Закон Калифорнии о защите персональных данных потребителей (CCPA)California Consumer Privacy Act (CCPA) Frequently Asked Questions

Примечание

Эта тема предоставляется "как есть".This topic is provided "as-is." Данные и мнения, содержащиеся в этой теме, включая URL-адреса, а также ссылки на другие веб-сайты, могут изменяться без предварительного уведомления.Information and views expressed in this topic, including URL and other Internet Web site references, may change without notice. Ответственность за использование этих данных несет пользователь.You bear the risk of using it. Эта статья была создана для справочных целей, и ее не следует рассматривать как юридическую консультацию.This topic has been created as a guide and should not be construed as legal advice. Вам необходимо проконсультироваться со своим юристом.You should consult with your own legal professionals. Эта статья не дает пользователям права интеллектуальной собственности на продукты Майкрософт.This topic does not provide you with any legal rights to any intellectual property in any Microsoft product. Разрешается копирование и использование данной статьи для внутренних, справочных целей.You may copy and use this topic for your internal, reference purposes.

Основные вопросы и ответыFast FAQs

Что такое CCPA?What is the CCPA?

Закон Калифорнии о защите персональных данных потребителей (CCPA) — это первый комплексный закон о конфиденциальности в США.The California Consumer Privacy Act (CCPA) is the first comprehensive privacy law in United States. Он был принят в конце июня 2018 г. и предоставляет различные права на конфиденциальность потребителям Калифорнии.It was signed into law at the end of June 2018 and provides a variety of privacy rights to California consumers. Организации, регулируемые CCPA, имеют ряд обязательств перед этими потребителями, в том числе в отношении предоставления информации, обеспечения прав, сходных с правами, предоставляемыми Общим регламентом по защите данных (GDPR), отказа от передачи данных в некоторых случаях и предоставления согласия для несовершеннолетних. Businesses regulated by the CCPA will have a number of obligations to those consumers, including disclosures, General Data Protection Regulation (GDPR)-like rights for consumers, an “opt-out” for certain data transfers and an “opt-in” requirement for minors.

Кому необходимо знать о CCPA?Who needs to know about the CCPA?

Закон CCPA применим только к компаниям, которые ведут коммерческую деятельность в Калифорнии, если для этих компаний ежегодно выполняется одно или несколько из следующих условий: (1) валовой доход компании составляет свыше 25 млн долларов США; (2) не менее 50 % годового дохода компании получено от продажи личных сведений потребителей; (3) компания покупает, продает или предоставляет доступ к личным сведениям более 50 000 потребителей.The CCPA only applies to companies doing business in California, which annually satisfy one or more of the following: (1) have a gross revenue of more than $25 million, (2) derive 50% or more of its annual revenue from the sale of consumer personal information, or (3) buys, sells, or shares the personal information of more than 50,000 consumers.

Когда закон CCPA вступает в силу?When will the CCPA come into effect?

CCPA вступает в силу 1 января 2020 г. The CCPA goes into effect on January 1, 2020. Тем не менее, Генеральный прокурор начнет осуществлять надзор за его выполнением не ранее 1 июля 2020 г.However, enforcement by the Attorney General (AG) will not begin until July 1, 2020.

Как CCPA повлияет на мою компанию?How will the CCPA affect my company?

Многие из прав, предоставляемых жителям Калифорнии по CCPA, являются аналогами прав, предоставляемых GDPR. Например, запросы на предоставление данных и запросы потребителей схожи с запросами на доступ, удаление и передачу данных в рамках права субъекта данных (DSR).Many of the CCPA’s rights afforded to Californians are similar to the rights the GDPR provides, including the disclosure and consumer requests similar to data subject right (DSR) requests, such as access, deletion, and portability. Таким образом, потребитель может использовать наши существующие решения GDPR, чтобы соответствовать требованиям CCPA.As such, customer can look to our existing GDPR solutions to help them with their CCPA compliance.

Чтобы приступить к применению CCPA, нужно выполнить пять основных шагов:To begin your CCPA journey, you should focus on five key steps:

  • Поиск: определите, какие личные сведения у вас есть и где они хранятся. Discover: Identify what Personal Information you have and where it resides.
  • Сопоставление: определите, каким образом третьим лицам предоставляется общий доступ к личным сведениям и распространяется ли на них исключение из положения CCPA об отказе от передачи данных.Map: Determine how you are sharing Personal Information with third parties and identify if the third party is subject to an exception from the CCPA opt-out requirements.
  • Управление: управляйте использованием данных и доступом к ним.Manage: Govern how the data is used and accessed.
  • Защита: установите элементы управления безопасностью для предотвращения и обнаружения уязвимостей и нарушений безопасности данных, а также реагирования на них. Protect: Establish security controls to prevent, detect, and respond to vulnerabilities and data breaches.
  • Документирование: документируйте программу реагирования на нарушение безопасности данных и убедитесь в том, что к контрактам с соответствующими третьими лицами применимо исключение из положения об отказе от передачи данных.Document: Document a data breach response program and ensure your contracts with applicable third parties are able to take advantage of the opt-out exceptions.

Необходимо определить, каковы обязательства вашей организации по CCPA и как их выполнять, и корпорация Майкрософт готова помочь вам в этом.You need to understand what your organization’s specific obligations are under the CCPA and how you meet them, though Microsoft is here to help you on your journey.

Исчерпывающие вопросы и ответыComprehensive FAQs

Реализацию каких прав компании обязаны обеспечить в соответствии с CCPA?What rights must companies enable under the CCPA?

В соответствии с CCPA регулируемые предприятия, которые собирают, используют, передают и продают личные сведения, должны, помимо прочего: The CCPA requires regulated businesses that collect, use, transfer, and sell personal information to, among other things:

  • предоставлять потребителям информацию о категориях и целях сбора данных до его осуществления;Provide disclosures to consumers, prior to collection, regarding the categories and purposes of collection.
  • включать в политику конфиденциальности подробную информацию об источниках, бизнес-целях и категориях личных сведений, которые собираются, в том числе о продаже или передаче этих категорий данных другим юридическим лицам;Provide detailed disclosures in a privacy policy regarding the sources, business purposes, and categories of personal information that is collected, including how those categories are sold or transferred to other entities.
  • предоставлять потребителям право на доступ, удаление и переносимость отдельных частей личных сведений, собранных вами;Enable Consumer rights relating to access, deletion, and portability of the specific pieces of personal information that has been collected by you.
  • активировать элемент управления, позволяющий потребителям отказаться от продажи их данных.Enable a control that will permit consumers to opt out of the “sale” of the consumer’s data. Тем не менее, в некоторых случаях передача данных, например поставщику услуг, разрешена. However, certain transfers, like transfers to service providers, remain permitted.
  • Для несовершеннолетних в возрасте до 16 лет активируйте процесс предоставления согласия, чтобы продажа их личных сведений не могла произойти без их явного согласия. For minors, under 16, enable an opt-in process so that no sale of the minor’s personal information can occur without actively opting in to the sale.
  • Убедитесь, что потребители могут осуществлять все свои права по CCPA.Ensure that consumers are not discriminated against for exercising any of their rights under CCPA.

Какую информацию необходимо предоставить в соответствии с CCPA?What are the CCPA required disclosures?

В соответствии с CCPA необходимо предоставить следующую информацию:The CCPA requires disclosure of the following:

  • категории личных сведений потребителя, которые были собраны;Categories of personal information of the consumer that have been collected.
  • категории источников, используемых при сборе;Categories of sources used in collection.
  • бизнес-цели или коммерческие цели сбора данных;The business or commercial purposes for collecting.
  • категории третьих лиц, которым предоставляется общий доступ к личным сведениям;The categories of third parties with whom the personal information is “shared”.
  • категории личных сведений, которые были проданы, и категории третьих лиц, которым была продана каждая категория личных сведений;Categories of personal information that has been “sold” and the categories of “third parties” to whom each category of personal information was sold.
  • категории личных сведений, которые были раскрыты в коммерческих целях (т. е. переданы, но не проданы), и категории третьих лиц, которым была передана каждая категория личных данных;Categories of personal information that has been “disclosed for a business purpose” (that is, transferred but not a “sale”) and the categories of “third parties” to whom each category of personal information was transferred.
  • отдельные части личных сведений, которые были собраны о потребителе.The specific pieces of personal information that has been collected about that consumer.

Как осуществляется продажа данных по CCPA?How is data “sold” under the CCPA?

Определение слова "продавать" в CCPA чрезвычайно широкое и включает "делать личные сведения доступными" для третьих лиц за денежное или другое надлежащее встречное удовлетворение. The definition of “sell” in the CCPA is incredibly broad, including “making personal information available to” a third party for monetary or other valuable consideration. Если потребитель решил отказаться от передачи данных, предприятию придется отключить поток личных сведений для третьего лица.Where a consumer has elected to “opt-out”, the business will be required to turn off the flow of personal information to any third party.

CCPA содержит ряд исключений в отношении элемента управления отказом от продажи. The CCPA does provide a number of carve-outs to this “sale” opt-out control. К трем основным исключениям относится передача данных (i) поставщику услуг, (ii) освобожденной компании или стороне договора и (iii) потребителю.The three primary carve-outs are transfers (i) to a Service Provider, (ii) to an “exempted entity” or “contractor”, and (iii) at the direction of the consumer. Даже в случае отказа потребителя передача личных сведений третьим лицам, которые подпадают под эти исключения, может быть продолжена.Even if a consumer has elected to “opt-out”, personal information can continue to transfer to third parties who fit into those carve-outs.

Чтобы воспользоваться первыми двумя исключениями,компании должны гарантировать, что передача сведений регулируется письменными договорами, содержащими определенные условия, которые требуются законом CCPA.To take advantage of the first two exemptions, businesses will have to ensure that the transfers are governed by written contracts containing the specific terms required by the CCPA.

Что термины предприятие и поставщик услуг означают в контексте CCPA?What do Businesses and Service Providers mean in the context of CCPA?

В контексте CCPA предприятие — это физическое или юридическое лицо, которое определяет цели и средства обработки персональных данных потребителя. Поставщик услуг — это физическое или юридическое лицо, которое обрабатывает информацию от имени предприятия.In the context of CCPA, Businesses are individuals or entities that determine the purposes and means of the processing of consumer’s personal data, and Service Providers are individuals or entities that process information on behalf of a business. Это приблизительные синонимы терминов контролер и обработчик, используемых в GDPR.These are broadly synonymous with the terms Controllers and Processors used in GDPR.

Какой штраф предусмотрен для компаний за несоблюдение требований?How much can companies be fined for noncompliance?

Частное право на иск в CCPA ограничено нарушением безопасности данных.The private right of action in the CCPA is limited to data breaches. В соответствии с этим правом убытки могут составлять от 100 до 750 долларов США за каждый инцидент на потребителя. Under the private right of action, damages can come in between $100 and $750 per incident per consumer. Кроме того, Генеральный прокурор Калифорнии может обеспечить выполнение CCPA в полной мере, наложив гражданско-правовые санкции в размере не более 2 500 долларов США за нарушение и 7 500 долларов США за преднамеренное нарушение закона.The California AG also can enforce the CCPA in its entirety with the ability to levy a civil penalty of not more than $2,500 per violation or $7,500 per intentional violation.

Что предпринимает корпорация Майкрософт, чтобы добиться соответствия требованиям CCPA?What is Microsoft doing to achieve CCPA compliance?

Поскольку корпорация Майкрософт в глобальном масштабе реализовала DSR, связанные с GDPR, сейчас у нас есть отличная база для соответствия требованиям CCPA.As Microsoft has implemented GDPR-related DSRs globally, we are currently in an excellent position to meet the related CCPA requirements. Мы также пересмотрели наши соглашения о совместном использовании данных с третьими лицами и позаботились о наличии необходимых условий соглашения, которые гарантируют, что мы не продаем личные сведения. We have also reviewed our third-party data sharing agreements and taken steps to establish that the necessary contractual terms are in place to ensure that we do not “sell” personal information.

Какие средства можно использовать при подготовке организации к CCPA?What are some tools that can help my organization to start preparing for CCPA?

  • Начните использовать оценку GDPR в диспетчере соответствия требованиям в рамках вашей программы конфиденциальности, обеспечивающей выполнение CCPA. Start leveraging the GDPR assessment in Compliance Manager as part of your CCPA privacy program.
  • Создайте процесс эффективного реагирования на запросы потребителей.Establish a process to efficiently respond to Consumer Requests.
  • Настройте метку и политики, чтобы находить, классифицировать, помечать и защищать конфиденциальные данные с помощью Microsoft Information Protection.Set up label and policies to discover, classify & label, and protect sensitive data with Microsoft Information Protection.
  • Используйте возможности шифрования электронной почты для дополнительного контроля конфиденциальной информации.Use email encryption capabilities to further control sensitive information.
  • Дополнительные сведения см. в этой записи блога.Learn more in this blog post.

Чем различаются GDPR и CCPA?What are the differences between GDPR and CCPA?

Существует много различий.There are many differences. Легче заметить сходства, например:It’s easier to focus on the similarities, including:

  • обязательства по прозрачности и предоставлению информации;Transparency/disclosure obligations.
  • права потребителей на доступ, удаление и получение копии данных;Consumer rights to access, delete, and receive a copy of data.
  • определение термина "поставщики услуг", аналогичное определению термина "обработчики" в GDPR со схожими договорными обязательствами;Definition of “service providers” that is similar to how GDPR defines “processors” with a similar contractual obligation.
  • определение термина "предприятия", включающее определение термина "контролеры" в GDPR.Definition of “businesses” that encompasses the GDPR definition of “controllers”.

Наибольшим отличием CCPA является основное требование разрешить отказ от продажи данных третьим лицам (продажа, в широком понимании этого слова, включает предоставление общего доступа к данным за соответствующее встречное удовлетворение).The biggest difference in CCPA is the core requirement to enable an opt-out from sales of data to third parties (with “sale” broadly defined to include sharing of data for valuable consideration). Это более узкое и конкретное обязательство, чем широкое право GDPR на возражение против обработки данных, которое включает данный тип продаж, но не ограничивается данным типом предоставления общего доступа.This is a narrower and more specific obligation than the broad GDPR right to object to processing, which encompasses this type of “sale,” but is not specifically limited to covering this type of sharing.

Что означают термины обработчик и контролер?What are Processors and Controllers?

Контролер — это физическое или юридическое лицо, орган государственной власти, государственное ведомство или другое учреждение, которое самостоятельно или вместе с другими лицами определяет цели и способы обработки персональных данных.A controller is a natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data. Обработчик — это физическое или юридическое лицо, орган государственной власти, государственное ведомство либо другое учреждение, которое обрабатывает персональные данные по поручению контролера.A processor is a natural or legal person, public authority, agency, or other body that processes personal data on behalf of the controller.

Что именно считается личными сведениями?What specifically is deemed personal information?

Личные сведения — это любая информация, которая относится к идентифицированному или доступному для идентификации лицу.Personal information is any information relating to an identified or identifiable person. Частный, публичный или рабочий характер роли конкретного человека не имеет значения.There is no distinction between a person’s private, public, or work roles. Определение термина "личные сведения" в общих чертах совпадает с определением термина "персональные данные" в GDPR. The defined term “personal information” roughly lines up with “personal data” under GDPR. Кроме того, CCPA также распространяется на данные о семье и домашнем хозяйстве.However, CCPA also includes family and household data.

Вот некоторые примеры персональных данных.Examples of personal data include:

ИдентификацияIdentity

  • ИмяName
  • Домашний адресHome address
  • Рабочий адресWork address
  • Номер телефонаTelephone number
  • Номер мобильного телефонаMobile number
  • Адрес электронной почтыEmail address
  • Номер паспортаPassport number
  • Номер национального удостоверения личностиNational ID card
  • Номер социального страхования (или его эквивалент)Social Security Number (or equivalent)
  • Водительское удостоверениеDriver's license
  • Физическая, физиологическая или генетическая информацияPhysical, physiological, or genetic information
  • Медицинские сведенияMedical information
  • Культурная принадлежностьCultural identity

ФинансыFinance

  • Банковские реквизиты и номера счетовBank details / account numbers
  • Номер налогоплательщикаTax file number
  • Номера кредитных и дебетовых картCredit/Debit card numbers
  • Публикации в социальных сетяхSocial media posts

Артефакты в сетиOnline Artifacts

  • Публикации в социальных сетяхSocial media posts
  • IP-адрес (для региона ЕС)IP address (EU region)
  • Местоположение и данные GPSLocation / GPS data
  • Файлы cookieCookies

Как CCPA применяется к детям?How does the CCPA apply to children?

  • CCPA вводит обязательное родительское согласие для детей в возрасте до 13 лет в соответствии с Законом о защите конфиденциальности детей в Интернете (COPPA).CCPA introduces parental consent obligations consistent with The Children's Online Privacy Protection Act (COPPA) for children under the age of 13.
  • В отношении детей от 13 до 16 лет CCPA налагает новое обязательство получения явного согласия ребенка на продажу его личных сведений. For children between 13 and 16 years old, CCPA imposes a new obligation to obtain opt-in consent from the child for any “sale” of their personal information.

Как насчет персональных данных сотрудников?What about personal data from my employees?

В октябре 2019 г. в закон CCPA было внесено несколько поправок.In October 2019, a number of amendments were passed to the CCPA. В одной из них объяснялось, что обязательства по CCPA не относятся к личным сведениям о сотрудниках предприятия.One amendment clarified that the CCPA obligations do not apply to the personal information of employees of the business. Однако для этой поправки установлен срок действия, равный одному году.However, legislators put a one-year sunset on that exemption. Ожидается, что в 2020 г. в Калифорнии будет принят новый закон о защите данных сотрудников.We expect California to legislate a new data protection law for employees in 2020.  

Нужно ли мне как пользователю Майкрософт реализовать элемент управления отказом в отношении передачи данных в корпорацию Майкрософт?As a Microsoft customer, do I need to implement the opt-out control for transfers to Microsoft?

Нет.No. В качестве поставщика веб-служб мы предпринимаем шаги, чтобы соответствовать определению поставщика услуг по CCPA. As a provider of online services, we are taking steps to ensure that we qualify as a “Service Provider” under CCPA. Как было указано выше, передача личных сведений поставщикам услуг разрешена, даже если потребитель отказался от передачи данных.As noted above, transfers of personal information to service providers are permitted, even where a consumer has opted out.