汽车经销商预期CCPA将产生重大影响

美国汽车经销商行业不像美国其他行业那样受到欧盟《通用数据保护条例》(GDPR)的影响,但预计将受到2020年1月1日生效的《加州消费者隐私法》(California Consumer Privacy Act)的重大影响。GDPR是隐私法的一个巨大变化。它成为世界上最繁琐、最普遍适用的隐私法。一个民意调查普华永道(PriceWaterHouseCoopers)的调查发现,77%的企业预计要支付超过100万美元的费用才能遵守新的欧盟法律。

与GDPR一样,CCPA也监管公司如何处理个人信息(PI)。CCPA授予加州消费者访问、删除和选择不出售其数据的新权利,同时对收集、存储和出售加州个人信息的实体进行了限制。许多美国企业预计,为了达到CCPA的要求,他们将花费与GDPR合规类似的金额。

国际隐私专业人士协会(IAPP)估计,美国有超过50万家企业需要遵守这项新法律,仅在加州就有超过10万家企业需要遵守。

随着最后期限的临近,重要的是,汽车经销商明白什么CCPA要求和如何遵守。下面的白皮书简要介绍(1)谁需要遵守CCPA,(2)汽车行业是如何CCPA下独特的,(3)什么CCPA需要,以及(3)什么样的惩罚对违规的。

CCPA适用于谁?

很难确定CCPA是否适用于你的业务。法律是复杂的,有各种因素决定你的公司是否必须遵守。幸运的是,Wilson Sonsini Goodrich & Rosati律师事务所(Wilson Sonsini Goodrich & Rosati)的隐私专家将这些因素归纳为三个简单的问题,涵盖了大多数公司。

首先,您的公司是否处理加利福尼亚州居民的个人信息?请记住:在CCPA下,个人信息的定义非常广泛(点击这里了解更多)。CCPA将个人信息定义为可以识别,与描述有关的任何数据能够与人或家庭合理地联系起来。

如果答案是否定的,你的业务可能不需要遵守CCPA。新法律只适用于在加州做生意的公司,或处理加州居民个人信息的公司。如果您的公司直接向加州消费者销售产品,或者跟踪保修或其他与您向加州消费者销售的产品/服务(车辆、零部件、保修或车辆维修)相关的信息,您应该回答是。

如果答案是肯定的,那么你需要回答下一个问题。

第二,下列适用于你的公司:(1)你每年收入超过2500万美元,(2)你处理个人数据为50000人,设备,或家庭每年来自加州,或(3)你把至少一半的收入来自销售加州居民的信息吗?如果没有这三个申请,你的公司可能并不需要遵守CCPA。请记住,有一些例外情况,所以与律师与律师说话很重要。但是,如果这三种方案中的任何一个都适用,那么您需要回答下一个问题。

第三,是贵公司的利润吗?如果答案是否定的,那么您的组织可能不需要遵守CCPA。CCPA只适用于营利性企业;但是,如果您的非营利组织代表营利性实体处理信息,则有一个重要的例外。在这种情况下,您的组织需要遵守新的法律。

如果您对这三个问题的回答都是肯定的,那么您的业务很可能需要遵守ccpa,而您还有很多工作要做。以下部分概述了法律下的主要义务和可能在抵押贷款行业中发挥作用的具体例外情况。

要查看这些问题生成结果的自动版本,请点击这里

如何为汽车行业中独树一帜根据CCPA?

并非所有汽车经销商收集的个人信息都受CCPA管辖。根据隐私条例(如1994年的《司机隐私保护法》)收集的个人信息不属于CCPA的范围。汽车经销商还应特别注意AB 1146修正案,该修正案已在加州议会获得通过,目前正在参议院审议。AB1146将免除新汽车经销商和汽车制造商之间共享的车辆信息,当这些信息是根据(或预期)与保修工作有关的车辆维修或车辆或部件召回而共享或保留时。

根据《格雷姆-里奇-比利利法案》(GLBA)及其实施法规或《加州金融信息隐私法案》(CFIPA)收集、处理、出售或以其他方式披露的个人信息也不受CCPA的约束。但任何不在这些法律范围内的信息活动,如营销、销售和客户服务,都受CCPA的约束。

因为GLBA和CFIPA界定个人信息更窄比CCPA,它们的定义只包括谁已申请或从监管实体接收产品或服务的个人。即,除其他事项外,汽车经销商应该重新评估他们的非GLBA / CFIPA监管的个人资料相关联的安全协议,使这意味着确保它满足CCPA要求。如果数据被破坏,CCPA不等的罚款高达创纪录的$ 7,500是可能的。

个人信息的收集和处理的活动并不受上述法律,如市场营销,销售和客户服务活动,都受到了爱国会。(有关信息进行了深入的审查,分为CCPA删除豁免,点击这里。)

除了上述担忧之外,受CCPA监管的汽车经销商还必须遵守CCPA的所有指导方针,以获取未被豁免的信息。CCPA赋予加州消费者四项权利:(1)了解企业收集了关于他们的哪些个人信息、如何收集、收集目的以及是否将其出售以及出售给谁;(2)选择不出售其个人信息的权利;(3)个人信息被删除的权利;(4)即使他们行使CCPA的隐私权,也有权从企业获得平等的服务。为了遵守这些权利和CCPA对其施加的其他限制,企业有四项主要义务:(1)提供适当的披露和文件;(2)消费者请求管理;(3)映射他们的数据(这不是CCPA明确要求的,但支持1和2);(四)关于注册会计师的员工培训。

披露的信息

CCPA要求企业在收集加州居民的个人信息之前,必须向他们披露以下信息:

  • 贵公司收集的个人信息;
  • 你的公司从谁那里收集个人信息;
  • 为什么贵公司收集个人信息;
  • 您的公司与谁共享个人信息;
  • 贵公司销售的个人信息的哪些类别;
  • 你的公司在其他方面分享哪些类别的个人信息;
  • 哪些权利消费者有CCPA下;和
  • 消费者应与之联系,了解其在CCPA下的权利。

如果公司有自己的网站,这些信息必须在公司的在线隐私政策中披露。要了解更多关于SixFifty如何帮助您的企业起草隐私政策披露和其他CCPA文件,点击这里

消费者请求

CCPA要求公司允许加州消费者要求涉及的业务:(1)提供关于他们收集了什么个人信息以及他们与谁分享了他们的个人信息的信息,(2)删除他们的个人信息,或(3)不出售他们的个人信息。公司必须提供至少两种方式让消费者提出要求:通过电话和通过公司网站。根据该法律,公司有45天时间对每项请求做出回应。然而,在某些情况下,这一期限可以延长至90天。法律要求公司能够提供过去12个月的数据。

CCPA下的请求要求通常被认为是法律中最繁琐的部分。除了预先更改隐私政策、合同和其他文档外,企业还必须创建一个流程,通过该流程,消费者可以要求企业披露他们拥有的关于消费者的哪些数据,这些数据是如何共享的,他们是如何获得这些信息的,以及如何允许消费者要求企业删除或停止分享他们的个人信息。除了一些例外情况,企业有义务尊重这些要求。

在消费者选择退出后,没有消费者明确的书面同意,企业不能出售消费者的信息。在消费者选择退出后的12个月内,公司不能要求获得消费者的同意。因此,请求管理是必须跟踪的持续需求,以确保遵从性。要了解更多关于SixFifty在帮助公司管理消费者需求方面所做的工作,点击这里

数据映射

与GDPR不同,数据映射不是CCPA的明确要求。然而,为了创建一个健壮的请求管理系统并确保您的公司遵循其他需求,数据映射是CCPA强加的一个不成文的需求。

为了解答消费者的访问请求什么信息有关消费者以及该公司如何使用它你的公司收集,你需要映射你的数据。爱国会还要求与第三方服务提供商的合同包括的具体内容,您作为经销商可能会处理一些第三方,其中一些人将最好地CCPA的规定被划分为服务提供商如果实现了正确的契约条款。公司必须知道是谁所有的服务提供商都在为了实现这些新的合同条款。这是因为相对于服务供应商的第三方信息共享为CCPA下的信息“出售”治疗的一个重要步骤。

除了是实现CCPA合规的必要步骤之外,数据地图还将使您的公司能够真正了解您拥有哪些数据,以及您如何使用或不使用这些数据。许多公司发现,他们有自己不需要或使用的个人信息,从而使自己暴露在不必要的安全风险中,而CCPA对违反安全规定的罚款又加剧了这种风险。

培训

CCPA要求公司在涉及(1)符合CCPA的组织中培训任何人的政策,(2)本公司的隐私实践以及(3)处理消费者请求。CCPA培训必须每年更新,并根据法律的要求教授员工如何处理消费者的个人信息,特别是关于应对CCPA下的消费者请求。要了解有关六次步骤的更多信息,以帮助公司培训员工,点击这里

处罚对违规

CCPA规定的处罚分为两类:(1)违规和(2)数据违规。违反CCPA的诉讼可以由司法部长或消费者提起民事诉讼。

1.监管违规行为

公司每次违反CCPA最高可被罚款2,500美元,每次“故意”违反最高可被罚款7,500美元。故意违反行为包括公司知道根据法律应该采取但选择不采取的任何行为。一些专家推测,违反规定的情况将按人均计算,就像加州最高法院在其他案件中计算违反规定的情况一样。

根据这一理论,如果一家企业无视CCPA的信息披露要求,加州总检察长可能会对每个访问该公司网站的消费者处以7500美元的罚款——这可能是一个惊人的数额。Facebook在加州约有2460万用户;如果被发现违反了CCPA,它可能面临最高约616亿美元的非故意CCPA违规罚款和1847亿美元的故意罚款。预计司法部长将对这一点作进一步澄清。

2.安全漏洞
根据CCPA,如果一家公司没有采用“合理”的安全措施来保护个人信息,公司可以每惩罚在CCPA下一次数据泄露丢失记录$ 750元。该公司还可以通过每一个消费者谁了他们的个人资料泄露,取其金额较高。CCPA所经历的实际损失带电是一种独特的规律,它赋予公民这种私有“行动的权利。”

结论

2018年《加州消费者隐私法》是美国历史上最重要的隐私法律之一。它将以一种比任何诉讼中的隐私法规更深远的方式影响更多的企业。汽车经销商应该尽早开始准备,以满足新法律的要求。要了解更多关于SixFifty如何帮助您的公司加快CCPA合规,请访问//www.advancedpw.com/solutions/ccpa.要查看一个有助于将您的业务纳入合规的时间表,点击这里

***加州立法机关正在考虑多项修订,因此请务必定期查看我们的博客以进行立法更新。***

免责声明:本出版物由六菲菲,LLC编写,为读者提供有关加州消费者隐私法的读者的信息。它不旨在为特定情况提供法律建议或创建律师 - 客户关系。六菲菲,LLC没有提供法律建议。