每个零售商需要了解加州的隐私法-ESG跨境

该法律于1月1日生效，大多数零售商尚未做好准备。

2018年6月28日，加利福尼亚州州长杰里·布朗签署了第375号议案，也称为加州消费者隐私法案(CCPA)。

该法律将于2020年1月1日生效，类似于欧盟的通用数据保护法规(GDPR)，该法规要求如Alphabet Inc.，Facebook Inc.，Netflix Inc.，Amazon.com Inc等公司。 。，Twitter Inc.要遵守或面临数百万美元的违规罚款。尽管企业越来越意识到不遵守CCPA和GDPR等法规的后果，但TrustArc最近一项调查中只有14%的受访者符合CCPA标准。

据估计，该法律将影响仅在美国的50多万家企业以及全球销售给加州消费者的更多企业。零售商需要注意法律，因为不遵守规定可能会导致巨额罚款。

CCPA适用于哪些业务?

CCPA适用于符合以下任何条件的任何企业：

一家营利性企业，向加州任何一家3950万居民销售产品，年收入超过2500万美元。

每年接收或分享超过50,000名加州居民的个人信息的公司。

通过出售加州居民的个人信息，使其年收入至少达到50%的公司。

虽然小企业主可以松一口气，但大企业需要准备或可能面临巨额罚款。

CCPA的目的是什么?

CCPA专注于消费者的数据保护权。该法律将向加利福尼亚州居民提供从世界各地的任何企业购买商品或服务的商品或服务，这些商品或服务符合CCPA的标准，有权选择退出其公司存储的任何个人信息。企业还必须对从客户收集的数据类型保持透明，包括但不限于：

名称

地址

电子邮件

电话号码

社会安全号码

驾驶执照/护照详情

教育信息

密码

地理位置

浏览数据

生物识别数据

购买历史

设备类型

CCPA的关键含义

如果任何加利福尼亚人联系相关企业并询问其存储的个人数据，企业将有最多45天的时间来回复完整的记录，否则他们将被视为违反合规性，因此可能会受到处罚。

消费者将能够选择退出存储或与第三方共享其个人数据的企业。

如果企业购买了第三方数据，加利福尼亚州的消费者将有权知道企业购买的数据包含哪些数据，他们与谁共享数据以及他们从中购买了谁。

任何加利福尼亚人都可以要求删除企业存储的任何个人信息。

对于16岁以下的加州客户，企业必须提供选择加入; 对于13岁以下的人，他们需要父母或监护人的同意。

企业不能惩罚任何在CCPA下行使其权利的加州消费者。

根据CCPA，企业需要提供易于访问且易于查看的“不销售我的个人信息”选项，以便消费者可以选择不与其他第三方共享其个人信息。

加利福尼亚州的司法部长Xavier Becerra将执行CCPA。他将能够针对任何违反消费者权利的企业起诉或加入集体诉讼。

不遵守CCPA有什么影响?

如果公司违反上述任何要求，则将被视为不合规。

企业可能会受到每次无意违规罚款2,500美元和每次故意违规7,500美元的罚款。罚款是按“每人/账户”征收的。这意味着如果一个加利福尼亚人发现一个企业不合规，他就可以报告。可以合理地假设，如果一个企业不符合一个加利福尼亚州的消费者，那么它可能不符合所有这些消费者。

如果企业所有者想知道不遵守CCPA可能承担多少责任，那么它可以将其拥有的加利福尼亚州客户数量增加7,500美元。这可以很快加起来; 即使它只有50位加利福尼亚客户，也可能面临37.5万美元的罚款。如果它在加利福尼亚州拥有1,000或10,000名客户，这很容易让许多公司破产。

加州消费者可以起诉数据泄露事件

该立法还规定了消费者对犯错的业务采取私人行动的权利。这意味着任何加利福尼亚居民的个人信息被非法访问，被盗或因不合规的安全措施而被披露，都可以提起民事诉讼。因此，除了支付罚款之外，如果被盗数据未加密或编辑，CCPA要求企业向其客户支付费用。

这类民事案件的法定损害赔偿金至少为100美元，每个案件的每个消费者上限为750美元，加上法院认为适当的任何其他宣告，禁令和其他救济。

企业必须加密/编辑其所有客户的个人信息，以避免此付款。

CCPA准备的步骤

那么企业可以采取哪些措施来确保它们符合CCPA的要求?我建议的第一步是彻底审核您的数据收集，存储和管理流程。深入了解您收集，存储和使用客户数据的所有接触点。请考虑以下问题：

谁可以访问它?

您收集了哪些数据点?

您存储的是哪种类型的数据?

用什么格式?

它加密了吗?

哪个数据库包含采购历史?

数据在地理位置存储和使用的位置在哪里?

数据是结构化的还是非结构化的?

它可以按地区隔离，例如加利福尼亚，欧盟，世界其他地区。

您是否从第三方获得任何客户数据?CCPA不仅影响企业收集的数据，还影响公司可能购买的任何第三方数据。因此，在您从供应商处购买任何第三方数据之前，请向他们申请认证以证明他们的CCPA合规性!

规划客户数据请求

当加利福尼亚州有人要求他们提供数据时，您是否制定了行动计划?

谁将成为负责处理这些请求的人?

他会知道如何有效回应吗?

他将使用哪些工具来提取数据?

他将如何管理删除数据的请求?

请记住，如果您在45天内没有回复，他们可以对您采取行动。

未来的数据监管证明

GDPR和CCPA只是一长串数据法规生效的开始。这种增加的监管合规可能会开始使公司窒息。拥有一名内部数据保护官(DPO)，其职责是确保他们的业务符合世界各地发布的所有各种数据保护法律，这可能会成为未来的常见问题。但是，有了自动确保您的数据符合GDPR的技术解决方案，CCPA或任何未来发布的新法律是保持合规的最简单方法之一。

虽然引入适当的技术解决方案可能意味着额外的成本，但保持合规的成本可能比不合规成本低很多。因此，72%的美国公司希望投资技术以专门遵守CCPA。正确的技术平台消除了管理可能存在的数十种不同数据法规所带来的压力，这些法规目前正在全球不同的州和国家进行。

我建议寻求CIAM技术作为遵守CCPA的经济有效方式，而不是投资法律费用。借助CIAM技术，企业可以自定义注册和登录页面，以包含必要的披露声明并请求客户同意。它可以将来自多个Web和移动平台的客户数据简化为一个配置文件，以便企业可以根据请求轻松提供客户的个人信息。CIAM解决方案还可以加密客户数据并提供世界一流的数据保护。CCPA是一个可以通过技术解决的法律问题。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。