加州消费者隐私法案 (CCPA)

CCPA 概述

加州消费者隐私法 (CCPA) 是美国中第一个全面的隐私法。 它为加州消费者提供了多种隐私权利。 受 CCPA 监管的企业将对这些消费者承担许多义务,包括披露、一般数据保护条例 (GDPR) 类似消费者数据主体权利 (DSR) 、某些数据传输的“选择退出”以及未成年人的“选择加入”要求。

CCPA 仅适用于在加州开展业务并满足以下一项或多项条件的公司: (1 家) 的年总收入超过 2500 万美元,或 (2) 年收入的 50% 以上来自销售加州消费者个人信息,或 (3) 购买, 每年出售或共享超过 50,000 名加州消费者的个人信息。

CCPA 于 2020 年 1 月 1 日生效。 加州总检察长 (AG) 于 2020 年 7 月 1 日开始执行。

加州 AG 执行 CCPA,并有权开具不合规罚款。 CCPA 还提供仅限于数据泄露的私有行动权。 私人诉权规定,每位消费者在每个事件中受到的损失可能介于 100 美元到 750 美元之间。 加州司法部长还可在整体上实施 CCPA,可就每次违规征收不超过 2,500 美元的民事罚款,就每次故意违规征收 7,500 的的民事罚款。

Microsoft 和 CCPA

对于在加州开展业务的商业客户,Microsoft 充当我们的在线服务和专业服务产品/服务的“服务提供商”。 在线服务条款 (OST) 和 Microsoft 专业服务数据保护附录 (MSDPA) 已经满足 CCPA 下服务提供商的要求,并且通常足以允许客户继续将数据传输到我们的在线服务。 因此,客户无需进行其他合同更改,就能根据 CCPA 依赖 Microsoft 作为服务提供商。

如 OST 中所述,Microsoft 遵守适用于其提供在线服务(包括 CCPA)的所有法律和法规。

Microsoft 范围内的云平台和云服务

使用 Microsoft 产品和服务时如何为 CCPA 合规性做好准备

下面是为 CCPA 做好准备的几个步骤:

  • 作为 CCPA 隐私计划的一部分,开始利用 合规性管理器 中的 GDPR 评估。
  • 使用数据主体请求工具建立一个流程, (DSDR) 有效地响应数据主体访问请求。
  • 设置标签和策略,以便使用Microsoft Purview 信息保护发现、分类 & 标签和保护敏感数据。
  • 使用电子邮件加密功能进一步控制敏感信息。

常见问题解答

CCPA 将如何影响我的公司?

向加州人提供的 CCPA 的许多权利与 GDPR 提供的权利相似,包括披露和数据主体权利 (DSR) 请求,例如访问、删除和可移植性。 因此,客户可以使用我们现有的 GDPR 解决方案来帮助他们符合 CCPA。

若要开始 CCPA 之旅,应专注于信息发现、确定如何共享个人信息、管理信息的使用方式、保护方式以及制定正式的数据泄露响应计划。

GDPR 与 CCPA 之间有何区别?

两者存在诸多差异。 可以更轻松地关注相似之处,包括:

  • 透明度/披露义务,
  • 使用者有权访问、删除和接收数据副本,
  • “服务提供商”的定义,类似于 GDPR 定义具有类似合同义务的“处理器”,以及
  • 包含“控制者”的 GDPR 定义的“企业”的定义。

CCPA 的最大区别在于,允许选择退出向第三方销售数据的核心要求, (“销售”的定义广泛,包括共享数据以用于) 的宝贵考虑。

根据 CCPA 的规定,公司必须落实哪些权利?

CCPA 要求受监管的企业收集、转移和出售个人信息,等等:

  • 在信息收集之前就收集类别和收集目的告知消费者。
  • 在隐私策略中提供有关所收集个人信息的来源、业务目的和类别的更详细的披露,包括这些类别如何出售或转移给其他实体。
  • 为已收集的特定个人信息部分启用 DSR 访问、删除和可移植性权限。
  • 启用允许使用者选择不出售使用者数据的控件。 但是,将允许转移到豁免实体,例如服务提供商。
  • 对于 16 岁以下的未成年人,请启用选择加入过程,以便在不主动选择加入销售的情况下,不会出售未成年人的个人信息。
  • 确保未就消费者行使其在 CCPA 下的任何权利歧视该消费者。

CCPA 如何适用于儿童?

  • 针对未满 13 岁的儿童,CCPA 引入了与美国《儿童在线隐私保护法案》(COPPA) 相符的家长同意义务。
  • 对于13至16岁之间的儿童,CCPA 规定了新的义务,要求儿童选择加入。

使用 Microsoft Purview 合规性管理器评估风险

Microsoft Purview 合规性管理器Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估

资源