《加州消费者隐私法案》(CCPA)最初于2018年6月通过立法,自2020年1月起生效。该法案规范企业收集和销售消费者数据的行为,旨在保护加州居民的敏感个人信息,并赋予消费者对其信息使用方式的控制权。
2023年,《加州隐私权法案》(CPRA)对《加州消费者隐私法案》(CCPA)进行了扩展,新增了合规义务,要求严格执行第三方协议以确保消费者信息的安全收集、使用和处置。尽管CPRA与CCPA基本一致,但其:
- 添加内容以使其更符合欧盟《通用数据保护条例》(GDPR)
- 加重对违规行为的处罚
- 授权设立加利福尼亚州隐私保护机构
本文探讨了《加州消费者隐私法案》(CCPA)的核心要求、适用对象,以及企业如何确保第三方合作伙伴妥善保护客户数据。为简化表述,本文将CCPA与《加州隐私权法案》(CPRA)统称为CCPA。
《加州消费者隐私法案》如何定义个人信息?
让我们先从“个人信息”的定义说起。《加州消费者隐私法案》将敏感个人信息定义为“能够识别、关联、描述特定消费者或家庭,或能够合理地直接或间接与之关联的信息”。
《加州消费者隐私法案》要求企业(及其第三方)履行哪些义务?
《加州消费者隐私法案》要求企业在收集数据前须告知加州居民相关信息。该法案赋予消费者获取企业所持全部个人数据的权利,并可查询数据共享对象(个人或机构)的详细信息。同时,消费者有权选择退出,阻止其个人数据被出售或共享给第三方。
《加州消费者隐私法案》适用于哪些对象?
尽管《加州消费者隐私法案》(CCPA)在技术上属于加州州法,但其影响远超黄金之州的疆界。该法案的监管范围不仅限于总部设在加州的企业,甚至不限于在加州实际运营的企业——凡是从加州居民处收集消费者数据的行为,均受CCPA约束。
鉴于加利福尼亚州拥有约4000万人口,若作为独立国家将位列全球第五大经济体,因此若您的企业从事消费者数据收集业务,极有可能已收集过加州居民的数据。事实上,许多企业选择将所有消费者均视为加州居民对待,从而在全业务范围内做好《加州消费者隐私法案》合规准备。
违反《加州消费者隐私法案》将面临哪些处罚?
若企业被认定违反《加州消费者隐私法案》需承担民事处罚,每项故意违规行为最高可处7,500美元罚款,每项非故意违规行为最高可处2,500美元罚款。法院还可裁定向消费者支付法定赔偿金。
核对清单:第三方需满足的四项关键CCPA合规要求
[《加州消费者隐私法案》第1798.100条](https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CIV§ionNum=1798.100.) 规定,收集消费者个人信息并将其出售或共享给第三方的企业,必须与该第三方签订协议,要求其"确保第三方、服务提供商或承包商遵守"《加州消费者隐私法案》的隐私法规。因此,企业应确保其第三方合作伙伴和服务提供商具备充分能力保护消费者信息。任何安全计划的第一步,都是通过全面的安全评估识别并优先处理现有风险。 《加州消费者隐私法案》第1798.185(15)条规定:"要求其处理消费者个人信息的行为对消费者隐私或安全构成重大风险的企业"必须每年进行网络安全审计,并向加州隐私保护局提交风险评估报告。企业需重点关注的法案具体条款包括:
| 1798.81.5 (b),实施并维持合理的安全程序和措施 | 对于任何监管标准,组织都必须确保其衡量的是正确风险并实施了正确控制措施。就《加州消费者隐私法案》(CCPA)而言,这可能意味着采用互联网安全中心(CIS)关键安全控制措施作为框架。
寻找一种解决方案,它不仅能评估第三方隐私控制措施,还能利用庞大的经审计师批准的评估库来评估更广泛的第三方风险。 |
| 1798.100 (d),签订协议,要求第三方履行适用义务。 | Prevalent 集中管理内容的分发、讨论、保留和评审。 供应商合同包括工作流功能,可自动化处理从入职到离职的整个合同生命周期。
有了 Prevalent,采购和法律团队就有了执行供应商合同条款和关键绩效指标的单一解决方案,并简化了管理和审查。 |
| 1798.140 (c),持续人工审查与自动化扫描,以及定期评估和审计 | 为避免声誉风险、运营风险及业务中断,企业应确保其合作伙伴和第三方遵守合理的安全措施。然而,使用手动问卷和电子表格进行第三方评估的做法既缺乏一致性,又难以扩展。
寻找能够自动化执行定期评估并持续监控的第三方风险管理平台,从而全面掌握供应商的风险状况。 |
| 1798.185 (a) 每年执行一次网络安全审计;以及 (b) 定期向加州消费者隐私法案(CCPA)提交风险评估报告。 | 大多数风险评估调查侧重于通用控制措施和政策。要符合《加州消费者隐私法案》(CCPA)的要求,需要对数据处理具备技术层面的理解——特别是CIS关键安全控制措施,该框架被建议用于确保数据得到适当的安全保障。
寻找能够将第三方评估结果映射至CIS关键安全控制措施的解决方案,以确保全面覆盖《加州消费者隐私法案》(CCPA)要求,并帮助区分设计合理的系统与"附加式"安全及隐私功能,从而实现完全合规。需具备高效的报告功能,既能满足CCPA审计与合规要求,又能向董事会及高级管理层呈现评估结果。 |
只有当企业明确了向其出售消费者数据的第三方后,才能着手采取措施确保符合《加州消费者隐私法案》(CCPA)要求,例如更新与第三方签订的法律协议,或建立数据泄露时的沟通渠道。在此过程中,需将追溯范围扩展至第四方乃至第N方。通过厘清企业与第三方及其关联方 之间的关系,可发现数据依赖链并可视化信息流路径,从而大幅简化合规报告流程。
普瑞瓦特如何提供帮助
Prevalent为企业提供全面解决方案,助您管理第三方关系以符合《加州消费者隐私法案》(CCPA)要求。我们的第三方风险管理平台让您轻松实现:
- 发现并映射第三方、第四方
与第N方关系之间的数据 - 执行自我评估以了解内部流程的成熟度,以及数据所有者的情况。
- 评估第三方数据隐私控制措施
- 当第三方回复与预期不符时,自动执行风险响应
- CCPA合规报告(内置报告功能)
- 接收自动化的数据泄露通知,以了解客户数据可能面临的风险
- 集中管理供应商合同的分发、讨论、保留和审查
如需了解Prevalent如何协助企业评估第三方数据安全控制措施以满足《加州消费者隐私法案》(CCPA)要求,请阅读白皮书《CCPA第三方合规检查清单》或 立即申请演示。若想了解第三方风险管理如何适用于其他隐私法规,请下载《第三方合规手册:数据隐私法规》。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
