CCPA 将于 2020 年 1 月 1 日生效,但实际执行已推迟至 2020 年 7 月 1 日。简而言之,新法律赋予加州消费者要求收集消费者个人信息的企业披露以下信息的权利:
收集个人信息的来源类别,
与其共享个人信息的第三方类别,以及
收集和共享的个人信息的具体内容。
不让受 CCPA 约束的企业“出售”其个人信息的权利。
CCPA 适用于以下公司:
年总收入达到或超过 2500 万美元;或
每年为商业目的购买或接收 50,000 名或更多消费者、家庭或设备的个人信息;或
每年有 50% 以上的收入来自出售消费者个人信息。
加州现行的隐私法允许私人提起诉讼,如果“未加密或 车主数据库 未编辑的个人信息……由于企业违反了实施和维护与信息性质相适应的合理安全程序和做法以保护个人信息的义务,而遭到未经授权的访问和泄露、盗窃或泄露。”
原告必须提前30天通知被诉违约行为,以便被通知的公司有机会纠正违约行为。私人诉讼权允许原告寻求民事罚款,罚款金额为“每位消费者每次事件”100至750美元,或实际损害赔偿,以较高者为准。
除私人诉讼外,司法部长还有权对每起故意违法行为寻求最高 7,500 美元的民事罚款,或对每起非故意违法行为寻求最高 2,500 美元的民事罚款,且非故意违法行为在收到违法通知后 30 天内未纠正。
CCPA 现行版本的影响
据报道,现行版本的《加州消费者隐私法》的几个方面尤其令企业担忧。
披露和选择退出个人信息的出售
在优化面向客户的业务运营方面,公司拥有众多第三方“软件即服务”(SaaS) 解决方案可供选择。GDPR 要求“数据控制者”和“数据处理者”签订数据处理协议,并各自承担一系列具有法律约束力的个人信息处理义务,从而将 SaaS 关系纳入考量。而 CCPA 则要求数据控制者对个人信息的处理(或根据 CCPA 的“出售”)负责。
因此,为了满足披露要求(第 1798.110 条)和/或选择退出请求(第 1978.120 条),企业必须维护其 SaaS 供应商列表,以及这些供应商收集的具体个人信息。此外,企业还必须说明这些个人信息是否随后被每个适用的 SaaS 供应商“去身份化”(根据第 1798.125(h) 条)。