要求和合规性的 CCPA 检查表

加州新的隐私法于2020年1月1日生效。现在是检查是否需要遵守的好时机。而且,如果您这样做,这将是一个更好的时间,看看应该是什么到位,以确保顺利运行。

在最基本的层面上,2018年《加州消费者隐私法案》(CCPA)赋予加州居民如何收集和使用数据的权利。

CCPA 提高消费者隐私的先兆

独特的是,这是美国第一部为数据泄露提供赔偿的法规,大大增加了集体诉讼的机会。有关详细信息,请参阅 Cooley – CCPA 常见问题解答第 3 部分:诉讼、监管行动和责任。它还扩大了个人信息的定义,包括广泛的项目列表,甚至推论(准个人可识别信息)。

个人信息包括…从数据源中得出的推论“创建反映消费者的偏好、特征、心理趋势、偏好、倾向、行为、态度、智力、能力和才能的个人资料。

最后,它适用于加州居民(主要是在加州缴纳所得税的居民),而不管他们在收集数据时的位置如何。

另有11个州效仿加州,它们各自版本的数据隐私法在2020年通过立法机构。即使您认为自己今天不需要遵守 CCPA,加州法律的许多要素也可能在不久的将来适用于您。

需要遵守?

该法规并不适用于每个企业,与 GDPR 不同,它是一项选择退出法律;不选择加入。具体来说,它针对的是有加州居民信息的营利性企业,并且符合以下CCPA、GDPR、智能数据发现和合规性:尽快。

如何遵守?

合规性主要基于实施隐私最佳实践。一般来说,需要解决的要求有两方面:

  1. 通过隐私声明、服务条款、数据处理协议、政策等告知消费者收集、披露或出售的个人信息类别以及信息用于什么目的。
  2. 实现协议,以便使用者可以请求、查看、删除或以其他方式限制其信息的共享。

我们建议您寻求专业建议来修改您的法律通知,尽管在线有大量信息可以帮助您。

收到信息请求后,必须制定以下协议来尊重数据主体权限:

提供的权利
披露权 知道企业收集了哪些个人信息、来源、用途、是否被披露或出售以及披露或出售给谁的权利
删除权 删除任何个人信息的权利
选择退出权 选择退出禁止将个人信息出售给第三方的权利
不歧视权 从企业获得同等服务和定价的权利,即使他们行使其根据该法的隐私权

协议需要在收到可验证请求后的 45 天内完成,因此自动化是关键。

未能遵守

法律规定,处罚可以通过两种方式适用:

  1. 对于故意违反,民事处罚最高为 7,500 美元,但需遵守 30 天的治疗期

将这些数字相乘,使数百万消费者损失迅速增加。

加州总检察长计算出,CCPA将给企业造成550亿美元的损失,75%的加州公司受到影响。通过遵循隐私最佳实践,并在一开始就与 CCPA 的规则和政策保持一致,可以降低成本。

CCPA 如何影响 API 程序?

CCPA 不仅仅停留在面向消费者的网站上。作为 API 计划的一部分,您可能已经收集了用于 API 日志记录和监视、用户行为分析、安全检查和其他关键业务活动的个人身份信息。这意味着您需要审核内部流程和数据管理,以确保它们符合 CCPA(和 GDPR)。幸运的是,CCPA已经根据第1798条界定了七类商业目的,具体如下:

  1. 审核与消费者的交互。
  2. 安全。
  3. 调试/修复。
  4. 某些短期用途。
  5. 执行服务。
  6. 技术发展的内部研究。
  7. 质量与安全维护和验证。

这意味着,只要您不出售或共享个人信息以换取金钱或类似价值的东西,如果您仅利用这七个类别之一的数据(API 分析属于这一类别之一),您的风险就会降低。因为即使用于合法业务目的的数据也会使您的组织面临风险,因此请务必确保您拥有正确的流程和基础架构来处理 CCPA 和 GDPR 请求。

帮助此过程的一种方法是使用生成数据的用户标记组织内的每一段数据。这样,非技术用户只需单击几下即可处理 CCPA 主题请求,而不是使用 CCPA 主题请求使内部数据工程团队过载。

Data privacy rights

不允许匿名访问

不允许匿名访问您的 API。否则,您可能很难审核谁访问该数据,不仅符合 CCPA,而且还有助于安全审查。您的 API 应仅允许注册用户访问数据,这通常由某种 API 密钥或令牌完成。API 的每个用户都应有一个主要联系人。

对个人数据的日志访问

作为 API 监视和分析基础结构的一部分,您应该记录个人数据的每个读取和写入操作。CRUD API 是执行此操作的自然方法,因为每次访问都必须通过 API 进行,而不管客户端(Web 应用、合作伙伴程序、内部使用者等)。您还应在规定的时间后停用或化名此类数据。

不要使用 Excel

不要只是将主题请求存储在 Google 表格或 Excel 文档中,而要求开发人员手动删除。存储个人数据的任何数据基础结构还应具有一组干净的 API 或 UI,用于处理数据主题请求,以及完成操作以确保内部流程不会滑倒时加时标记的审核日志。审计日志应该能够在法庭上站出来。

对于试图符合 CCPA 要求的组织来说,选择退出请求权是一个棘手的问题,因为数据和工程团队不仅需要构建基础结构来访问和删除用户的历史数据,还需要基础设施来防止将来的数据收集。此类数据抑制逻辑必须正确实现,同时每天扩展到数十亿个 API 调用。

虽然你可能不合规,许多其他在同一条船上,由一些最近的声明,开始工作永远不会太晚。

法律免责声明:本文所述内容无一是法律意见。它仅供参考。您应该与法律顾问和其他专业顾问密切合作,以确定 CCPA 如何适用于您,也可能不适用于您,以及您应该采取哪些操作来遵守。

进一步阅读

Comments are closed.