介绍

The real estate and mortgage lending industries in the United States were not as impacted by the European Union’s General Data Protection Regulation (GDPR) as some other U.S. sectors, but they anticipate a significant impact from the California Consumer Privacy Act that goes into effect on January 1, 2020. The GDPR was a sea change in privacy law. It became the most burdensome, generally applicable privacy law in the world. A民意调查普华永道,77%的企业预计将支付超过100万美元来遵守新欧盟法律。

与GDPR一样,CCPA也监管公司如何处理个人信息(PI)。CCPA授予加州消费者访问、删除和选择不出售其数据的新权利,同时对收集、存储和出售加州个人信息的实体进行了限制。许多美国企业预计,为了达到CCPA的要求,他们将花费与GDPR合规类似的金额。

国际隐私专业人士协会(IAPP)估计,美国超过500,000辆业务,仅包括加州在加利福尼亚超过100,000多个企业,需要遵守新法律。

随着截止日期快速接近,重要的是要理解CCPA所需的内容以及如何遵守。以下白皮书简要概述(1)谁需要遵守CCPA,(2)抵押贷款行业如何在CCPA下是独一无二的,(3)CCPA所需的是什么,以及(3)罚款是不合规的。

CCPA适用于谁?

难以确定CCPA是否适用于您的业务。法律是复杂的,有各种因素确定贵公司是否必须遵守。幸运的是,律师事务所的隐私专家威尔逊Sonsini Goodrich&Rosati将这些因素蒸馏成三个简单的问题,包括大多数公司。

首先,您的公司是否处理加利福尼亚州居民的个人信息?请记住:在CCPA下,个人信息的定义非常广泛(点击这里了解更多)。CCPA将个人信息定义为可以识别,与描述有关的任何数据能够与人或家庭合理地联系起来。

如果答案是否定,您的业务可能不需要遵守CCPA。新法律仅适用于加利福尼亚州的业务的公司,或以其他方式处理加利福尼亚州的个人信息。

但是,如果答案是肯定的,则需要回答下一个问题。

第二,下列适用于你的公司:(1)你每年收入超过2500万美元,(2)你处理个人数据为50000人,设备,或家庭每年来自加州,或(3)你把至少一半的收入来自销售加州居民的信息吗?如果这三个申请均未适用,您的公司可能不需要遵守CCPA。请记住,有一些例外情况,所以与律师与律师说话很重要。但是,如果这三种方案中的任何一个都适用,那么您需要回答下一个问题。

第三,是贵公司的利润吗?如果答案是否定的,那么您的组织可能不需要遵守CCPA。CCPA仅适用于营利性企业;但是,如果您的非营利性代表营利实体处理信息,则存在重要的例外。在那种情况下,您的组织需要遵守新法律。

如果您对这三个问题的回答都是肯定的,那么您的业务很可能需要遵守ccpa,而您还有很多工作要做。以下部分概述了法律下的主要义务和可能在抵押贷款行业中发挥作用的具体例外情况。

要查看这些问题生成结果的自动版本,请点击这里

CCPA下的抵押贷款业是如何独特的?

并非抵押贷款机构收集的所有个人信息都受CCPA的约束。根据《格雷姆-里奇-比利利法案》(GLBA)及其实施法规或《加州金融信息隐私法案》(CFIPA)收集、处理、出售或以其他方式披露的个人信息不受CCPA的约束。但任何不在这些法律范围内的信息活动,如营销、销售和客户服务,都受CCPA的约束。

由于这些条例定义了比CCPA的个人信息,因此他们的较窄定义仅包括从受监管实体申请或接收服务或产品的人。这意味着,除此之外,抵押贷款人应重新评估与非GLBA / CFIPA监管个人数据相关的安全协议。如果该数据遭到破坏,CCPA罚款范围为每次记录最高可达7,500美元。

除了上述安全问题外,CCPA监管贷款人还必须遵守所有未通过GLBA和CFIPA免除该信息的CCPA指南。CCPA为加州消费者提供四个权利:(1)了解企业收集的个人信息,它如何收集它,其目的以及它是销售谁。(2)选择退出其个人信息的权利;(3)删除个人信息的权利;(4)即使他们行使其CCPA隐私权,也可以从业务获得平等服务的权利。为了遵守CCPA的这些权利和其他限制,业务有四项主要义务:(1)提供适当的披露和文件;(2)消费者请求管理;(3)映射其数据(CCPA没有明确要求,但允许1和2);(4)关于CCPA的员工培训。

披露

CCPA要求企业在收集加州居民的个人信息之前,必须向他们披露以下信息:

  • 贵公司收集的个人信息;
  • 您的公司来自谁收集个人信息;
  • 为什么贵公司收集个人信息;
  • 谁公司与个人信息共享;
  • 贵公司销售的个人信息的哪些类别;
  • 您公司否则股份的个人信息的哪些类别;
  • 消费者在CCPA下有什么权利;和
  • 消费者应与之联系,了解其在CCPA下的权利。

如果公司有自己的网站,这些信息必须在公司的在线隐私政策中披露。要了解更多关于SixFifty如何帮助您的企业起草隐私政策披露和其他CCPA文件,点击这里

消费者要求

CCPA要求公司允许加州消费者要求提供有关的业务:(1)提供有关他们所收集的个人信息的资料以及他们与其个人信息分享的个人信息,(2)删除其个人信息,或(3)不销售他们的个人信息。公司必须为消费者提供至少两种方式来提出请求:通过电话和他们的网站。公司有45天的时间来回应法律下的每项要求。然而,这一截止日期可以在某些情况下延长至90天。法律要求公司能够提供返回前12个月的数据。

根据CCPA的请求要求通常被认为是法律的最繁重的部分。除了前期改变隐私政策,合同和其他文件之外,业务必须创建一个过程,消费者可以要求企业披露他们对消费者的数据,如何共享,以及它们如何获得它们作为允许消费者要求业务删除或停止分享他们的个人信息。企业有义务以一些例外履行这些请求。

在消费者选择退出后,没有消费者明确的书面同意,企业不能出售消费者的信息。在消费者选择退出后的12个月内,公司不能要求获得消费者的同意。因此,请求管理是必须跟踪的持续需求,以确保遵从性。要了解更多关于SixFifty在帮助公司管理消费者需求方面所做的工作,点击这里

数据映射

与GDPR不同,数据映射不是CCPA的明确要求。然而,为了创建一个健壮的请求管理系统并确保您的公司遵循其他需求,数据映射是CCPA强加的一个不成文的需求。

为了回答消费者访问关于您公司收集的信息的信息,以及公司如何使用它,您需要映射数据。CCPA还要求您与第三方服务提供商的合同包括特定要素。公司必须知道他们所有的服务提供商是谁,以便实施这些新的合同条款,并能够确定哪些实体是第三方,而不是CCPA下的服务提供商(与第三方与服务提供商相反的信息共享,而是对待服务提供商。as the ‘sale’ of information under the CCPA).

除了是实现CCPA合规的必要步骤之外,数据地图还将使您的公司能够真正了解您拥有哪些数据,以及您如何使用或不使用这些数据。许多公司发现他们有自己不需要或使用的个人信息,从而使自己暴露在不必要的安全风险中,而CCPA对违反安全规定的罚款又加剧了这种风险。

要了解有关六次步骤的更多信息,以帮助公司培训员工,点击这里

培训

CCPA要求公司在涉及(1)符合CCPA的组织中培训任何人的政策,(2)本公司的隐私实践以及(3)处理消费者请求。CCPA培训必须每年更新,并根据法律的要求教授员工如何处理消费者的个人信息,特别是关于应对CCPA下的消费者请求。要了解有关六次步骤的更多信息,以帮助公司培训员工,点击这里

不合规的处罚

CCPA规定的处罚分为两类:(1)违规和(2)数据违规。违反CCPA的诉讼可以由司法部长或消费者提起民事诉讼。

1.监管违规行为
每股违反CCPA的公司可能会受到最高2,500美元的惩罚,每年的违规行为达到7,500美元。故意违规包括公司知道它应该根据法律承担的任何行动,而是选择。有些专家猜测,违规行为将在加利福尼亚最高法院在其他案件中计算违规行为的方式确定。
根据这一理论,如果一家企业无视CCPA的信息披露要求,加州总检察长可能会对每个访问该公司网站的消费者处以7500美元的罚款——这可能是一个惊人的数额。Facebook在加州约有2460万用户;如果被发现违反了CCPA,它可能面临最高约616亿美元的非故意CCPA违规罚款和1847亿美元的故意罚款。预计司法部长将对这一点作进一步澄清。

2.安全漏洞
根据CCPA,如果公司没有采用“合理”的安全措施来保护个人信息,则公司可以在CCPA下的数据违约中丢失750美元。该公司也可以收取每个消费者经历的实际损失,这些消费者都有个人数据受到损害,无论哪种数量更高。CCPA是一个独特的法律,因为它授予公民这一私人的“行动权”。

结论

2018年加利福尼亚州消费者隐私法案是美国历史上最重要的隐私法之一。它将以比任何诉讼隐私法规更深刻的方式影响更多的企业。抵押贷款贷款人应开始尽早准备,以满足新法律的要求。要了解有关SixFifty如何帮助您的公司加快CCPA合规性的信息,请访问//www.advancedpw.com/solutions/ccpa.看到一个有用的时间表,使您的业务符合要求,点击这里

***加州立法机构正在考虑多项修正案,所以请定期查看我们的博客以获取立法更新

免责声明:本出版物由六菲菲,LLC编写,为读者提供有关加州消费者隐私法的读者的信息。它不旨在为特定情况提供法律建议或创建律师 - 客户关系。六菲菲,LLC没有提供法律建议。