加州消费者隐私法案 (CCPA) 常见问题解答

加州消费者隐私法案 (CCPA) 是美国第一项全面隐私法。 它于 2018 年 6 月末签署成为法律，向加州消费者提供各种各样的隐私权利。 CCPA 监管的企业将对这些消费者承担许多义务，包括披露、一般数据保护条例 (GDPR) 消费者类似权利、某些数据传输的“选择退出”和未成年人的“选择加入”要求。

CCPA 仅适用于在加州境内开展业务且每年满足下述一项或多项条件的公司：(1) 总收入高于 2,500 万美元，(2) 出售消费者个人信息的收入至少占总收入的 50%，或者 (3) 购买、出售或共享超过 50,000 名消费者的个人信息。

CCPA 将于 2020 年 1 月 1 日生效。 但是，司法部长 (AG) 将自 2020 年 7 月 1 日开始实施该项法律。

提供给加州人的许多 CCPA 权利与 GDPR 提供的权利相似，包括类似于数据主体权利 (DSR) 请求（例如访问、删除和可移植性）的披露和消费者请求。 因此，消费者可寻求我们的现有 GDPR 解决方案来帮助他们遵守 CCPA。

要开启您的 CCPA 之旅，应关注下面 5 个关键步骤：

• 发现：确定您有哪些个人信息以及它们驻留在何处。
• 映射：确定您当前在如何与第三方共享个人信息，并确定第三方是否无需遵守 CCPA 的“选择退出”要求。
• 管理：管理数据的使用和访问方式。
• 保护：建立安全控制措施来防止、检测和应对漏洞和数据泄露的情况。
• 记录：记录数据泄露响应计划，并确保您与适用第三方签订的合同可归入“选择退出”要求的例外。

你需要了解你的组织在 CCPA 下的具体义务是什么，以及你如何满足这些义务，不过 Microsoft 会为你提供帮助。

CCPA 要求收集、使用、传输和出售个人信息的受管制公司履行下列义务，包括：

• 在信息收集之前就收集类别和收集目的告知消费者。
• 在隐私策略中就所收集的个人信息的来源、业务目的和类别进行详细披露，包括如何将这些信息类别出售或传输给其他实体。
• 向消费者赋予有关访问、删除和可移植您已收集的个人信息中特定部分的权利。
• 启用允许使用者选择退出“销售”使用者数据的控件。 但是，仍然准许某些传输（例如传输给服务提供商）。
• 对于 16 岁以下的未成年人，启用选择加入过程，以便在不主动选择加入销售的情况下，不会出售未成年人的个人信息。
• 确保未就消费者行使其在 CCPA 下的任何权利歧视该消费者。

CCPA 要求披露下列信息：

• 已收集的消费者的个人信息的类别。
• 在集合中使用的来源的类别。
• 有关收集的业务或商业用途。
• 与个人信息“共享”的第三方的类别。
• 已“出售”的个人信息类别和每类个人信息被出售的“第三方”类别。
• “出于商业目的而披露”的个人信息类别 (，即传输但不是“出售”) ，以及每类个人信息被传输到的“第三方”类别。
• 所收集的关于相应消费者的具体个人信息。

CCPA 中“出售”的定义非常广泛，包括“向第三方提供个人信息”，以用于货币或其他有价值的考虑。 如果消费者已选择“选择退出”，则要求企业关闭个人信息流向任何第三方。

CCPA 确实为这种“销售”选择退出控制提供了许多雕刻。 三个主要的雕刻是 (i) 转移到服务提供商， (ii) 转移到“豁免实体”或“承包商”，以及 (iii) 在消费者的指导下转移。 即使消费者选择了“选择退出”，个人信息也可以继续传输到适合这些刻度的第三方。

为充分享有前两项例外，公司将必须确保信息传输受制于包含 CCPA 规定的特定条款的书面合同。

在 CCPA 的上下文中，企业是确定处理消费者个人数据的目的和方式的个人或实体，而服务提供商是代表企业处理信息的个人或实体。 大体上，这些术语是 GDPR 中使用的控制者和处理者术语的同义词。

CCPA 规定，只有在数据泄露的情况下才能提起私人诉权。 私人诉权规定，每位消费者在每个事件中受到的损失可能介于 100 美元到 750 美元之间。 加州司法部长还可在整体上实施 CCPA，可就每次违规征收不超过 2,500 美元的民事罚款，就每次故意违规征收 7,500 的的民事罚款。

Microsoft 已在全球范围内实施与 GDPR 相关的数据主体权利，因此我们当前在满足相关 CCPA 要求方面处于有利位置。 我们还审查了第三方数据共享协议，并采取措施确定必要的合同条款，以确保我们不会“出售”个人信息。

• 首先将合规性管理器中的 GDPR 评估纳入您的 CCPA 隐私计划。
• 建立一个可高效应对消费者请求的流程。
• 设置标签和策略，以便使用Microsoft Purview 信息保护发现、分类 & 标签和保护敏感数据。
• 使用电子邮件加密功能进一步控制敏感信息。
• 在此博客文章中了解详细信息。

两者存在诸多差异。 可以更轻松地关注相似之处，包括：

• 透明度/披露义务。
• 消费者访问、删除和接收数据副本的权利。
• “服务提供商”的定义类似于 GDPR 定义具有类似合同义务的“处理器”。
• 包含“控制者”的 GDPR 定义的“企业”的定义。

CCPA 的最大区别在于，允许选择退出向第三方销售数据的核心要求， (“销售”的定义广泛，包括共享数据以用于) 的宝贵考虑。 这是一项比 GDPR 广泛反对处理的权利更窄、更具体的义务，包括这种类型的“销售”，但并不具体限于涵盖此类共享。

控制者是指单独或与他人共同确定个人数据处理目的和方法的自然人或法人、公共机关、机构或其他团体。 处理者是指代表控制者处理个人数据的自然人或法人、公共机关、代理或其他团体。

个人信息是指与已识别或可识别人员相关的任何信息。 个人的私人、公共或工作角色之间没有任何区别。 定义的术语“个人信息”大致与 GDPR 下的“个人数据”一起排列。 但是，CCPA 还包括家人和家庭数据。

个人数据的示例包括：

标识

• 姓名
• 家庭住址
• 工作地址
• 电话号码
• 手机号码
• 电子邮件地址
• 护照号码
• 国民身份证
• 社会安全号码（或等效物）
• 驾驶执照
• 物理、生理或遗传信息
• 医疗信息
• 文化身份

财务

• 银行详细信息/帐号
• 税务档案号码
• 信用卡或借记卡号
• 社交媒体文章

网上资料

• 社交媒体文章
• IP 地址（欧盟地区）
• 位置/GPS 数据
• Cookie

• 针对未满 13 岁的儿童，CCPA 引入了与美国《儿童在线隐私保护法案》(COPPA) 相符的家长同意义务。
• 对于 13 至 16 岁之间的儿童，CCPA 规定了一项新的义务，要求儿童就任何“出售”其个人信息获得选择加入同意。

2019 年 10 月，CCPA 通过了一些修正案。 一项修正条款明确指出，CCPA 义务不适用于公司员工的个人信息。 但是，立法者就该项例外设定了一年的自动废止期。 我们期待加利福尼亚州在 2020 年针对员工订立新的数据保护法案。  

否。 作为联机服务提供商，我们正在采取措施确保我们有资格成为 CCPA 规定的“服务提供商”。 如上所述，准许将个人信息传输给服务提供商，即使在消费者已选择不传输的情况下也是如此。