加州消費者隱私法 (CCPA) 常見問題集

加州消費者隱私法 (CCPA) 是美國的第一個全方位隱私法。 這是在 2018 年 6 月底簽署成為法律，並為加州消費者提供各種隱私權。 由 CCPA 規範的企業會對這些取用者承擔許多義務，包括揭露、一般數據保護規定 (消費者的 GDPR) 類似權利、特定數據傳輸的「退出」，以及未成年人的「選擇加入」需求。

CCPA 僅適用於每年都符合以下一或多項需求的加州企業公司：(1) 總收入高於 2500 萬美元、(2) 從銷售消費者個人資訊衍生 50% 或更多的年收入，或 (3) 購買、銷售或分享超過 50,000 個消費者的個人資訊。

CCPA 會在 2020 年 1 月 1 日生效。 但是，自 2020 年 7 月 1 日起，檢察總長 (AG) 才會開始執行。

為加州人提供的許多 CCPA 許可權與 GDPR 所提供的許可權類似，包括與數據主體權利類似的揭露和取用者要求， (DSR) 要求，例如存取、刪除和可移植性。 如此一來，客戶就可以從我們現有的 GDPR 解決方案著手，協助他們符合 CCPA 法規。

若要開始 CCPA 之旅，您應該將注意力放在以下五個重要步驟：

• 探索：找出您所擁有的個人資訊及其存放位置。
• 對應：決定您與第三方共用個人資訊的方式，並識別第三方是否受到 CCPA 退出需求例外的影響。
• 管理：控制如何使用和存取資料。
• 保護：建立安全性控制以防止、偵測及回應安全弱點和資料外洩。
• 記載：記載資料外洩回應計畫，並確保與適用第三方的合約能夠利用退出例外。

您必須瞭解貴組織在CCPA下有哪些特定義務，以及您如何符合這些義務，但 Microsoft 在此協助您完成旅程。

CCPA 會要求可收集、使用、轉移及銷售個人資訊的受控管企業能夠：

• 在收集之前，向消費者揭露收集的類別和用途。
• 針對收集的個人資訊，在隱私權原則中提供詳細的揭露，包括如何向其他實體出售或轉移這些類別。
• 針對您收集的特定個人資訊，啟用與存取、刪除和便攜性相關的消費者權利。
• 啟用控件，允許取用者退出取用者數據的「銷售」。 不過，某些轉移 (例如轉移到服務提供者) 會持續受到允許。
• 對於 16 以下的未成年人，啟用選擇加入程式，如此一來，不需主動加入銷售，就無法銷售未成年人的個人資訊。
• 請確保消費者不會因為根據 CCPA 行使任何權力而受到歧視。

CCPA 需要揭露下列資訊：

• 收集的消費者個人資訊類別。
• 收集所使用的來源類別。
• 收集的企業或商業用途。
• 個人資訊「共用」的第三方類別。
• 已「銷售」的個人資訊類別，以及銷售每個個人資訊類別的「第三方」類別。
• 已「基於商務用途而揭露」的個人資訊類別 (，即已轉移，但不是「銷售」) 和「第三方」的類別，每個類別的個人資訊都已轉移給他們。
• 已收集該消費者的特定個人資訊。

CCPA中的「銷售」定義非常廣泛，包括「將個人資訊提供給」第三方進行貨幣或其他重要考慮。 如果取用者已選擇「退出」，企業必須關閉個人資訊流向任何第三方。

CCPA 確實為此「銷售」退出控制提供一些退出。 三個主要的卸除是 (i) 傳送至服務提供者， (ii) 至「豁免實體」或「承包商」， (iii) 取用者的方向。 即使取用者已選擇「退出」，個人資訊仍可繼續轉移給符合這些退出的第三方。

若要充分利用前兩項豁免，企業必須確保轉移受到包含 CCPA 所需之特定條款的書面合約控管。

在CCPA的內容中，企業是決定消費者個人資料處理目的和方式的個人或實體，而服務提供者則是代表企業處理資訊的個人或實體。 這些在廣義上與 GDPR 中使用的控管者和處理者同義。

CCPA 中的私人訴訟權僅限於資料外洩。 根據私人訴訟權，每位消費者每起事件造成的損失在 100 美元到 750 美元之間。 加州檢察總長也可以全面執行 CCPA，並能夠對每次違規行為處以 2500 美元以下，或對每次故意違規行為處以 7500 美元以下的民事罰鍰。

由於 Microsoft 已經在全球實施與 GDPR 相關的 DSR，因此我們目前處於符合相關 CCPA 需求的絕佳位置。 我們也已檢閱我們的第三方數據共享協定，並採取步驟來確定已備妥必要的合約條款，以確保我們不會「銷售」個人資訊。

• 開始運用合規性管理員中的 GDPR 評估，作為 CCPA 隱私權計畫的一部分。
• 建立可有效回應消費者要求的流程。
• 設定標籤和原則以探索、分類 & 標籤，以及使用 Microsoft Purview 資訊保護 保護敏感數據。
• 使用電子郵件加密功能進一步控制敏感性資訊。
• 若要深入了解，請參閱本部落格文章。

有許多差異。 更輕鬆地專注於相似性，包括：

• 透明化/揭露義務。
• 存取、刪除和接收資料複本的消費者權利。
• 「服務提供者」的定義，類似於GDPR定義具有類似合約義務之「處理者」的方式。
• 包含「控制者」GDPR 定義的「企業」定義。

CCPA 中最大的差異在於，在廣泛定義「銷售」的「銷售」 (，允許退出數據銷售至第三方的核心需求，以包含共用數據，以獲得重要的考慮) 。 相較於廣泛的 GDPR 對象處理許可權，這是較窄且更明確的義務，其中包含這種「銷售」類型，但並不特別限於涵蓋這種類型的共用。

控管者是獨自或與其他人共同判斷處理個人資料之用途和方法的自然人或法人、公務機關、局處或其他機構。 處理者是代表控管者處理個人資料的自然人或法人、公務機關、局處或其他機構。

個人資訊是任何與已識別或可識別個人相關的資訊。 個人的私人、公開或工作角色之間沒有區別。 定義的「個人資訊」一詞大致上符合 GDPR 下的「個人資料」。 不過，CCPA 也包含家庭和家用資料。

個人資料的範例包括：

身分識別

• 名稱
• 住家地址
• 公司地址
• 電話號碼
• 手機號碼
• 電子郵件地址
• 護照號碼
• 國民身分證
• 社會安全號碼 (或等同)
• 駕駛執照
• 物理、生理或遺傳資訊
• 醫療資訊
• 文化身分識別

財務

• 銀行詳細資料/帳號
• 稅號
• 信用卡/轉帳卡號碼
• 社交媒體貼文

線上成品

• 社交媒體貼文
• IP 地址 (歐盟地區)
• 位置/GPS 資料
• Cookie

• CCPA 針對未滿 13 歲的兒童，採用符合兒童線上隱私權保護法 (The Children's Online Privacy Protection Act，COPPA) 的家長同意義務。
• 對於 13 到 16 歲兒童，CCPA 會強制執行新的義務，以取得子系對其個人資訊的任何「銷售」同意。

在 2019 年 10 月，已將一些增修條款傳遞給 CCPA。 其中一項修訂澄清，CCPA 義務不適用於企業員工的個人資訊。 但是，立法者對該豁免規定了一年的退場機制。 我們期望加州在 2020 年為員工制訂新的資料保護法。  

不能。 作為 線上服務的提供者，我們會採取步驟來確保我們符合CCPA下的「服務提供者」資格。 如上所述，即使在消費者選擇退出的情況下，也允許將個人資訊轉移到服務提供者。