确切地说,新的隐私法已于2020年1月1日生效,每个人都在争先恐后地实施合规。听起来有点熟?如果您感到似曾相识,请不要担心,我们也记得GDPR。
虽然GDPR是保护欧盟公民隐私权的总体法律,但这项新法律关注的是加利福尼亚州居民的隐私权。请允许我们向您介绍2018年加州消费者保护法 (CCPA),该法律旨在为加州人提供对其个人信息的更多控制权。
在本指南中,我们将引导您完成以下操作:
请注意,本指南仅供参考,不应被视为法律建议。
什么是CCPA?
CCPA是一项隐私法,于2018年6月28日通过。该法律的一个版本最初是作为房地产开发商2017年11月全州投票的一项倡议而引入的。开发商向加州立法机构提出了一项协议,即如果通过类似的隐私法,他将撤回他的选票(这对企业来说相当苛刻)。
立法机关在总共7天内介绍、修改并通过了他们的CCPA版本。此后,该法律又被修改了几次,加州总检察长也发布了旨在澄清这项新法律要求的法规。您可以在此处找到CCPA的全文,以及通过的修正案,以及在此处提出的法规。
根据立法者的说法,CCPA获得通过是因为:
- 技术的发展限制了加州人适当保护和维护其隐私的能力
- 加利福尼亚州的法律没有跟上消费者与企业分享越来越多的个人信息这一事实的步伐
- 未经授权的个人信息披露和隐私的丧失可能对人们造成毁灭性的影响
- Cambridge Analytica丑闻增加了对隐私控制和数据实践透明度的渴望。
最后,很明显,人们渴望隐私和对自己信息的更多控制,而CCPA的通过就是为了满足这种愿望。与GDPR类似,CCPA通过向消费者提供某些权利来满足这一愿望,在这种情况下,向加利福尼亚居民提供某些权利。这些权利如下:
- 知道正在收集关于他们的哪些个人信息的权利
- 知道他们的个人信息是否被出售或披露以及向谁披露的权利
- 拒绝出售其个人信息的权利
- 要求删除其个人信息的权利
- 访问其个人信息的权利
- 平等服务和价格的权利,即使他们行使其隐私权
CCPA适用于谁?
隐私法中棘手的,有时也是最令人困惑的部分是弄清楚它们是否适用于您的业务。制定隐私法是为了保护特定州或国家的居民或公民的个人信息,而不是企业。
这意味着加州以外的企业可能仍需遵守该法律。CCPA适用于“企业”,该企业被定义为在加利福尼亚州开展业务并满足以下门槛之一的营利性法律实体:
- 年总收入超过25,000,000美元
- 每年出于商业或商业目的购买或接收、出售或共享50,000名或更多加利福尼亚消费者、家庭或设备的个人信息或
- 其50%或更多的年收入来自出售加州消费者的个人信息。
如果您认为CCPA在技术上仅适用于大公司,那您是部分正确的。由于个人信息销售的定义非常广泛,CCPA合规性的很大一部分是供应商的管理。
这意味着,如果您与大型企业开展业务或充当其供应商,他们可能会要求您通过合同遵守CCPA 。所以,如果你是一家不符合上述门槛的小公司,你可能还是需要注意并遵守这些要求。
此外,如果您为需要遵守CCPA的大型公司设计网站,则需要注意,该法律将影响您设计这些网站的方式。
不遵守CCPA的后果是什么?
CCPA通常由加州总检察长执行。违规罚款为每次违规2,500美元或每次故意违规罚款7,500美元。“每次违规”通常被理解为是指您侵犯了其隐私权的每个人。
因此,如果您有100名来自加利福尼亚的网站访问者并且没有合规的隐私政策,您的罚款可能高达250,000美元。很容易看出这是如何膨胀成一个非常大的数字。
如果您必须仅通过合同遵守CCPA,则不遵守的后果可能是失去该客户或业务关系。如果您必须建立一个符合CCPA的网站,不合规的后果可能意味着您的客户会被罚款,您会被起诉作为回报或差评,从而损害您的网页设计业务。
如何为CCPA准备WordPress网站
如果您的WordPress网站需要符合CCPA,我们将引导您完成一些可以采取的步骤,以确保您符合CCPA。您为CCPA做准备的步骤可能包括:
如果这一切看起来像很多工作,那就是。不过不用担心,我们还会为您提供一些我们最喜欢的工具和资源,您可以使用它们来帮助您做好准备。
聘请隐私律师
您很快就会看到,遵守CCPA有很多内容。至少可以说,法律和法规可能难以解释。
如果您不确定自己的正确道路,您应该聘请一位专门研究隐私的律师,因为他们能够为您指明正确的方向,并针对您的具体情况为您提供有价值的建议。
如果您不确定该选择哪位律师,请查看国际隐私专业人员协会 在隐私领域工作的律师事务所名单。
了解您收集的个人信息
CCPA要求您告诉消费者您收集的个人信息类别。您应该浏览您的网站并创建一个列表。
查看您的所有页面和您使用的所有表格,包括联系表格、订阅注册表单、帐户创建表格、评论提交表格、结帐表格以及您可能使用的任何其他表格及其相关联插件。
例如,如下所示,WordPress中用于提供博客文章评论的默认表单收集姓名和电子邮件:
评论表示例
此外,将您从任何其他来源收集的个人信息列表放在一起。想想分析软件、Hotjar、电子商务结账页面或WordPress注册页面上的信息,以及类似的。
然后,将您从这些表格中收集的个人信息分类,以便消费者轻松了解您收集的个人信息。个人信息类别的示例包括:
- 识别信息
- 财务信息
- 商业信息
- 生物特征信息
- 互联网活动信息和
- 地理位置信息
了解您从哪些来源收集这些个人信息
CCPA要求您披露您从哪些来源收集个人信息。来源示例包括:
- 直接来自消费者
- 调查
- 跟踪像素
- 观察和记录活动,例如通过使用cookie和
- 数据经销商
了解您是否向第三方披露个人信息
CCPA要求您披露您是否向第三方披露个人信息。当被问及他们是否共享数据时,大多数人最初的回答是略带冒犯的“不”。
花一些时间,真正考虑一下您与您的网站进行了哪些集成。
通讯订阅是否直接使用MailChimp等电子邮件营销工具?
表单提交是否会登录到HubSpot 等客户关系管理工具?
每当您收到表单提交时,您的Web开发人员是否会收到警报?
如果是这样,您正在与第三方共享数据,您需要披露该数据。
创建一个不要出售我的个人信息页面
如果您出售加州消费者的个人信息,您需要有一个标题为“请勿出售我的个人信息”或“请勿出售我的信息”的网页。此网页需要包含以下信息:
- 描述消费者选择不出售其个人信息的权利
- 消费者可以提交退出请求的网络表单
- 消费者可以提交退出请求的任何其他方法的说明
- 指向您的隐私政策的链接
- 消费者想要指定授权代理人代表他们提交退出请求时所需的任何证明
下面,您可以看到一个网站主页页脚示例,其中包含指向“请勿出售我的个人信息”页面的超链接。
“请勿出售我的个人信息”页面示例
创建隐私声明
CCPA要求您在收集个人信息时向加州消费者提供隐私声明。
请注意,CCPA不要求消费者同意收集个人信息,这与我们在GDPR中看到的要求大相径庭。
隐私声明就像一个迷你隐私政策:它提供了关于收集哪些个人信息、将用于什么以及其他披露的快速而简明的解释。
通知必须以易于阅读的方式设计并呈现给消费者,并且必须为普通人所理解。该通知必须:
- 使用简单明了的语言,避免使用技术或法律术语
- 使用能够吸引消费者注意通知并使通知可读的格式,包括在较小的屏幕上
- 以您向消费者提供合同、免责声明、销售公告或其他信息时使用的语言提供
- 残障消费者可以使用
您的隐私声明必须包含以下信息:
- 您从消费者那里收集的个人信息类别列表。您列出的每个类别都必须让消费者对所收集的个人信息有一个有意义的了解
- 对于每一类信息,其将用于的商业或商业目的
- 如果您出售个人信息,标题为“请勿出售我的个人信息”或“请勿出售我的信息”的链接。此链接应指向一个网页,消费者可以在该网页上行使拒绝出售个人信息的权利
如果您不想创建隐私声明,您只需在收集个人信息时向消费者提供指向您的隐私政策的链接。以下是加州特定隐私声明的示例。
加利福尼亚特定的隐私声明
创建隐私政策
CCPA还要求您制定隐私政策。隐私政策的目的是向消费者提供关于您收集、使用、披露和销售个人信息的做法以及消费者根据CCPA获得的隐私权的完整描述。
隐私政策必须满足与隐私声明相同的可读性、格式、可用性和可访问性要求。
但是,隐私政策还必须以允许消费者轻松打印出来的其他格式提供。隐私政策必须通过在您网站主页上使用“隐私”一词的显眼链接发布在您的网站上。
您的隐私政策必须包含以下信息:
- 根据CCPA对加州消费者权利的描述
- 消费者可以提交行使权利的请求的一种或多种方法。如果您出售个人信息,请提供指向您的“请勿出售我的个人信息”或“请勿出售我的信息”页面的链接,消费者可以在其中行使拒绝出售其个人信息的权利
- 您在过去12个月内收集的个人信息类别列表
- 您收集个人信息的来源类别列表
- 您使用个人信息的商业或商业目的
- 您在过去12个月内出售的个人信息类别列表以及您向其出售该个人信息的第三方类别列表。如果您没有出售任何个人信息,那么您必须披露该事实
- 您在过去12个月内披露的个人信息类别列表以及您向其披露此个人信息的第三方类别列表。如果您没有披露任何个人信息,那么您必须披露该事实
- 消费者如何指定授权代理人代表他们提出行使隐私权的请求;
- 消费者可以联系到的任何问题或疑虑的联系人
- 隐私政策的最后更新日期
- 如果您每年出售4,000,000或更多加州消费者的个人信息,您还需要包括额外的披露
可以帮助您遵守CCPA的工具和资源
所有这些合规性和披露要求似乎都令人生畏。幸运的是,您可以使用很多有用的工具来为您的网站和业务做好准备:
Termageddon
Termageddon
Termageddon:一种软件即服务,可生成为您的业务定制的隐私政策。每当法律发生变化时,我们都会更新客户的隐私政策,以确保您的政策始终保持最新。
CCPA Toll Free
CCPA Toll Free
CCPA Toll Free:CCPA要求一些企业提供免费电话号码,作为消费者行使隐私权的方法之一。CCPA免费电话可帮助您满足该要求。
Orrick’s CCPA Readiness Assessment
Orrick’s CCPA Readiness Assessment
Orrick’s CCPA Readiness Assessment:该工具通过询问您简单的“是”或“否”问题,帮助您了解您为CCPA准备的充分程度。您还可以将此工具用作一种准备清单。
CCPA Opt-Out by CookiePro
CCPA Opt-Out by CookiePro插件
CCPA Opt-Out:此插件允许您自定义并向您的网站添加“不销售按钮”。
IAPP
IAPP
IAPP:国际隐私专家协会是世界上最大的隐私组织。查看他们的网站,了解不断更新的隐私新闻、资源和供应商列表。
小结
虽然CCPA没有GDPR那样广泛的应用,但它仍然是一个非常重要的问题,不应掉以轻心。
CCPA在美国确实是首创,其他州现在都在效仿加利福尼亚。事实上,截至2019年底,已有九个州提出了自己的隐私法案。
这些法案要么引用CCPA作为灵感,要么实际上是CCPA的完整副本。很明显,CCPA为更多隐私法规铺平了道路,并且在线隐私合规要求不会很快消失。
评论留言