数据隐私合规博文标题
数据隐私合规博文标题

您是否用彩纸......和新的 CCPA 隐私政策迎接新年?

Stacey Garrett |

2020 年 1 月 1 日,加利福尼亚人和其他大多数美国人一样:制定(或打破)新年计划,观看大学橄榄球碗赛,告别 2019 年。

但是,加利福尼亚人在那天醒来时也发现,《法案》赋予了他们新的隐私权。 加州消费者隐私法》、 这是美国第一部隐私法,赋予个人了解、访问和删除企业收集的个人信息的权利。

对于受 CCPA 管辖的企业,该法案规定了一系列合规义务,从 2020 年 1 月 1 日开始生效(可将其视为强制性的新年决议)。这些义务是如此独特,以至于加州总检察长泽维尔-贝塞拉(Xavier Becerra)最近引用了《星际迷航》(Star Trek)来描述这些义务,称加州的新隐私法 "前无古人"。

CCPA 隐私政策要求就是一个很好的例子:这些要求既复杂又繁多,在某些情况下甚至是前所未见的。在本博客中,我们将探讨符合 CCPA 的隐私政策所需的要素,并讨论企业如何驾驭这一新领域。

隐私政策目标

根据 CCPA,隐私政策的目的是向消费者全面描述企业在线和离线收集、使用、披露和销售个人信息的做法,以及消费者对其个人信息的权利。(提及 "离线做法 "是指隐私政策还必须说明企业收集的个人信息 网下例如在使用安全摄像机和闭路电视时)。

电子书:数据隐私:为什么它现在这么大?为什么法律团队应该注意?

"易读"、"易懂"、人人可及

隐私政策还应该 "易读",让普通消费者 "理解"。 (鉴于隐私政策中必须包含大量信息,这一点说起来容易做起来难)。

隐私政策应使用简单明了的语言。它的格式必须能引起消费者的注意,使政策易于阅读,而且必须以企业通常向消费者提供合同和公告所使用的语言提供。

隐私政策 还有 必须便于残障消费者使用,并可作为单独文件打印。

专业窍门 #1:

CCPA 所要求的隐私政策是其他加州法律(如《加州在线隐私保护法》("CalOPPA"))所要求的隐私政策的补充。

当然,但 CCPA 隐私政策必须包括哪些内容? ?

做好准备。 这是一份很长的清单。 隐私政策必须

1 - 解释消费者有权要求企业披露其收集、使用、披露和出售的个人信息。为此,隐私政策必须

  • 提供提交可核实的消费者知情申请的说明,并提供在线申请表或门户网站的链接(如果企业提供);
  • 说明企业用于核实消费者请求的程序,包括消费者必须提供的任何信息。如果企业没有合理的方法能够按照《消费者保护法》要求的确定程度核实消费者的身份,而且企业所掌握的所有消费者的个人信息都属于这种情况,则隐私政策应说明这一点;
  • 说明企业在收集个人信息方面的做法。隐私政策必须
    • 描述企业在过去 12 个月中收集的消费者个人信息类别;以及
    • 对于收集到的每一类个人信息,请提供收集信息的来源类别(指从消费者或其他第三方来源)、收集信息的业务或商业目的,以及企业与之共享个人信息的第三方类别。
  • 说明企业在披露或出售个人信息方面的做法。隐私政策必须
    • 说明企业在过去 12 个月中是否出于业务或商业目的向第三方披露或出售过任何个人信息;
    • 列出在过去 12 个月中出于业务或商业目的向第三方披露或出售的个人信息类别(如有);以及
    • 说明企业是否在未获得肯定授权的情况下出售 16 岁以下未成年人的个人信息。

2 - 解释消费者有权要求删除企业收集或保存的个人信息。 隐私政策必须  

A. 提供提交可核实的消费者删除请求的说明,并提供在线请求表或门户网站的链接(如果企业提供的话);以及

B. 说明企业用于核实消费者请求的流程,包括消费者必须提供的任何信息。

专业窍门 #2:

CCPA 隐私政策必须至少每 12 个月更新一次。

3 - 说明消费者有权选择不出售个人信息。为此,隐私政策必须

A. 提供提交可核实的消费者删除请求的说明,并提供在线请求表或门户网站的链接(如果企业提供的话);以及

B. 说明企业用于核实消费者请求的流程,包括消费者必须提供的任何信息。

4 - 解释消费者有权不被区别对待,因为消费者行使了《消费者权益保护法》赋予的隐私权;

5 - 解释消费者如何指定授权代理人代表其根据《消费者保护法》提出申请;

6 - 为消费者提供联系人,以便他们 可直接就以下方面提出问题或表示关切 企业的隐私政策和惯例;

7 - 说明隐私政策的最后更新日期。

8 - 如果一家企业每年单独或合并开展业务 购买、接收、出售或共享 400 万或更多消费者个人信息的公司,其隐私政策还必须报告上一日历年的以下指标:

A. 企业收到、全部或部分满足以及拒绝的知情、删除和退出请求的数量;以及

B. 企业对知情请求、删除请求和退出请求做出实质性回应的天数中位数。

张贴隐私政策

企业必须在其网站主页(或移动应用程序的登陆页面)上使用 "隐私 "字样的醒目链接张贴其 CCPA 隐私政策。未运营网站的企业应在显著位置向消费者提供隐私政策(如在企业所在地的显著位置张贴)。

还没有 CCPA 隐私政策?

CCPA 隐私政策 "必备 "清单至少可以说是令人生畏的。但是,如果您的企业未能在 2020 年 1 月 1 日前发布符合 CCPA 的隐私政策,也不要放弃。

总检察长贝塞拉表示,他的办公室将 "善待 "那些真诚努力遵守法律的公司,而对于那些经营不善的公司,他的办公室将 "杀一儆百"。所以,继续努力吧。长命百岁,繁荣昌盛。

[bctt tweet="加州总检察长表示,他的办公室将'杀一儆百',惩治那些未根据《加州商业法》正常运营的公司。]