加州消費者隱私法 (CCPA) 常見問題集

注意

本主題以「現狀」提供。 本主題所陳述的資訊及觀點 (包括 URL 及其他網際網路網站參考) 如有變更,恕不另行通知。 貴用戶須自行承擔使用風險。 本主題已建立為指南,因此不應視為法律建議。 您應該諮詢您的專屬法律專業人士。 本主題不對任何 Microsoft 產品的智慧財產權提供合法權利。 貴用戶可以複製本主題,並將其用為內部參考。

快速常見問題集

什麼是 CCPA?

加州消費者隱私法 (CCPA) 是美國的第一個全方位隱私法。 這是在 2018 年 6 月底簽署成為法律,並為加州消費者提供各種隱私權。 由 CCPA 管制的企業將對這些消費者負有許多義務,包括披露、一般資料保護法規 (GDPR) 類似的使用者權限、「自願使用」以進行特定資料傳輸,以及「加入宣告」對未成年人的需求。

誰需要知道 CCPA 的相關資訊?

CCPA 僅適用於每年都符合以下一或多項需求的加州企業公司:(1) 總收入高於 2500 萬美元、(2) 從銷售消費者個人資訊衍生 50% 或更多的年收入,或 (3) 購買、銷售或分享超過 50,000 個消費者的個人資訊。

CCPA 什麼時候會生效?

CCPA 會在 2020 年 1 月 1 日生效。 但是,自 2020 年 7 月 1 日起,檢察總長 (AG) 才會開始執行。

CCPA 對我的公司有何影響?

許多 CCPA 對 Californians 的權力,都與 GDPR 提供的權利類似,包含與資料 (主體) 要求(如存取、刪除及便攜性)類似的披露和使用者要求。 如此一來,客戶就可以從我們現有的 GDPR 解決方案著手,協助他們符合 CCPA 法規。

若要開始 CCPA 之旅,您應該將注意力放在以下五個重要步驟:

  • 探索:找出您所擁有的個人資訊及其存放位置。
  • 對應:決定您與第三方共用個人資訊的方式,並識別第三方是否受到 CCPA 退出需求例外的影響。
  • 管理:控制如何使用和存取資料。
  • 保護:建立安全性控制以防止、偵測及回應安全弱點和資料外洩。
  • 記載:記載資料外洩回應計畫,並確保與適用第三方的合約能夠利用退出例外。

您必須瞭解貴組織在 CCPA 下的特定義務,以及您如何符合這些條件,但 Microsoft 可在這裡幫您進行旅程。

全方位常見問題集

公司必須依據 CCPA 支援哪些權利?

CCPA 會要求可收集、使用、轉移及銷售個人資訊的受控管企業能夠:

  • 在收集之前,向消費者揭露收集的類別和用途。
  • 針對收集的個人資訊,在隱私權原則中提供詳細的揭露,包括如何向其他實體出售或轉移這些類別。
  • 針對您收集的特定個人資訊,啟用與存取、刪除和便攜性相關的消費者權利。
  • 啟用控制項,允許消費者選擇不消費者資料的「銷售」。 不過,某些轉移 (例如轉移到服務提供者) 會持續受到允許。
  • 在 [16] 的 [未成年人] 下,啟用自願加入程式,這樣就不會主動選擇銷售中的個人資訊的銷售。
  • 請確保消費者不會因為根據 CCPA 行使任何權力而受到歧視。

CCPA 所需的揭露是什麼?

CCPA 需要揭露下列資訊:

  • 收集的消費者個人資訊類別。
  • 收集所使用的來源類別。
  • 收集的企業或商業用途。
  • 個人資訊為「共用」之協力廠商的類別。
  • 「已售出」的個人資訊類別,以及銷售每一類個人資訊的「協力廠商」類別。
  • 已因商務目的而披露的個人資訊類別 (也就是說,已轉接但不是「銷售」 ) ,以及每個類別的個人資訊已轉接的協力廠商類別。
  • 已收集該消費者的特定個人資訊。

CCPA 中資料的銷售方式如何?

CCPA 中的「出售」的定義是十分廣泛的功能,包括將個人資訊提供給協力廠商,以進行貨幣或其他重要考慮。 當消費者已選擇「自願外」時,系統會要求公司關閉個人資訊流向任何協力廠商。

CCPA 為此「銷售」自願退出控制提供許多 carve。 三個主要 carve 會將 () 轉接至服務提供者、 (ii) 至「免除的實體」或「承包商」,並在消費者的方向 (iii) 。 即使消費者已選擇「自願」,個人資訊仍可繼續轉接至符合 carve 的協力廠商。

若要充分利用前兩項豁免,企業必須確保轉移受到包含 CCPA 所需之特定條款的書面合約控管。

「公司」和「服務提供者」在 CCPA 內容中的意義為何?

在 CCPA 的內容中,企業是一個人或實體,可判斷使用者的個人資料的用途和方式,服務提供者是代表公司處理資訊的個人或實體。 這些在廣義上與 GDPR 中使用的 控管者處理者 同義。

如果不符合合規性,公司會被處以多少罰鍰?

CCPA 中的私人訴訟權僅限於資料外洩。 根據私人訴訟權,每位消費者每起事件造成的損失在 100 美元到 750 美元之間。 加州檢察總長也可以全面執行 CCPA,並能夠對每次違規行為處以 2500 美元以下,或對每次故意違規行為處以 7500 美元以下的民事罰鍰。

Microsoft 要採取什麼做法才能達到 CCPA 合規性?

由於 Microsoft 已經在全球實施與 GDPR 相關的 DSR,因此我們目前處於符合相關 CCPA 需求的絕佳位置。 我們也已回顧協力廠商資料共用協定,並採取步驟來建立必要的合約條款,以確保我們不會「銷售」個人資訊。

有哪些工具可以協助我的組織開始為 CCPA 做好準備?

  • 開始運用合規性管理員中的 GDPR 評估,作為 CCPA 隱私權計畫的一部分。
  • 建立可有效回應消費者要求的流程。
  • 設定標籤和原則以探索、分類並加上標籤,以及使用 Microsoft 資訊保護來保護敏感性資料。
  • 使用電子郵件加密功能進一步控制敏感性資訊。
  • 若要深入了解,請參閱本部落格文章

GDPR 和 CCPA 有什麼不同?

有許多差異。 更容易著重于相似之處,包括:

  • 透明化/揭露義務。
  • 存取、刪除和接收資料複本的消費者權利。
  • 「服務提供者」的定義,類似 GDPR 定義「處理器」與類似的合約義務。
  • 定義包含「控制器」之 GDPR 定義的「企業」。

CCPA 中最大的差異是讓您可以選擇從資料銷售人員到第三 (方的核心需求,也就是透過「銷售」廣泛定義,以包含共用資料,以進行有價值的考慮) 。 這是比對要處理之物件的廣泛 GDPR (涵蓋這種「銷售」類型),但並未特別局限于涵蓋這種共用類型的較窄和更為明確的義務。

何謂 ' 處理器 ' 和 ' 控制器 '?

控管者是獨自或與其他人共同判斷處理個人資料之用途和方法的自然人或法人、公務機關、局處或其他機構。 處理者是代表控管者處理個人資料的自然人或法人、公務機關、局處或其他機構。

具體來說,會將什麼內容認定為個人資訊?

個人資訊是任何與已識別或可識別個人相關的資訊。 個人的私人、公開或工作角色之間沒有區別。 定義字詞的「個人資訊」會以 GDPR 下的「個人資料」大致對齊。 不過,CCPA 也包含家庭和家用資料。

個人資料的範例包括:

身分識別

  • 名稱
  • 住家地址
  • 公司地址
  • 電話號碼
  • 手機號碼
  • 電子郵件地址
  • 護照號碼
  • 國民身分證
  • 社會安全號碼 (或等同)
  • 駕駛執照
  • 物理、生理或遺傳資訊
  • 醫療資訊
  • 文化身分識別

財務

  • 銀行詳細資料/帳號
  • 稅號
  • 信用卡/轉帳卡號碼
  • 社交媒體貼文

線上成品

  • 社交媒體貼文
  • IP 地址 (歐盟地區)
  • 位置/GPS 資料
  • Cookie

CCPA 如何適用於兒童?

  • CCPA 針對未滿 13 歲的兒童,採用符合兒童線上隱私權保護法 (The Children's Online Privacy Protection Act,COPPA) 的家長同意義務。
  • 若是13到16歲之間的子女,CCPA 會針對其個人資訊的任何「銷售」,提供新的義務,以取得孩子的自願同意。

那麼我員工的個人資料呢?

在 2019 年 10 月,CCPA 通過了多項修訂。 其中一項修訂澄清,CCPA 義務不適用於企業員工的個人資訊。 但是,立法者對該豁免規定了一年的退場機制。 我們期望加州在 2020 年為員工制訂新的資料保護法。  

身為 Microsoft 客戶,我是否需要實施退出控制,才能轉移到 Microsoft?

否。 就像是線上服務提供者,我們採取的步驟,以確保我們在 CCPA 下有資格成為「服務提供者」。 如上所述,即使在消費者選擇退出的情況下,也允許將個人資訊轉移到服務提供者。