《2018 加州消费者隐私法》（CCPA）

网络研讨会：CCPA 诉讼展望与辩护

《2018 加州消费者隐私法》（CCPA）将于 2020 年 1 月 1 日生效。随着合规期限日益临近，第一批关于CCPA的集体诉讼已提起。

了解更多

做好应对 CCPA 的准备了吗？

博钦的“隐私与数据安全”团队主办了“ CCPA 周”活动，其中包括一系列网络研讨会，侧重于为您的企业遵守这一复杂法律做好准备。

CCPA 资源

评估您的企业是否适用 CCPA

Data Management Video Series for Business Executives video thumbnail

企业管理层数据管理视频系列

隐私及安全团队白皮书：CCPA

CCPA 服务-博钦如何提供协助

博钦隐私和安全团队的律师在协助客户遵守世界各地的隐私法方面拥有丰富经验，并擅长帮助企业理解 CCPA 的影响。我们帮助客户审议其当前的数据实践，包括协助创建数据地图或数据清单系统，以识别其收集的个人信息以及此类信息如何被使用、存储、共享、保护、留存和销毁。我们还为已采用信息治理策略的客户提供数据管理实践更新方面的指导。我们与客户精诚协作，最大限度地降低风险，并在隐私权相关的维权诉讼和私人诉讼中为客户进行辩护。

我们的律师为客户提供 CCPA 合规的全方位法律咨询，包括隐私政策更新，用户界面调整，对供应商合同的潜在修改，以及对 CCPA 的潜在修改或解释。我们的团队还为已调整业务实践（例如客户服务，供应商管理和信息技术基础设施）以遵守《通用数据保护条例》（GDPR）或其他隐私法的公司提供咨询服务，根据这些隐私法律，客户能够使用相似的做法进而最大限度地降低 CCPA 合规责任。

应当了解以下内容：

CCPA 适用于在加州开展业务，收集加州消费者个人信息并至少符合以下情形之一的任何营利性实体：

年度总营收超过 2500 万美元，
年度购买、出售或出于商业目的，接收或分享至少 50,000 名加州消费者、家庭或设备的个人信息，或
年度至少 50％的总收入来自出售加州消费者个人信息。

此外，如果一家企业受 CCPA 管辖，如果其子公司和关联公司拥有共同的品牌（包括共享的名称、服务标志或商标），也将受该法管辖。

尽管 CCPA 将于 2020 年 1 月部分生效，然而直到 2020 年 7 月 1 日，或在加州总检察长发布实施法律的规定之六个月后（以较早时间为准），CCPA 才得以实施。我们还预期在 2020 年之前会有与 CCPA 相关的其他立法变化和规则解释出台。公司应考虑 CCPA 是否对其适用，如适用，则应当开始考虑如何遵守该法的规定。

CCPA 适用于“消费者”，广义上是指任何加州居民自然人。尽管法律似乎侧重于保护消费者语境下的个人，但该定义非常宽泛，无可争辩地将雇员涵盖其中。

CCPA 要求在数据实践中提高透明度，并赋予消费者更多的对其个人信息的控制权。根据该法，“个人信息”是指任何“识别、涉及、描述、能直接或间接地合理联系或连结至特定消费者或家庭的信息。”它包括明显的标识符，例如名称、地址和电子邮件地址，但它还涵盖在美国通常不被视为个人信息的信息类别，例如网业浏览信息以及从其他信息中得出的用于创建消费者画像的推论。

CCPA 扩展了加利福尼亚现行法律赋予的权利——包括《加州在线隐私保护法》，《数字世界法案》中针对加州未成年人的隐私权（通常称为 SB 568）和《反客户信息披露法》（Shine the Light Law) —— 并为加州消费者创设了一些新的权利。这些权利通常分为以下几类：

透明度. CCPA 中的若干条款赋予消费者了解公司数据收集实践的权利，例如收集的个人信息的类别，个人信息的收集来源，收集此类数据的业务或商业目的以及共享个人信息的第三方类别。此外，消费者有权知道是否出于商业目的出售或披露其个人信息，以及向谁出售或披露。其中的某些信息必须以通知的方式，例如隐私权政策披露，而其他信息披露则必须回应可验证的消费者请求。
访问权. 消费者有权访问企业收集的关乎他们个人信息的信息，包括对收集的特定个人信息的权利。收到可验证的消费者请求后，公司必须向提出请求的消费者提供在过去 12 个月中收集的有关该消费者特定信息的访问权限，有时以便携形式。
与出售个人信息有关的选择权. 除了要求企业披露个人信息出售的信息外，CCPA 还为消费者提供了对该企业行为的更大控制权。与本法其他方面相一致，“销售”被广泛定义为包括“出于金钱或其他有价值的考虑，将消费者的个人信息出租、发布、披露或以其他方式传达给第三方”。某些数据共享不受销售定义的约束，包括与服务提供商共享某些信息。一般而言，向其他企业或第三方出售个人信息的企业必须允许消费者有权选择退出此类出售。然而值得注意的是，如果此类信息与 16 岁以下的消费者有关，则需要明确选择同意出售个人信息。最后，出售个人信息的公司还必须在其网站主页上载明清晰的链接（或平台或移动应用程序的下载页面），并在其隐私权政策中含有“请勿出售我的个人信息”标签，从而使消费者能够行使其退出权。
删除. 消费者有权要求删除其个人信息。在收到可验证请求后，公司必须删除其所持有的关于消费者的个人信息，除非适用例外情形，如需要保留信息以完成交易，遵守法律义务，言论自由或允许符合消费者期望的内部使用等。
不歧视. 消费者还拥有享受同等服务和价格的一般权利，这意味着，除某些例外情况外，公司通常不得歧视行使其隐私权的人。法律明确禁止拒绝对行使法律赋予权利的消费者提供商品或服务，收取不同的价格，或提供不同等级或质量的产品或服务的做法，尽管可能有某些例外。同时，CCPA 还允许企业提供经济激励措施，作为收集或出售个人信息的交换。

为了遵守 CCPA，企业须考虑证实和回应可验证的消费者请求的实施流程和程序。企业必须提供至少两种方法使消费者能够通过其行使权利，包括至少提供免费电话号码，如果企业建立网站，则至少提供网址。此外，公司必须至少每年更新一次隐私政策中有关披露的内容。任何处理与公司隐私惯例有关的消费者查询的员工或承包商，都必须接受培训，以熟悉 CCPA 中规定的消费者权利以及消费者如何行使这些权利。 CCPA 还规定了企业在与服务提供商签订的合同中应当包含的条款。

加州总检察长拥有 CCPA 的广泛执法权。总检察长可针对未就违反 CCPA 事项进行补救的公司提起民事诉讼，每次违法的罚款最高可达 2500 美元，对每次故意违规征收最高为 7500 美元的罚金。 CCPA 还包含一项针对未补救的未加密数据外泄的有限的私人诉讼权利，该未加密数据泄露可根据加州泄露通知法进行报告。如果由于公司未执行合理的安全标准而导致此类泄露，则每人可寻求最高额的实际损害赔偿或法定损害赔偿，以二者较高者为准，最高为每次违规 750 美元（或通过集体诉讼要求此类损害赔偿）。

业界声誉