加州消费者隐私法案 (CCPA)
CCPA 概述
加州消费者隐私法 (CCPA) 是美国中第一个全面的隐私法。 它为加州消费者提供了多种隐私权利。 受 CCPA 监管的企业将对这些消费者承担许多义务,包括披露、一般数据保护条例 (GDPR) 类似消费者数据主体权利 (DSR) 、某些数据传输的“选择退出”以及未成年人的“选择加入”要求。
CCPA 仅适用于在加州开展业务并满足以下一项或多项条件的公司: (1 家) 的年总收入超过 2500 万美元,或 (2) 年收入的 50% 以上来自销售加州消费者个人信息,或 (3) 购买, 每年出售或共享超过 50,000 名加州消费者的个人信息。
CCPA 于 2020 年 1 月 1 日生效。 加州总检察长 (AG) 于 2020 年 7 月 1 日开始执行。
加州 AG 执行 CCPA,并有权开具不合规罚款。 CCPA 还提供仅限于数据泄露的私有行动权。 私人诉权规定,每位消费者在每个事件中受到的损失可能介于 100 美元到 750 美元之间。 加州司法部长还可在整体上实施 CCPA,可就每次违规征收不超过 2,500 美元的民事罚款,就每次故意违规征收 7,500 的的民事罚款。
Microsoft 和 CCPA
对于在加州开展业务的商业客户,Microsoft 充当我们的在线服务和专业服务产品/服务的“服务提供商”。 在线服务条款 (OST) 和 Microsoft 专业服务数据保护附录 (MSDPA) 已经满足 CCPA 下服务提供商的要求,并且通常足以允许客户继续将数据传输到我们的在线服务。 因此,客户无需进行其他合同更改,就能根据 CCPA 依赖 Microsoft 作为服务提供商。
如 OST 中所述,Microsoft 遵守适用于其提供在线服务(包括 CCPA)的所有法律和法规。
Microsoft 范围内的云平台和云服务
- Azure
- Azure Dev Ops
- Dynamics 365
- Intune
- Office 365
- 支持和专业服务
- Visual Studio
使用 Microsoft 产品和服务时如何为 CCPA 合规性做好准备
下面是为 CCPA 做好准备的几个步骤:
- 作为 CCPA 隐私计划的一部分,开始利用 合规性管理器 中的 GDPR 评估。
- 使用数据主体请求工具建立一个流程, (DSDR) 有效地响应数据主体访问请求。
- 设置标签和策略,以便使用Microsoft Purview 信息保护发现、分类 & 标签和保护敏感数据。
- 使用电子邮件加密功能进一步控制敏感信息。
常见问题解答
CCPA 将如何影响我的公司?
向加州人提供的 CCPA 的许多权利与 GDPR 提供的权利相似,包括披露和数据主体权利 (DSR) 请求,例如访问、删除和可移植性。 因此,客户可以使用我们现有的 GDPR 解决方案来帮助他们符合 CCPA。
若要开始 CCPA 之旅,应专注于信息发现、确定如何共享个人信息、管理信息的使用方式、保护方式以及制定正式的数据泄露响应计划。
GDPR 与 CCPA 之间有何区别?
两者存在诸多差异。 可以更轻松地关注相似之处,包括:
- 透明度/披露义务,
- 使用者有权访问、删除和接收数据副本,
- “服务提供商”的定义,类似于 GDPR 定义具有类似合同义务的“处理器”,以及
- 包含“控制者”的 GDPR 定义的“企业”的定义。
CCPA 的最大区别在于,允许选择退出向第三方销售数据的核心要求, (“销售”的定义广泛,包括共享数据以用于) 的宝贵考虑。
根据 CCPA 的规定,公司必须落实哪些权利?
CCPA 要求受监管的企业收集、转移和出售个人信息,等等:
- 在信息收集之前就收集类别和收集目的告知消费者。
- 在隐私策略中提供有关所收集个人信息的来源、业务目的和类别的更详细的披露,包括这些类别如何出售或转移给其他实体。
- 为已收集的特定个人信息部分启用 DSR 访问、删除和可移植性权限。
- 启用允许使用者选择不出售使用者数据的控件。 但是,将允许转移到豁免实体,例如服务提供商。
- 对于 16 岁以下的未成年人,请启用选择加入过程,以便在不主动选择加入销售的情况下,不会出售未成年人的个人信息。
- 确保未就消费者行使其在 CCPA 下的任何权利歧视该消费者。
CCPA 如何适用于儿童?
- 针对未满 13 岁的儿童,CCPA 引入了与美国《儿童在线隐私保护法案》(COPPA) 相符的家长同意义务。
- 对于13至16岁之间的儿童,CCPA 规定了新的义务,要求儿童选择加入。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。