每個零售商需要了解加州的隱私法-ESG跨境

該法律于1月1日生效，大多數(shù)零售商尚未做好準備。

2018年6月28日，加利福尼亞州州長杰里·布朗簽署了第375號議案，也稱為加州消費者隱私法案(CCPA)。

該法律將于2020年1月1日生效，類似于歐盟的通用數(shù)據(jù)保護法規(guī)(GDPR)，該法規(guī)要求如Alphabet Inc.，F(xiàn)acebook Inc.，Netflix Inc.，Amazon.com Inc等公司。 。，Twitter Inc.要遵守或面臨數(shù)百萬美元的違規(guī)罰款。盡管企業(yè)越來越意識到不遵守CCPA和GDPR等法規(guī)的后果，但TrustArc最近一項調查中只有14%的受訪者符合CCPA標準。

據(jù)估計，該法律將影響僅在美國的50多萬家企業(yè)以及全球銷售給加州消費者的更多企業(yè)。零售商需要注意法律，因為不遵守規(guī)定可能會導致巨額罰款。

CCPA適用于哪些業(yè)務?

CCPA適用于符合以下任何條件的任何企業(yè)：

一家營利性企業(yè)，向加州任何一家3950萬居民銷售產品，年收入超過2500萬美元。

每年接收或分享超過50,000名加州居民的個人信息的公司。

通過出售加州居民的個人信息，使其年收入至少達到50%的公司。

雖然小企業(yè)主可以松一口氣，但大企業(yè)需要準備或可能面臨巨額罰款。

CCPA的目的是什么?

CCPA專注于消費者的數(shù)據(jù)保護權。該法律將向加利福尼亞州居民提供從世界各地的任何企業(yè)購買商品或服務的商品或服務，這些商品或服務符合CCPA的標準，有權選擇退出其公司存儲的任何個人信息。企業(yè)還必須對從客戶收集的數(shù)據(jù)類型保持透明，包括但不限于：

名稱

地址

電子郵件

電話號碼

社會安全號碼

駕駛執(zhí)照/護照詳情

教育信息

密碼

地理位置

瀏覽數(shù)據(jù)

生物識別數(shù)據(jù)

購買歷史

設備類型

CCPA的關鍵含義

如果任何加利福尼亞人聯(lián)系相關企業(yè)并詢問其存儲的個人數(shù)據(jù)，企業(yè)將有最多45天的時間來回復完整的記錄，否則他們將被視為違反合規(guī)性，因此可能會受到處罰。

消費者將能夠選擇退出存儲或與第三方共享其個人數(shù)據(jù)的企業(yè)。

如果企業(yè)購買了第三方數(shù)據(jù)，加利福尼亞州的消費者將有權知道企業(yè)購買的數(shù)據(jù)包含哪些數(shù)據(jù)，他們與誰共享數(shù)據(jù)以及他們從中購買了誰。

任何加利福尼亞人都可以要求刪除企業(yè)存儲的任何個人信息。

對于16歲以下的加州客戶，企業(yè)必須提供選擇加入; 對于13歲以下的人，他們需要父母或監(jiān)護人的同意。

企業(yè)不能懲罰任何在CCPA下行使其權利的加州消費者。

根據(jù)CCPA，企業(yè)需要提供易于訪問且易于查看的“不銷售我的個人信息”選項，以便消費者可以選擇不與其他第三方共享其個人信息。

加利福尼亞州的司法部長Xavier Becerra將執(zhí)行CCPA。他將能夠針對任何違反消費者權利的企業(yè)起訴或加入集體訴訟。

不遵守CCPA有什么影響?

如果公司違反上述任何要求，則將被視為不合規(guī)。

企業(yè)可能會受到每次無意違規(guī)罰款2,500美元和每次故意違規(guī)7,500美元的罰款。罰款是按“每人/賬戶”征收的。這意味著如果一個加利福尼亞人發(fā)現(xiàn)一個企業(yè)不合規(guī)，他就可以報告。可以合理地假設，如果一個企業(yè)不符合一個加利福尼亞州的消費者，那么它可能不符合所有這些消費者。

如果企業(yè)所有者想知道不遵守CCPA可能承擔多少責任，那么它可以將其擁有的加利福尼亞州客戶數(shù)量增加7,500美元。這可以很快加起來; 即使它只有50位加利福尼亞客戶，也可能面臨37.5萬美元的罰款。如果它在加利福尼亞州擁有1,000或10,000名客戶，這很容易讓許多公司破產。

加州消費者可以起訴數(shù)據(jù)泄露事件

該立法還規(guī)定了消費者對犯錯的業(yè)務采取私人行動的權利。這意味著任何加利福尼亞居民的個人信息被非法訪問，被盜或因不合規(guī)的安全措施而被披露，都可以提起民事訴訟。因此，除了支付罰款之外，如果被盜數(shù)據(jù)未加密或編輯，CCPA要求企業(yè)向其客戶支付費用。

這類民事案件的法定損害賠償金至少為100美元，每個案件的每個消費者上限為750美元，加上法院認為適當?shù)娜魏纹渌?，禁令和其他救濟?/p>

企業(yè)必須加密/編輯其所有客戶的個人信息，以避免此付款。

CCPA準備的步驟

那么企業(yè)可以采取哪些措施來確保它們符合CCPA的要求?我建議的第一步是徹底審核您的數(shù)據(jù)收集，存儲和管理流程。深入了解您收集，存儲和使用客戶數(shù)據(jù)的所有接觸點。請考慮以下問題：

誰可以訪問它?

您收集了哪些數(shù)據(jù)點?

您存儲的是哪種類型的數(shù)據(jù)?

用什么格式?

它加密了嗎?

哪個數(shù)據(jù)庫包含采購歷史?

數(shù)據(jù)在地理位置存儲和使用的位置在哪里?

數(shù)據(jù)是結構化的還是非結構化的?

它可以按地區(qū)隔離，例如加利福尼亞，歐盟，世界其他地區(qū)。

您是否從第三方獲得任何客戶數(shù)據(jù)?CCPA不僅影響企業(yè)收集的數(shù)據(jù)，還影響公司可能購買的任何第三方數(shù)據(jù)。因此，在您從供應商處購買任何第三方數(shù)據(jù)之前，請向他們申請認證以證明他們的CCPA合規(guī)性!

規(guī)劃客戶數(shù)據(jù)請求

當加利福尼亞州有人要求他們提供數(shù)據(jù)時，您是否制定了行動計劃?

誰將成為負責處理這些請求的人?

他會知道如何有效回應嗎?

他將使用哪些工具來提取數(shù)據(jù)?

他將如何管理刪除數(shù)據(jù)的請求?

請記住，如果您在45天內沒有回復，他們可以對您采取行動。

未來的數(shù)據(jù)監(jiān)管證明

GDPR和CCPA只是一長串數(shù)據(jù)法規(guī)生效的開始。這種增加的監(jiān)管合規(guī)可能會開始使公司窒息。擁有一名內部數(shù)據(jù)保護官(DPO)，其職責是確保他們的業(yè)務符合世界各地發(fā)布的所有各種數(shù)據(jù)保護法律，這可能會成為未來的常見問題。但是，有了自動確保您的數(shù)據(jù)符合GDPR的技術解決方案，CCPA或任何未來發(fā)布的新法律是保持合規(guī)的最簡單方法之一。

雖然引入適當?shù)募夹g解決方案可能意味著額外的成本，但保持合規(guī)的成本可能比不合規(guī)成本低很多。因此，72%的美國公司希望投資技術以專門遵守CCPA。正確的技術平臺消除了管理可能存在的數(shù)十種不同數(shù)據(jù)法規(guī)所帶來的壓力，這些法規(guī)目前正在全球不同的州和國家進行。

我建議尋求CIAM技術作為遵守CCPA的經濟有效方式，而不是投資法律費用。借助CIAM技術，企業(yè)可以自定義注冊和登錄頁面，以包含必要的披露聲明并請求客戶同意。它可以將來自多個Web和移動平臺的客戶數(shù)據(jù)簡化為一個配置文件，以便企業(yè)可以根據(jù)請求輕松提供客戶的個人信息。CIAM解決方案還可以加密客戶數(shù)據(jù)并提供世界一流的數(shù)據(jù)保護。CCPA是一個可以通過技術解決的法律問題。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發(fā)表后的30日內與ESG跨境電商聯(lián)系。