一文读懂《加州消费者隐私法案》(CCPA)

一文读懂《加州消费者隐私法案》(CCPA)

一文读懂《加州消费者隐私法案》(CCPA)已关闭评论

本文将为您提供一份全面的《加州消费者隐私法案》(以下简称CCPA) 合规实操指南,从法案的核心定义、适用范围,到消费者权利、企业义务,再到与 GDPR 的深度对比。

主要内容包括:

  • 什么是《加州消费者隐私法案》(CCPA)
  • 《加州消费者隐私法案》(CCPA)的核心定义
  • 谁必须遵守《加州消费者隐私法案》(CCPA)
  • CCPA/CPRA 对企业网站意味着什么?
  • 消费者享有的权利是什么?
  • CCPA 的处罚
  • GDPR 与 CCPA 要点对比

另外,美国的监管环境正日趋复杂。除了以 CCPA 为代表的州级消费者隐私保护,2025年4月8日正式生效的《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》(《第14117号行政令》)也将数据安全议题提升至新的战略高度。

我们在文末特此附上针对行政令的【政策解读】供您参考,以构建更全面的合规视野。

什么是《加州消费者隐私法案》(CCPA)?

《加州消费者隐私法案》(CCPA) 是美国的一项州级消费者隐私保护法。它专门适用于加利福尼亚州的居民(该法案将其定义为“消费者”),旨在规范对他们个人信息的保护。

根据该法案的定义,“消费者”是指身为加州居民的自然人,无论其身份如何被识别(包括通过唯一标识符)。而“居民”则指满足以下任一条件的个人:

  • 出于非临时或短暂性目的而身在加州的每一个人;
  • 以及,在加州有住所,但因临时或短暂性目的而身处州外的每一个人。

CCPA 后经《加州隐私权法案》(CPRA) 的修订和扩展,新法案于2023年1月1日生效。CPRA 不仅为消费者赋予了更多权利,还设立了加州隐私保护局 (CPPA) 等机构。

《加州消费者隐私法案》(CCPA) 中的核心定义

CCPA/CPRA 对“个人信息”的定义

CCPA/CPRA 将“个人信息”定义为:“能够直接或间接识别、关联、描述特定消费者或家庭,或能与此合理关联或链接的任何信息。”

CCPA/CPRA 对个人信息的定义范围非常广泛,该法案列举的示例包括但不限于:

  • IP 地址、真实姓名、别名、邮寄地址、社会安全号码和电子邮箱地址。
  • 能够确定个人身份的生物识别信息,例如虹膜、视网膜、指纹、面部、手部、手掌、静脉纹路的图像和录音,以及包含身份识别信息的睡眠、健康或运动数据。
  • 电子活动信息,例如浏览历史记录或与在线广告的互动情况。
  • 专业或就业相关信息。

需要说明的是,在美国,许多国际性及其他州的隐私法律通常将这类信息称为“个人数据”(personal data)。

CCPA/CPRA 对“敏感个人信息”的定义

“敏感个人信息”指一旦被滥用可能对消费者造成损害的信息,其范畴包括但不限于:

  • 驾照、州身份证、护照或社会安全号码。
  • 能够在 1850 英尺(约 563 米)半径内精确定位个人的地理位置数据。
  • 种族或族裔。
  • 与任何必需的密码或凭证相结合,可用于访问账户的借记卡或信用卡号码。
  • 基因数据。
  • 消费者的邮政信件、电子邮件和短信内容。

CCPA/CPRA 对“唯一标识符”的定义

CCPA/CPRA 将“唯一标识符”或“唯一个人标识符”定义为:“一种持久性标识符,可用于在不同时间和跨不同服务中识别某一消费者、家庭或与该消费者或家庭相关联的设备。”

家庭是指监护父母或监护人,及其监护的任何未满 18 周岁的子女。

唯一标识符的示例包括:

  • 设备标识符
  • IP地址
  • Cookie、信标、像素标签、移动广告标识符或类似技术
  • 客户编号、唯一假名或用户别名

CCPA/CPRA 对“同意”的定义

该法案将“同意”定义为:“消费者(或其法定监护人、授权代理人或财产管理人)通过声明或清晰的肯定性行动,自由、具体、知情且明确地表示,同意将其个人信息用于某一狭义界定的特定目的。”

以下情况不构成 CCPA/CPRA 下的有效同意:

  • 接受宽泛或笼统的使用条款或类似文件。
  • 将鼠标悬停在某项内容上、或对其进行静音、暂停或关闭操作。
  • 通过“暗黑模式”(dark patterns) 或其他欺骗性设计获取的同意。

CCPA/CPRA 对“出售”的定义

该法案将“出售”定义为:“企业以口头、书面、电子或其他方式,向第三方出售、出租、发布、披露、传播、提供、转让或以其他方式交流消费者的个人信息,以换取金钱或其他有价值的对价。”

在以下情况下,企业的行为不被视为“出售”信息:

  • 消费者主动使用或指示企业有意向第三方披露其个人信息或与第三方进行互动。
  • 企业使用或共享消费者的标识符,目的是为了告知其他方该消费者已选择不出售或限制使用其个人信息。
  • 作为并购、收购、破产或其他交易的一部分,企业将个人信息作为资产转让给第三方,且该第三方在此类交易中获得了企业的全部或部分控制权。

谁必须遵守《加州消费者隐私法》(CCPA)?

CCPA/CPRA 法律适用于在加州运营、并收集该州居民个人信息的营利性企业,前提是该企业满足以下任一门槛:

  • 上一日历年度的全球总收入超过 26,625,000 美元。
  • 每年接收、购买、出售或共享 10 万或更多消费者或家庭的个人信息。
  • 年收入的一半以上来自出售消费者的个人信息。

值得注意的是,美国其他州近期通过的隐私法已不再将纯粹的营收作为唯一的合规门槛。

对于出海企业而言,最关键的一点是:企业是否在加州设有总部或办公室,与是否需要遵守该法案无关。

只要企业与加州居民有业务往来且满足上述任一门槛,无论其总部位于全球何处,都必须履行 CCPA/CPRA 规定的义务。

CCPA/CPRA 对企业网站意味着什么?

如果一家企业满足了 CCPA/CPRA 的适用门槛,并且拥有网站等线上资产,那么就必须采取一系列措施,以履行其法定义务。

  • 网站必须向访客展示收集声明,其中需列明所收集个人数据的类别和目的、个人信息是否被出售或共享,以及企业将保留这些个人信息的期限。
  • 网站必须包含一份隐私政策,告知消费者其享有的隐私权以及如何行使这些权利,并更详细地说明企业的隐私实践。
  • 如果企业出售或共享个人数据,则必须提供一个标题为“Do Not Sell Or Share My Personal Information”(请勿出售或共享我的个人信息)的链接,以便用户能选择拒绝其个人数据被出售。
  • 同时,还必须提供一个标题为“Limit The Use of My Sensitive Personal Information”(限制使用我的敏感个人信息)的链接,以便用户能选择拒绝其敏感个人信息被用于特定目的。
  • 对于未成年人的个人信息,企业在共享或出售之前,必须获得消费者本人(13至16周岁)或其父母/法定监护人(未满13周岁)的明确同意。

消费者享有的权利是什么?

经 CPRA 修订后的 CCPA 赋予了消费者多项权利,使他们能够保护自己的个人信息,并控制信息的使用方式。

  • 删除权:消费者有权要求企业删除从其本人处收集的个人信息。
  • 更正权:消费者有权要求企业更正其持有的任何不完整或不准确的个人信息。
  • 知情权与访问权:消费者有权了解并访问企业持有的关于他们的个人信息类别、收集信息的目的、信息的来源、接收信息的第三方类别,以及企业收集到的具体个人信息内容。
  • 关于信息出售或披露的知情权:消费者有权了解企业持有哪些个人信息类别、已出售、共享或披露了哪些个人信息类别,以及这些信息被出售、共享或披露给了哪些类别的第三方。
  • 选择退出权:消费者有权选择拒绝企业出售或共享其个人信息。
  • 限制权:消费者有权限制企业使用或披露其敏感个人信息。
  • 不受歧视权:消费者有权因行使其法定权利而免受歧视性待遇。

除了 CCPA/CPRA 中明确规定的这些权利外,消费者还享有数据可携权。当消费者行使知情权和访问权时,企业必须以“结构化、通用且机器可读的格式”向消费者提供其具体的个人信息。

CCPA 的处罚

违反 CCPA/CPRA 的行为将面临民事罚款,具体金额上限如下:

  • 对于非故意违规行为,每次罚款最高可达 2,663 美元。
  • 对于故意违规,或违规行为涉及未成年人个人信息的情况,每次罚款上限则达 7,988 美元。

在数据泄露事件发生后,消费者必须给予企业 30 天的补救期,来纠正其违规行为,之后才能对企业提起诉讼。

GDPR 与 CCPA 要点对比

在数据隐私保护领域,欧盟的《通用数据保护条例》(GDPR) 与加州的 CCPA/CPRA 都是具有里程碑意义的法规。下文将对这两部法规进行并列比较,以探讨它们之间的一些主要异同点。

CCPA 与 GDPR 对比一览表

企业可以通过使用“同意管理平台” (CMP, Consent Management Platform)(如 Usercentrics CMP 或者 consentmanager CMP)等工具,来实现 CCPA/CPRA 的合规。(如您需采购CMP工具,请在文末添加客服微信咨询)

CMP 能够帮助网站展示 Cookie 同意横幅,并通过提供清晰直接的链接或按钮,让用户能够便捷地选择退出数据处理。当消费者行使其选择退出权时,CMP 还可以有效管理 Cookie 和其他追踪技术,并阻止这些技术的使用。

此外,CMP 还能帮助网站遵循 CCPA/CPRA 及其他数据隐私法的规定,就所收集的数据类型、收集目的以及可能接收这些数据的第三方等信息,向用户提供清晰的说明。

《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》政策解读参考信息:

  • https://mp.weixin.qq.com/s/TDTlIHH4BCKePqBqvSG3mw
  • https://www.kwm.com/cn/zh/insights/latest-thinking/interpretation-of-the-new-regulations-on-restrict-access-to-sensitive-personal-data-and-government-related-data-of-the-united-states.html
  • http://www.haiwen-law.com/35/1249

更多数据隐私相关文章:

6月28日欧盟强制无障碍标准上线:企业该如何应对EAA新规?

添加触脉咨询微信客服,获取1V1咨询