导言：

2020年1月1日起，《加利福尼亚州消费者隐私法案》（CCPA）将对处理加利福尼亚州（加州）居民（包括员工）的“个人信息”的所有公司施加类似《通用数据保护条例》（GDPR）的透明度和个人权利要求。在没有反对票的情况下，加州议会通过的CCPA被称为美国“最严厉、最全面的个人隐私保护法案”。该法案具有示范效应，或将被美国其他州或域外借鉴，加重中国企业海外业务的个人信息保护责任。

一、法案主要内容

不同于以往美国针对特定行业或者特定隐私权事项的法案，CCPA广泛适用于收集加州消费者个人信息的企业。法案赋予了消费者对公司收集和管理其个人信息更多的控制权，规范了企业收集处理数据的方式。一是规定消费者对企业收集和管理其个人信息拥有更多控制权；二是对企业收集处理数据的方式划定了红线。法案规定，对于那些拥有5万名以上消费者信息的企业，消费者有权要求该企业披露其收集的信息类别和具体内容，包括企业可收集哪些个人数据、收集目的、哪些第三方可使用这些数据等。消费者还有权要求企业删除所收集的个人信息。法案为消费者创建了访问权、删除权、知情权等一系列消费者隐私权利：

访问权：消费者有权要求收集个人信息的企业向消费者披露其收集的信息类别和具体内容；

删除权（Opt-Out Right）：消费者有权要求企业删除其所收集的任何个人信息，对于未成年人，有统一选择不出售其个人信息的权利（Opt-In Right），并禁止歧视行使这些权利；

知情权：消费者有权知道其个人信息被卖去何处，企业必须发布有关消费者的个人信息如何被出售或披露以及向何第三方披露信息。

对此，企业需要根据消费者要求披露收集了哪些信息；根据消费者的要求删除相关数据；尊重消费者选择不出售个人数据的权利，不得通过拒绝给消费者提供商品或服务，或者对商品或者服务收取不同的价格或者费率的方式歧视消费者行使此项权利。该法律还允许消费者在发生数据泄露事件时请求法定损害赔偿，为加州的数据泄露集体诉讼打开了新大门。

在罚则方面，企业违反隐私保护要求将面临支付给每位消费者最高750美元的赔偿金以及最高7500美元的民事处罚。对企业而言，法案规定企业要尊重消费者选择不出售个人数据的权利，不得通过拒绝给消费者提供商品或服务，或者通过对商品、服务收取不同的价格或者费率的方式，歧视消费者行使此项权利。此外，禁止企业在未经本人授权情况下出售16岁以下未成年人的个人资料，而对于未满13周岁的儿童，则需要获得其父母的许可。企业需要根据消费者要求，披露收集了哪些信息和删除了哪些相关数据等。若违反法案，企业将面临最高7500美元的民事处罚，以及向每位消费者支付最高750美元的赔偿金。

二、法案适用对象

虽然该法律保护仅适用于加州公民，但事实上将影响美国的绝大部分。加州是美国人口最多的州。该州之外的许多企业会发现，在隐私政策或退出规定方面，对加州和非加州居民采取不同的处理方式会造成很多麻烦。从理论上讲，即便是非加州的IP地址也可以在加州境内使用，加州居民也可暂时在加州境外办理业务。此外，由于加州是全球科技创新和互联网发展的中心与引领者，对全球经济发展也有着举足轻重的影响，很多跨国公司在加州设有分公司，加州企业在全球也设有很多分支机构，这些企业也可能需要遵守CCPA的相关要求。因此，CCPA对利用个人信息的规范不仅限于加州或者美国，甚至影响海外公司。

CCPA将对下列公司产生影响：

处理加州内客户、B2B联系人或者员工的个人信息的公司，及

以营利为目的并满足以下一个或多个条件的公司：

（a）年总收入超过2500万美元；

（b）每年处理不少于50,000个消费者、家庭或设备的个人信息；

（c）有不少于50%的年收入来自于出售个人信息；或

（d）是处理个人信息的服务供应商。

CCPA所规定的大部分义务直接适用于“商业主体”（即决定处理个人信息目的和方式的实体），但是处理个人信息的服务提供商和其他第三方也将受到影响。对于去识别的信息或汇总信息，企业可以使用、保留、出售或披露。如果交易的所有环节完全发生在加州以外，那么企业可以收集或出售个人信息。但是，如果消费者位于加州，那么企业不能在设备上存储其个人信息，并用于收集加州以外的数据。

三、对中国相关企业的影响

该法案适用于在加利福尼亚州开展业务的实体—即使其可能在加利福尼亚州并没有设立办事处，而只是对在该州经营的企业进行了投资。该法案还可能成为其他美国联邦和/或州隐私立法的先声。由于 CCPA 的一些条款可向前追溯 12 个月，因此企业应该立即开始规划其合规工作，包括进行数据映射和业务影响评估。中国企业应当：

首先确定自身是否是CCPA管辖对象；

对公司目前实践与CCPA要求进行差距评估；

准备并执行工作计划并以经济高效的方式实现合规，在适用的情况下利用现有的GDPR合规工作成果；

理解CCPA与GDPR条款中的细微差别，例如鉴别商业主体合作伙伴为服务供应商、第三方或法律规定的其他事项；

开展合规工作，包括：

（a）进行数据清点；

（b）设计流程以回应个人权利要求；

（c）起草隐私通知；

（d）准备合同，包括更新GDPR数据处理附录（DPAs）以涵盖CCPA。

业内专家认为，随着网络技术和应用的飞速发展，互联网企业利用用户数据发财大行其道，而如何保护用户隐私，尤其是广大个人用户的隐私，则是一个世界性的难题。

近年来，美国互联网企业泄露用户数据事件接连发生，且愈演愈烈。2018年3月爆出的“剑桥分析”丑闻中，8700万脸书用户数据遭泄露；2017年11月优步数据泄露事件中，5700万用户数据遭殃；2017年10月，雅虎用户数据泄露事件涉及的用户数高达30亿……加州通过新法案保护用户个人数据隐私，给众多互联网企业敲响了警钟。个人信息法制建设也应当响应这一重要国际内镜，国内企业走出去同样需要回应个人数据法律保护的共同关切点。

（文章来源：搜狐）
注：内容均来源于互联网，版权归作者所有，如有侵权，请联系告知，我们将尽快处理。