推荐阅读：《美国：加州消费者隐私法（CCPA）合规性要求》

2018年6月28日，加利福尼亚州州长杰里·布朗签署了加利福尼亚州消费者隐私法案（CCPA）第375号议事法案，使加州成为第一个通过自己的数据隐私法的美国州。

将于2020年1月1日生效的CCPA向该州超过4千万人提供一系列权利，这些权利与欧洲公民享有的通用数据保护条例（GDPR）的权利相当 - 这两项立法并非如此虽然类似，但它们确实有一些共同的特征，GDPR是一个综合法则，而CCPA则更为有限。

什么是CCPA下的个人信息

CCPA对构成个人信息（PI）的内容进行了非常广泛的定义，将PI定义为“识别，关联，描述，能够直接或间接地与特定关联或可能合理地链接的信息”消费者或家庭。“GDPR的一个关键变化是”家庭“这个词，这增加了法案实施的复杂性。例如，实体收集的数据可能与个人无关，但可能识别家庭。

CCPA还列出了可以定义为PI的示例，其中包括商业信息（“个人财产，购买或获得的产品或服务的记录，或其他购买或消费历史或趋势”），互联网或其他电子网络活动信息（例如浏览和搜索历史），教育信息和音频，电子，视觉，热量，嗅觉或类似信息。

CCPA排除的个人信息

与GDPR类似，CCPA从其范围中排除了可公开获得的信息。根据CCPA，公开信息被定义为“如果与此类信息相关的任何条件，可以从联邦，州或地方政府记录中合法提供”。

举一些例子，CCPA排除了去识别信息，用于与收集信息的目的不同的目标的PI和由加利福尼亚州医疗信息保密法或HIPAA管辖的实体收集的医疗数据。

简要介绍CCPA的范围和应用

CCPA适用于营利性实体，这些实体既收集和处理加州居民的PI信息，也在加利福尼亚州开展业务，而无需在加利福尼亚州实体存在。实体必须满足以下至少一项标准才能申请CCPA：

1. 它们每年的总收入超过2500万美元。

2. 他们每年购买，出售，接收商业用途或为商业目的分享50,000加元或更多加州居民的PI。

3. 他们必须通过出售加州居民的PI来获得至少50％的年收入。

不符合上述三个标准中的任何一个的非营利组织和小公司不需要遵守CCPA。

CCPA还涵盖任何以相同标签运营的此类实体的任何关联，并且还要求某些类型的服务提供商和代表受监管企业处理数据的第三方。

CCPA对加州居民意味着什么

CCPA管理加州居民（或消费者）的PI，授予他们对PI数据的以下权利：

（1）加利福尼亚人有权知道正在收集关于他们的PI。

实体必须通知消费者有关如何以及如何收集和使用PI。

（2）加利福尼亚人有权知道他们的PI是出售还是透露给谁。

如果他们的PI与第三方共享或出售，并且该第三方是谁，则实体必须通知消费者。

（3）加利福尼亚人有权拒绝出售PI。

必须向消费者提供一个简单，简单和直接的流程，选择不将其PI出售给第三方，并为16岁以下的消费者提供特殊规定（必须选择销售他们的PI数据） ）和13岁以下（孩子的父母或监护人必须同意出售他们的PI数据）。

此外，CCPA下的实体必须在其网站上发布“不要出售我的个人信息”链接，以便消费者轻松行使其选择权。

（4）加州人获得PI的权利。

消费者有权要求实体访问，更正或删除其PI数据，实体必须始终告知消费者他们拥有这些权利并遵守这些要求。

在删除PI数据请求实体的情况下，还需要确保消费者的PI也被与他们共享该消费者PI的第三方合作伙伴删除。

但是，此删除要求有一些例外情况，例如，如果需要PI来完成金融交易。

（5）加利福尼亚人享有平等服务和价格的权利，即使他们行使其隐私权。

实体不能歧视行使其权利的消费者，并且CCPA阻止该实体向消费者收取费用，因为他或她行使了CCPA下的权利。但是，该法案中有条款规定允许实体向消费者提供财务激励以允许PI收集。

最后，消费者有权提起个人或集体诉讼，并且每次事件的法定赔偿金或实际损害赔偿金可在100至750美元之间得到赔偿。

CCPA对企业意味着什么，以及作为CIO做什么

为了使遵守该法案的实体更加复杂，CCPA声明加利福尼亚州总检察长必须在2020年1月1日到2020年7月2日之间公布法规（和解释性说明）以及总检察长在最终法规公布后的六个月之前，不允许在CCPA下执行强制执行行动。

CCPA已经更新一次，并且可能会在生效之前进行额外更新，此时，实体必须做好准备，以便完全符合CCPA的许多要求，包括根据最终法规进行的更改。

CCPA要求企业必须在收集PI时向消费者解释其在CCPA下的权利。此通知流程应包括收集的PI类别，PI的使用方式以及业务在过去一年中共享或出售给第三方（以及这些方面的人员）的PI类别。

企业准备合规性的第一步是开始映射它收集的PI，收集它的方式，有权访问它的人，是否与第三方共享以及存储信息的位置。然后必须创建或重组政策和程序，并且必须更新公司的网站以满足CCPA要求。

探讨可能的法律责任，如果他们的PI“由于企业违反实施和维护合理安全程序的义务而受到未经授权的访问和泄露，盗窃或披露，则CCPA有权采取法律行动。和实践。“

CCPA下的罚款非常高，企业未能遵守的规定将受到每次违规最高2,500美元和每次故意违规7,500美元的民事处罚。此外，一旦一个实体被司法部长通知违规行为，它有30天的时间来遵守规定以避免处罚。

展望未来

总结一下想法，2018年是数据隐私世界历史性的一年，首先是执行GDPR，这一立法导致全世界许多国家重新考虑其保护公民隐私的政策，然后与CCPA。

目前，每个美国州都有一项数据保护法，未来可能会有各自版本的隐私法。此外，还有一套不断增加的全球数据安全和隐私法规。这创建了一个复杂的规则和法规网络，CISO需要通过这些网络来保护他们的公司。随着数字转换的并行过程，问题变得越来越复杂，其中个人可识别信息（PII）流经传统的内部部署，大数据和云环境。CISO从哪里开始？

以下是几个重要的方向：

1. 与IT、政策团队和业务部门密切合作，确定或发现PII数据的类型非常重要，这些数据存在于今天以及任何未来的数字化转型计划中。

2. 确定需要满足的法规。

3. 幸运的是，数据安全性和隐私要求存在很多重叠。当您将组织内容融入技术和流程要求时，您会发现加密，标记化，强大的密钥管理和访问控制可以满足许多隐私要求，以保护您的组织免受违规通知操作的影响。

4. 尽可能少地确定战略数据安全平台和供应商，以帮助您满足这些要求。允许您的组织参与数据安全工具蔓延将是昂贵且耗时的。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 关于“欧盟-美国数据隐私框架”的问与答

• 数据脱敏和数据加密一样吗？

• Thales通过新的美国专区扩大OneWelcome身份平台的全球足迹

• 2023年美国国家网络安全战略要点

• 沙特阿拉伯：基本网络安全控制 (ECC) 合规性要求