《加州消費者隱私法案》(CCPA)解讀三:企業應承擔哪些義務?

數美科技 發佈 2022-05-22T23:54:48.907357+00:00

2020年1月1日,《加州消費者隱私法案》(CCPA)正式生效。經過六個月的合規寬限期,CCPA從當年7月1日開始步入執法階段,加州司法部長有權就不合規的企業提起訴訟、徵收罰款。政府監管倒逼企業加大隱私保護投入。

2020年1月1日,《加州消費者隱私法案》(CCPA)正式生效。經過六個月的合規寬限期,CCPA從當年7月1日開始步入執法階段,加州司法部長有權就不合規的企業提起訴訟、徵收罰款。政府監管倒逼企業加大隱私保護投入。 另一方面,隨著CCPA逐漸為大眾所熟悉,消費者的數據保護意識也在不斷強化,企業陸續收到來自消費者的數據請求。據DataGrail發布的CCPA Trends 2021 Report顯示,自CCPA實施以來,2020年B2C企業平均每月收到11份來自用戶的數據處理請求/百萬用戶,其中又以2020年1月收到的請求數最高,達到33份。1月是CCPA正式實施的時間,很多公司也在此時更新隱私政策,導致用戶的數據請求猛增。這一數據表明,用戶逐漸了解CCPA以及自己所擁有的權利,開始主動採取行動保護自己的個人信息。

在政府監管和消費者數據保護意識提升的雙重壓力下,出海企業應積極理解CCPA給企業施加的新義務,在隱私政策、數據管理架構和內部處理流程三方面提前做好部署,將合規成本儘量降到最低。

01調整隱私政策

CCPA賦予消費者六大權利。企業應在其線上隱私政策或網站上,使用普通用戶易於理解的措辭及語種,向用戶告知CCPA賦予其的數據保護權利,且應保持每年一次的更新頻率。

知情權

企業應在隱私政策中披露其收集、出售或分享的消費者信息類別、信息來源、使用目的、具體內容以及第三方處理機構等。

訪問權

企業應免費向消費者提供其收集、處理過的個人信息,且應使用簡便、通用的格式,確保消費者可毫無障礙地二次使用。

刪除權

企業應在隱私政策中向消費者披露「可要求刪除個人信息的權利」。企業在收到消費者刪除請求時,應核實請求者身份,確認是本人後才能刪除相關信息。

選擇(退出)權

企業應在其網站主頁提供一個顯著的「Do Not Sell My Personal Information」連結,允許消費者或其代理人選擇拒絕出售其個人信息。

除添加上述連結外,企業還應在其線上通用隱私政策或加州消費者專用主頁中告知消費者擁有選擇退出權。

公平交易權

企業不得因消費者行使CCPA賦予的權利而歧視消費者。但企業可為個人信息的收集、出售或刪除提供經濟激勵,包括向消費者支付賠償金等。

需要注意的是,企業提供經濟激勵應取得消費者同意,且用戶應擁有隨時撤回的權利。如果消費者拒絕,在接下來的12個月內,企業不得再次邀請消費者加入激勵計劃。

個人訴訟權

企業應在隱私政策中告知消費者擁有個人訴訟的權利。

02調整數據管理架構

除了在隱私條款中盡到告知義務,企業還應調整其數據管理架構,確保其能夠快速響應消費者請求。在新的隱私保護義務框架下,企業的資料庫不再是單純的信息存儲載體,它將成為一個智能倉庫,能夠對海量數據實現精細化管理。從收集、分類、提取到刪除、分析,這些功能無一不要求數據管理架構的升級,從而實現靈活、便捷的數據管理。

以刪除請求為例,在收到消費者的刪除申請後,企業要在其數百萬量級的用戶資料庫中,快速定位該消費者的個人信息,明確哪些信息是可以刪除的,哪些信息是為提供服務所必需的,再結合實際業務需要和消費者請求,刪除消費者的全部或部分個人信息。

企業還應做好數據標記、數據分類工作,區分出售數據、共享數據和營銷數據等,確保在收到相關數據處理請求後,能快速通知數據服務提供商或第三方處理機構,實現相應的消費者數據請求。除了企業自身,其第三方處理機構、承包商以及數據服務提供商等也應具備類似的數據管理功能。 隨著民眾的數據隱私保護意識不斷提升,消費者開始要求更好地控制個人信息,可以預見,企業在未來收到的消費者數據請求會越來越多。出海企業應儘早優化自己的數據管理架構,對消費者個人信息實行精細化管理,高效處理消費者的數據請求,降低處理成本。

03制定數據請求處理規範

CCPA也規定了企業處理消費者數據請求的操作規範。

請求形式

企業應提供至少兩種指定方式,允許消費者提交數據請求,其中一種方式應為免費電話熱線。此外,若企業僅提供線上服務,僅提供郵件地址即可;若企業擁有網站,網站應可供消費者提交信息披露、刪除或更正信息的請求。

處理時間

企業應在收到消費者請求起的45日內,免費向消費者披露或提供其要求的信息,更正不準確的個人信息,或刪除個人信息。在合理必要的情形下,處理期限可再延長45日,但應在第一個45日期限內告知消費者延期事項。

驗證

企業在收到消費者數據請求後,應對消費者進行驗證,但不得要求消費者為驗證目的創建新帳號。

數據請求範圍

企業應能夠提供收到消費者請求前12個月的消費者信息,但消費者也可要求企業披露超過12個月的信息,除非企業可證明此做法不可行或涉及過多的工作。

員工培訓

企業應確保處理數據請求的員工了解CCPA賦予的消費者權利,並能夠指導消費者行使這些權利。

第三方義務

企業應重新審查與第三方機構簽訂的關於消費者信息披露、出售、共享等方面的合同,確保第三方機構在處理消費者個人信息時符合CCPA的規定。 此外,第三方不得出售或共享已被企業出售或共享的消費者個人信息,除非該消費者收到明確通知,並擁有拒絕的權利。

04合規建議

由於監管壓力和消費者數據保護意識提升,企業必然要在隱私保護上加大投入。Gartner數據顯示,企業人工處理單個請求平均花費1,406美元,按照每百萬用戶月均提出11份數據請求來計算,一個擁有1千萬註冊用戶的平台每年要花費約185萬美元,企業的人力成本和運營成本大幅上漲。

然而,儘管隱私合規成本高昂,實踐證明,它也可以帶來額外的回報。根據思科的一項調查顯示,「大多數組織在隱私保護上的投資能收穫良好的收益,超過40%的企業可收穫至少兩倍回報。」隱私合規雖然在短期內會帶來運營壓力,但長遠來看,主動提升企業的隱私合規水平有助於獲取消費者的信任,為企業品牌注入更多價值。

出海企業面臨陌生的地域環境、文化、語言,在獲取用戶信任方面比本土企業更難,更應在隱私合規上做好萬全準備。CCPA對企業的信息保護義務上做出了具體的規定,企業應在隱私政策、數據管理架構和內部處理流程上做好提前部署,從容應對政府監管與消費者的數據請求,將隱私保護投入轉化為新的增長點。


關注「數美科技」,CCPA全面解讀陸續發布~

關鍵字: