州消費者提供隱私宣告。

請注意，CCPA不要求消費者同意收集個人資訊，這與我們在GDPR中看到的要求大相徑庭。

隱私宣告就像一個迷你隱私政策：它提供了關於收集哪些個人資訊、將用於什麼以及其他披露的快速而簡明的解釋。

通知必須以易於閱讀的方式設計並呈現給消費者，並且必須為普通人所理解。該通知必須：

1. 使用簡單明瞭的語言，避免使用技術或法律術語
2. 使用能夠吸引消費者注意通知並使通知可讀的格式，包括在較小的螢幕上
3. 以您向消費者提供合同、免責宣告、銷售公告或其他資訊時使用的語言提供
4. 殘障消費者可以使用

您的隱私宣告必須包含以下資訊：

1. 您從消費者那裡收集的個人資訊類別列表。您列出的每個類別都必須讓消費者對所收集的個人資訊有一個有意義的瞭解
2. 對於每一類資訊，其將用於的商業或商業目的
3. 如果您出售個人資訊，標題為“請勿出售我的個人資訊”或“請勿出售我的資訊”的連結。此連結應指向一個網頁，消費者可以在該網頁上行使拒絕出售個人資訊的權利

如果您不想建立隱私宣告，您只需在收集個人資訊時向消費者提供指向您的隱私政策的連結。以下是加州特定隱私宣告的示例。

加利福尼亞特定的隱私宣告

建立隱私政策

CCPA還要求您制定隱私政策。隱私政策的目的是向消費者提供關於您收集、使用、披露和銷售個人資訊的做法以及消費者根據CCPA獲得的隱私權的完整描述。

隱私政策必須滿足與隱私宣告相同的可讀性、格式、可用性和可訪問性要求。

但是，隱私政策還必須以允許消費者輕鬆列印出來的其他格式提供。隱私政策必須通過在您網站主頁上使用“隱私”一詞的顯眼連結釋出在您的網站上。

您的隱私政策必須包含以下資訊：

1. 根據CCPA對加州消費者權利的描述
2. 消費者可以提交行使權利的請求的一種或多種方法。如果您出售個人資訊，請提供指向您的“請勿出售我的個人資訊”或“請勿出售我的資訊”頁面的連結，消費者可以在其中行使拒絕出售其個人資訊的權利
3. 您在過去12個月內收集的個人資訊類別列表
4. 您收集個人資訊的來源類別列表
5. 您使用個人資訊的商業或商業目的
6. 您在過去12個月內出售的個人資訊類別列表以及您向其出售該個人資訊的第三方類別列表。如果您沒有出售任何個人資訊，那麼您必須披露該事實
7. 您在過去12個月內披露的個人資訊類別列表以及您向其披露此個人資訊的第三方類別列表。如果您沒有披露任何個人資訊，那麼您必須披露該事實
8. 消費者如何指定授權代理人代表他們提出行使隱私權的請求；
9. 消費者可以聯絡到的任何問題或疑慮的聯絡人
10. 隱私政策的最後更新日期
11. 如果您每年出售4,000,000或更多加州消費者的個人資訊，您還需要包括額外的披露

可以幫助您遵守CCPA的工具和資源

所有這些合規性和披露要求似乎都令人生畏。幸運的是，您可以使用很多有用的工具來為您的網站和業務做好準備：

Termageddon

Termageddon

Termageddon：一種軟體即服務，可生成為您的業務定製的隱私政策。每當法律發生變化時，我們都會更新客戶的隱私政策，以確保您的政策始終保持最新。

CCPA Toll Free

CCPA Toll Free

CCPA Toll Free：CCPA要求一些企業提供免費電話號碼，作為消費者行使隱私權的方法之一。CCPA免費電話可幫助您滿足該要求。

Orrick’s CCPA Readiness Assessment

Orrick’s CCPA Readiness Assessment

Orrick’s CCPA Readiness Assessment：該工具通過詢問您簡單的“是”或“否”問題，幫助您瞭解您為CCPA準備的充分程度。您還可以將此工具用作一種準備清單。

CCPA Opt-Out by CookiePro

CCPA Opt-Out by CookiePro外掛

CCPA Opt-Out：此外掛允許您自定義並向您的網站新增“不銷售按鈕”。

IAPP

IAPP

IAPP：國際隱私專家協會是世界上最大的隱私組織。檢視他們的網站，瞭解不斷更新的隱私新聞、資源和供應商列表。

小結

雖然CCPA沒有GDPR那樣廣泛的應用，但它仍然是一個非常重要的問題，不應掉以輕心。

CCPA在美國確實是首創，其他州現在都在效仿加利福尼亞。事實上，截至2019年底，已有九個州提出了自己的隱私法案。

這些法案要麼引用CCPA作為靈感，要麼實際上是CCPA的完整副本。很明顯，CCPA為更多隱私法規鋪平了道路，並且線上隱私合規要求不會很快消失。