該法律于1月1日生效，大多數零售商尚未做好準備。

2018年6月28日，加利福尼亞州州長杰里·布朗簽署了第375號議案，也稱為加州消費者隱私法案(CCPA)。

該法律將于2020年1月1日生效，類似于歐盟的通用數據保護法規(GDPR)，該法規要求如Alphabet Inc.，Facebook Inc.，Netflix Inc.，Amazon.com Inc等公司。 。，Twitter Inc.要遵守或面臨數百萬美元的違規罰款。盡管企業越來越意識到不遵守CCPA和GDPR等法規的后果，但TrustArc最近一項調查中只有14%的受訪者符合CCPA標準。

據估計，該法律將影響僅在美國的50多萬家企業以及全球銷售給加州消費者的更多企業。零售商需要注意法律，因為不遵守規定可能會導致巨額罰款。

CCPA適用于哪些業務?

CCPA適用于符合以下任何條件的任何企業：

一家營利性企業，向加州任何一家3950萬居民銷售產品，年收入超過2500萬美元。

每年接收或分享超過50,000名加州居民的個人信息的公司。

通過出售加州居民的個人信息，使其年收入至少達到50%的公司。

雖然小企業主可以松一口氣，但大企業需要準備或可能面臨巨額罰款。

CCPA的目的是什么?

CCPA專注于消費者的數據保護權。該法律將向加利福尼亞州居民提供從世界各地的任何企業購買商品或服務的商品或服務，這些商品或服務符合CCPA的標準，有權選擇退出其公司存儲的任何個人信息。企業還必須對從客戶收集的數據類型保持透明，包括但不限于：

名稱

地址

電子郵件

電話號碼

社會安全號碼

駕駛執照/護照詳情

教育信息

密碼

地理位置

瀏覽數據

生物識別數據

購買歷史

設備類型

CCPA的關鍵含義

如果任何加利福尼亞人聯系相關企業并詢問其存儲的個人數據，企業將有最多45天的時間來回復完整的記錄，否則他們將被視為違反合規性，因此可能會受到處罰。

消費者將能夠選擇退出存儲或與第三方共享其個人數據的企業。

如果企業購買了第三方數據，加利福尼亞州的消費者將有權知道企業購買的數據包含哪些數據，他們與誰共享數據以及他們從中購買了誰。

任何加利福尼亞人都可以要求刪除企業存儲的任何個人信息。

對于16歲以下的加州客戶，企業必須提供選擇加入; 對于13歲以下的人，他們需要父母或監護人的同意。

企業不能懲罰任何在CCPA下行使其權利的加州消費者。

根據CCPA，企業需要提供易于訪問且易于查看的“不銷售我的個人信息”選項，以便消費者可以選擇不與其他第三方共享其個人信息。

加利福尼亞州的司法部長Xavier Becerra將執行CCPA。他將能夠針對任何違反消費者權利的企業起訴或加入集體訴訟。

不遵守CCPA有什么影響?

如果公司違反上述任何要求，則將被視為不合規。

企業可能會受到每次無意違規罰款2,500美元和每次故意違規7,500美元的罰款。罰款是按“每人/賬戶”征收的。這意味著如果一個加利福尼亞人發現一個企業不合規，他就可以報告。可以合理地假設，如果一個企業不符合一個加利福尼亞州的消費者，那么它可能不符合所有這些消費者。

如果企業所有者想知道不遵守CCPA可能承擔多少責任，那么它可以將其擁有的加利福尼亞州客戶數量增加7,500美元。這可以很快加起來; 即使它只有50位加利福尼亞客戶，也可能面臨37.5萬美元的罰款。如果它在加利福尼亞州擁有1,000或10,000名客戶，這很容易讓許多公司破產。

加州消費者可以起訴數據泄露事件

該立法還規定了消費者對犯錯的業務采取私人行動的權利。這意味著任何加利福尼亞居民的個人信息被非法訪問，被盜或因不合規的安全措施而被披露，都可以提起民事訴訟。因此，除了支付罰款之外，如果被盜數據未加密或編輯，CCPA要求企業向其客戶支付費用。

這類民事案件的法定損害賠償金至少為100美元，每個案件的每個消費者上限為750美元，加上法院認為適當的任何其他宣告，禁令和其他救濟。

企業必須加密/編輯其所有客戶的個人信息，以避免此付款。

CCPA準備的步驟

那么企業可以采取哪些措施來確保它們符合CCPA的要求?我建議的第一步是徹底審核您的數據收集，存儲和管理流程。深入了解您收集，存儲和使用客戶數據的所有接觸點。請考慮以下問題：

誰可以訪問它?

您收集了哪些數據點?

您存儲的是哪種類型的數據?

用什么格式?

它加密了嗎?

哪個數據庫包含采購歷史?

數據在地理位置存儲和使用的位置在哪里?

數據是結構化的還是非結構化的?

它可以按地區隔離，例如加利福尼亞，歐盟，世界其他地區。

您是否從第三方獲得任何客戶數據?CCPA不僅影響企業收集的數據，還影響公司可能購買的任何第三方數據。因此，在您從供應商處購買任何第三方數據之前，請向他們申請認證以證明他們的CCPA合規性!

規劃客戶數據請求

當加利福尼亞州有人要求他們提供數據時，您是否制定了行動計劃?

誰將成為負責處理這些請求的人?

他會知道如何有效回應嗎?

他將使用哪些工具來提取數據?

他將如何管理刪除數據的請求?

請記住，如果您在45天內沒有回復，他們可以對您采取行動。

未來的數據監管證明

GDPR和CCPA只是一長串數據法規生效的開始。這種增加的監管合規可能會開始使公司窒息。擁有一名內部數據保護官(DPO)，其職責是確保他們的業務符合世界各地發布的所有各種數據保護法律，這可能會成為未來的常見問題。但是，有了自動確保您的數據符合GDPR的技術解決方案，CCPA或任何未來發布的新法律是保持合規的最簡單方法之一。

雖然引入適當的技術解決方案可能意味著額外的成本，但保持合規的成本可能比不合規成本低很多。因此，72%的美國公司希望投資技術以專門遵守CCPA。正確的技術平臺消除了管理可能存在的數十種不同數據法規所帶來的壓力，這些法規目前正在全球不同的州和國家進行。

我建議尋求CIAM技術作為遵守CCPA的經濟有效方式，而不是投資法律費用。借助CIAM技術，企業可以自定義注冊和登錄頁面，以包含必要的披露聲明并請求客戶同意。它可以將來自多個Web和移動平臺的客戶數據簡化為一個配置文件，以便企業可以根據請求輕松提供客戶的個人信息。CIAM解決方案還可以加密客戶數據并提供世界一流的數據保護。CCPA是一個可以通過技術解決的法律問題。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。