大数跨境
首页
>
一文读懂《加州消费者隐私法案》(CCPA)
>

一文读懂《加州消费者隐私法案》(CCPA)

一文读懂《加州消费者隐私法案》(CCPA) 触脉咨询
2025-06-24
386
导读:本文为您提供《加州消费者隐私法案》(CCPA) 合规实操指南,以及《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》的政策解读参考

《加州消费者隐私法案》(CCPA/CPRA)合规实操指南

全面解析CCPA核心定义、适用范围、企业义务及与GDPR对比

本文提供一份系统性的《加州消费者隐私法案》(CCPA)合规指南,涵盖法案核心定义、适用对象、消费者权利、企业责任及与GDPR的对比分析。同时简要提及2025年4月8日生效的美国《第14117号行政令》,以助企业构建更完整的跨境数据合规框架[k]

什么是《加州消费者隐私法案》(CCPA)?

《加州消费者隐私法案》(CCPA)是美国加利福尼亚州的一项消费者隐私法律,旨在保护加州居民(即“消费者”)的个人信息处理行为[k]

根据定义,“消费者”指加州居民的自然人,包括两类:一是在加州非临时性居住的个人;二是有加州住所但暂时在外州的个人[k]

2023年1月1日起,CCPA经《加州隐私权法案》(CPRA)修订扩展,进一步强化了消费者权利,并设立加州隐私保护局(CPPA)作为执法机构[k]

CCPA/CPRA中的核心定义

个人信息:指能直接或间接识别、关联、描述特定消费者或家庭,或能合理链接的信息。涵盖范围广泛,包括IP地址、姓名、邮箱、生物识别信息、在线活动记录、职业信息等[k]

敏感个人信息:指一旦滥用可能对消费者造成伤害的信息,包括驾照号、精确地理位置(563米半径内)、种族、信用卡信息、基因数据以及电子邮件、短信内容等[k]

唯一标识符:指可跨时间与服务识别消费者、家庭或设备的持久性标识符,如设备ID、IP地址、Cookie、移动广告标识符、用户别名等。家庭定义为监护人及其未成年子女[k]

同意:指消费者通过声明或明确行动,自由、具体、知情地同意其个人信息用于特定目的。接受笼统条款、悬停操作或通过“暗黑模式”获取的同意均无效[k]

出售:指企业为金钱或其他对价,向第三方披露个人信息的行为。但以下情形不视为出售:消费者主动要求披露、用于通知第三方其不出售选择、或作为并购交易中资产转移的一部分[k]

谁必须遵守CCPA/CPRA?

CCPA/CPRA适用于在加州运营并收集居民个人信息的营利性企业,满足以下任一条件即须合规[k]

  • 上一日历年度全球总收入超过26,625,000美元;
  • 每年处理10万或以上消费者或家庭的个人信息;
  • 年收入一半以上来自出售消费者个人信息[k]

值得注意的是,企业是否在加州设办公室不影响其合规义务。只要与加州居民有业务往来且满足门槛,无论总部位于何处,均需遵守[k]

CCPA/CPRA对企业网站的影响

符合CCPA适用门槛的企业,若拥有网站等线上平台,须履行以下合规义务[k]

  • 在网站展示收集声明,列明个人信息类别、用途、是否出售/共享及保留期限;
  • 制定隐私政策,详细说明隐私权利及行使方式;
  • 如出售或共享数据,需设置“Do Not Sell Or Share My Personal Information”链接,供用户选择退出;
  • 设置“Limit The Use of My Sensitive Personal Information”链接,允许用户限制敏感信息使用;
  • 处理未成年人信息前,须获得本人(13–16岁)或监护人(13岁以下)的明确同意[k]

消费者享有哪些权利?

经CPRA修订后,消费者享有以下核心权利[k]

  • 删除权:可要求企业删除其个人信息;
  • 更正权:可要求更正不准确或不完整的信息;
  • 知情权与访问权:可了解企业持有的其个人信息类别、来源、用途及共享对象;
  • 关于出售/披露的知情权:可获知哪些信息被出售、共享或披露及接收方类别;
  • 选择退出权:可拒绝企业出售或共享其个人信息;
  • 限制权:可限制企业使用其敏感个人信息;
  • 不受歧视权:行使权利不应导致歧视性待遇[k]

此外,消费者还享有数据可携权:企业须以结构化、通用且机器可读的格式提供其具体个人信息[k]

CCPA/CPRA的处罚机制

违反CCPA/CPRA的企业将面临民事罚款[k]

  • 非故意违规:每次最高2,663美元;
  • 故意违规或涉及未成年人信息:每次最高7,988美元[k]

在数据泄露事件中,消费者须给予企业30天补救期后方可提起诉讼[k]

GDPR与CCPA主要差异对比

GDPR(欧盟《通用数据保护条例》)与CCPA/CPRA同为全球隐私保护的重要法规,两者在适用范围、权利设置、同意机制等方面存在显著差异。下表为关键要点对比[k]

企业可通过部署“同意管理平台”(CMP),如Usercentrics或consentmanager,实现CCPA/CPRA合规。CMP可协助展示Cookie横幅、提供退出链接,并在用户行使权利时有效管理追踪技术的禁用[k]

数据隐私合规:CMP如何助力企业应对全球法规挑战

CMP(Consent Management Platform)可帮助企业遵守CCPA/CPRA及其他数据隐私法规,向用户清晰说明所收集的数据类型、用途及可能共享数据的第三方信息[k]

为应对日益严格的数据监管环境,企业需强化数据透明度与用户同意管理机制,CMP成为实现合规的重要技术工具[k]

【声明】内容源于网络
0
0
触脉咨询
各类跨境出海行业相关资讯
内容 0
粉丝 0
触脉咨询 各类跨境出海行业相关资讯
总阅读0
粉丝0
内容0