加州消费者隐私法(“CCPA”)具有新的要求,如果您的公司受法律规范,则会影响您的网站。由于CCPA是广泛的编写的,因此在在线时代保护加州消费者的目标,许多非加利福尼亚州的企业正在发现它会因为他们的在线活动而影响它们。确定您是否需要使CCPA更新到您的网站的第一步是确定CCPA甚至适用于您的组织。如果CCPA确实适用,您的组织需要确保它符合所有CCPA网站标准。

I. CCPA适用性

你如何知道CCPA是否适用于你的机构?如果您是一家收集和/或处理任何加州居民个人信息的营利性实体,且您至少符合以下要求之一,则CCPA适用:

  • 年总收入(非利润)为2,500万美元或以上;
  • 如果您获得每年至少有50,000名加利福尼亚州居民,家庭和/或设备的个人信息;
  • 如果至少50%的年度收入来自销售加州人的个人信息。

非营利性实体通常被法律排除在外,但如果他们代表营利实体处理个人信息,必须遵守个人信息。有规则管理分享共同品牌的公司合规性(见我们的文章如果您有父母或兄弟组织),有关更多信息)。

在确定您的组织是否符合纳入CCPA监管范围的要求时,重要的是要记住,CCPA中的个人信息定义非常广泛。你可以拿走我们的免费CCPA适用性测验确定您的业务是由CCPA监管的。

II。CCPA网站要求

A.不要出售我的个人信息

CCPA最明确的网站要求影响到企业的主页。任何受监管的公司都必须在其主页上有一个明确的链接,上面写着“不要出售我的个人信息”。该链接必须“清晰且显眼”,并将消费者带到另一个页面,允许他们选择不出售自己的信息。

在规约的文本中提供了此“清除和显眼”链接的特定参数,但律师将专门授予“可识别和统一的选择退出标识或按钮以供所有企业使用”的权力促进消费者意识到选择退出个人信息的机会。“在公开会议期间,在今年早些时候举行的股份期间,评论者建议,AG应实施类似于在线广告中使用的Adchoices标志的统一选择退出标志,以将客户联系到有关Cookie和跟踪技术的选择。目前不清楚是否即将到来的任何此类澄清。

B.在线隐私政策

此外,ccpa监管的企业必须在其在线隐私政策和任何其他政策中包括特定的信息,以明确界定加州人的隐私权。公司需要更新他们的隐私政策,包括:(1)描述消费者根据《消费者信息保护法》享有的权利,(2)描述消费者向其提交消费者信息保护法要求的至少一种指定方法,(3)列出他们在过去12个月内收集的消费者个人信息类别,(4)的类别列表的个人信息在前12个月销售(或者,如果企业没有出售个人信息,他们应当状态),和(5)的类别列表的个人信息披露(非销售)业务目的前12个月(或者,如果他们没有披露个人信息,他们应声明)。根据CCPA,受监管的企业必须至少每12个月更新一次隐私政策。

根据《消费者权益保护法》(见上文第(1)条),有关消费者权益的规定须包括以下通知:

  • 加州的消费者有选择退出的权利,也就是在任何时候指示企业不要将他们的信息出售给第三方的权利;
  • 消费者的信息可以销售(或者消费者的信息不会出售);
  • 除非消费者后来明确授权销售个人信息,否则禁止由消费者销售消费者信息的企业销售这些信息;
  • 如果儿童年龄在13-16岁,或(b)小孩的母公司的同意下,企业可能不会销售未成年人的人数,而未经(1)未成年人的同意书,或者如果儿童少于13岁。

III。提交请求的指定方法

除了授权的选择退出销售选项外,CCPA还授予加利福尼亚消费者要求获得收集有关它们的个人信息的权利。受监管业务必须为提交消费者请求的至少两种指定方法提供:免费电话号码和Web地址。(网站不操作的业务可以提供邮寄地址或其他适用的联系信息作为其第二个指定的提交请求方法。)网站应允许消费者在网站上提出请求,以链接到他们可以提出请求的地方,或给他们电子邮件或其他联系人,他们可以发送请求。

接受在线消费者请求的企业还需要建立一个基于web的流程来验证请求。了解应该如何处理请求是很重要的。根据法律,请求不应在未经核实的情况下得到答复。在没有经过验证的情况下接受信息访问请求,将使公司和消费者面临风险。

CCPA下的可核实请求是消费者提出的请求,该请求使受监管企业能够“合理地核实”该人是该企业已收集的个人信息的消费者。CCPA授权总检察长制定有关核实过程的规定,但在这一点上,总检察长还没有这样做。企业目前正在根据已收集的信息类型创建验证程序。例如,不收集电话号码的企业不应该开始使用电话号码进行验证,如果它已经在收集可以使用的另一条信息。企业应该确保他们的消费者请求验证过程实际上不会使他们面临额外的安全风险。

四、未成年人个人信息的附加要求

虽然Opt-Opt Out Sale Option随时对所有加利福尼亚消费者开放,但组织无法在CCPA事先同意的情况下销售未成年人的个人信息。对于处理未成年人的个人信息的这些组织,他们应该建立一个进程,以确保其网站或应用程序在销售此类信息之前获得。在CCPA下,公司必须从13-16岁的儿童和父母那里获得13岁以下儿童的同意

免责声明:本出版物由SixFifty, LLC准备,提供我们的读者感兴趣的关于加州消费者隐私法案的信息。其目的不在于为特定情况提供法律建议或建立律师-客户关系。SixFifty有限责任公司不提供法律咨询。