CCPA合规性

NOTE
此信息是帮助Adobe Commerce商家和开发人员了解《加州消费者隐私法案》含义的一系列主题中的一个。 资料以规约案文为依据。 要确认CCPA是否适用于您的业务,请咨询您的律师。

《加州消费者隐私法案》 (CCPA)扩展了加州消费者决定如何收集、存储和使用其个人信息的权利。 其重点是保护消费者免受未经授权的出售或交换其个人信息之害。 CCPA于2018年颁布并于2020年1月1日生效。

CCPA授予消费者以下新权利:

  • 知情权 过去12个月内收集、使用、共享或出售的关于他们的个人信息的类别。
  • 删除权 企业和/或其服务提供商持有的某些类型的个人信息。
  • 选择禁用的权限 出售其个人信息的行为。
  • 不受歧视的权利 行使CCPA下的隐私权所涉及的价格或服务条款。

为CCPA之目的,此上下文中的个人信息定义为:

特定消费者或其家庭成员的个人身份信息,与特定消费者或其家庭成员相关的信息,特定消费者或其家庭成员的描述信息,能够直接或间接与特定消费者或其家庭成员建立关联的信息,或者能够通过合理推测直接或间接与特定消费者或其家庭成员建立关联的信息。 (第1798.140款)

在这方面,它涵盖了在其他法律或法规中可能未被视为个人数据的某些数据元素。 商人在决定是否及如何遵守法律时,应牢记这一点。

CCPA还要求企业提供 合理安全性,并包括针对消费者的扩大数据保护条款,包括在发生数据泄露时采取法律行动的权利。

请咨询您的法律顾问,以确定您是否以及如何遵守可能适用于您和您的业务的任何CCPA要求。 这包括企业必须依法执行的新通知、选择退出和记录保留要求。

业务要求

CCPA适用于在加利福尼亚开展业务并符合以下任一条件的盈利性企业:

  • 年总收入超过2500万美元
  • 购买、接收或出售100,000名或以上加州居民、家庭或设备的个人信息
  • 销售加利福尼亚州居民的个人信息占其年收入的50%或更多。

CCPA合规性指南

本节简要介绍商家遵守隐私法规(例如《加州消费者隐私法案》(CCPA))所需的步骤。

GDPR和CCPA

如果您的企业需要同时遵守两项 通用数据保护条例 (GDPR)和CCPA,您可以将来自GDPR合规计划的一些工作用于CCPA。 虽然这些法规有一些相似之处,但有一些不同之处,包括:

  • 每个法规对个人信息的定义有所不同。
  • GDPR要求消费者在其个人数据可用于某些目的之前选择加入;CCPA为消费者提供了选择退出的权利。
  • CCPA具有额外的数据清点和映射要求。
  • 这些法规具有不同的隐私政策要求。

符合GDPR的企业可能需履行CCPA规定的其他义务。 要了解更多信息,请参阅 CCPA资料单{:target="_blank"}.

合规性路线图

需要作出协调一致的努力,以制定和执行一项处理遵约问题的计划。 使用此路线图作为指南,来调动资源并安排任务的优先顺序,以便您能够在多个方面取得进展。 对于所有人来说,这个过程基本上是相同的 Commerce 安装,但以下情况除外:

  • 云基础架构上的Adobe Commerce:在Adobe上托管商店的商家 云基础架构{:target="_blank"}可以咨询其Adobe Commerce技术客户经理或客户支持部门来获取有关响应消费者请求的帮助。

  • 内部部署:如果商家内部部署了Adobe Commerce或Magento Open Source,则必须开发自己的流程和工具,以响应和管理与隐私法规相关的消费者请求。

第1步:组建一个跨职能团队来解决法规合规性问题

组建一个代表您企业中的以下职能角色的团队,并安排一个培训课程让他们熟悉相关法规。 然后,按角色将所需任务分配给利益相关者。

  • 业务战略和运营
  • 法律
  • 信息技术
  • 用户体验
  • 客户服务
  • 行政支助

从商业角度来看,您必须确定贵公司是将这些隐私保护措施仅扩展到加利福尼亚的消费者,还是将这些措施提供给所有消费者,而不管他们身在何处。

步骤2:清点您的数字资产

利益相关者: 信息技术、法律、行政支助

清点您的数字资产,包括所有集成以及谁有权访问您的消费者数据。

  1. 确定通过网站和移动应用程序收集哪些公开和私人个人信息。 例如,标准Commerce数据库存储以下类型的公共和私人个人信息:

    • 公共:愿望清单、产品评论

    • 私有:客户信息、订单信息、奖励积分、礼品注册、通讯簿、商店信贷、支付方式、帐单协议、新闻稿订阅、邀请。

      如果您的 Commerce 已自定义安装,可能会收集其他个人信息。 个人信息可能还驻留在 Cookie、标记和其他收集信息的技术。

  2. 确定与您共享数据的当事方。 该名单应包括服务提供商和第三方。 第三方包括广告网络、互联网服务提供商、数据分析提供商、政府实体、操作系统和平台、社交网络以及不直接从消费者那里收集个人信息的消费者数据经销商。

    • 服务提供商:出于商业目的有权访问您的消费者数据并代表您提供服务的实体。 例如,Adobe是服务提供商,一些自定义项、扩展和服务的开发人员也是如此。

      检查Google Universal Analytics、Google Tag Manager以及您使用的任何其他数据服务的默认设置,并做出任何必要的更改以遵守法规。 要了解更多信息,请参阅 Google隐私设置.

    • 其他第三方:您与其共享或出售消费者数据的实体。 例如,您可以与广告网络共享消费者数据以交换广告。

步骤3:在您的商店中映射客户历程和数据收集流程

利益相关者: 用户体验、信息技术、管理支持

  1. 识别 [客户历程] 收集个人信息的位置,以及在每个步骤中收集的信息类型。

    必须提前或在数据收集时通知您网站的访客。 例如,没有自定义集成的商店会在创建客户帐户时和结账期间收集个人信息。 如果您的存储具有自定义集成,则可能会有要识别的其他数据项和属性。

  2. 有关每个版本的适用数据流图和数据库实体映射,请参阅以下主题:

    图

步骤4:建立响应客户请求的程序和机制

利益相关者: 客户服务、信息技术、用户体验、管理支持

从数据管理的角度来看,每个个人信息请求都涉及以下各方:

  • 数据主体 (消费者):根据CCPA,加利福尼亚州任何提供个人信息以进行购买和/或维护客户帐户的人都可以提交访问或删除其个人数据的请求。

  • CCPA范围内的企业实体 (品牌): Commerce 商户收集并存储其顾客以及在店内购物的顾客的个人信息。

  • 数据处理者 (技术供应商):Adobe Commerce和Magento Open Source充当个人数据的处理者,这些数据将作为提供给商户的服务的一部分进行存储。 作为处理者,Adobe根据商户的许可和指令,按照许可协议处理个人数据。

商家有责任执行以下操作:

  1. 识别数据主体访问请求(DSAR)中涉及的各方,并验证任何请求了解、选择退出或删除的人员的身份。 这适用于拥有受密码保护的客户帐户或作为访客在您商店中购物的人员。

  2. 在收到消费者提交的可验证消费者请求后45天内,针对消费者的权利请求披露信息并将其交付给消费者,除非这不可能。 (该法还规定企业需遵守某些其他要求,以保持最长不超过45天的延误)。

    商家必须在收到请求之日起45天内回复每份DSAR。 如有必要,商家最多可能需要45天才能做出响应,从收到请求之日起最多需要90天。 这就要求商家通知客户解释延迟的原因。

  3. 开发用于在您的商店中显示所需通知并收集消费者响应的机制。

  4. 建立响应过程并记录以下每个请求:

    • 知情请求 — 必须通知您商店的访客有关您必须向第三方出售或共享其个人信息的任何安排,并允许访客选择退出。 您对个人信息的使用,以及与您共享或出售数据的各方的详细信息,可以在您的隐私政策中进行维护。

    • 选择退出的请求 — 如果以有价值的对价出售或转让个人数据给第三方,CCPA要求 不要出售我的信息 每个收集点的链接。 其他用户启用的输入控件(例如复选框和按钮)可用于电子邮件通信、网站首选项设置或网站表单中,以便个人提交有效的选择退出请求。

    • 删除请求

      • 其商店托管在Adobe Commerce Cloud上的商家应联系Adobe支持部门寻求删除个人信息的帮助。 有关更多信息,请联系您的Adobe技术客户经理或客户支持。
      • 在内部运行Adobe Commerce或Magento Open Source安装的商家必须实施自己的流程和脚本,以便根据请求删除个人信息。

步骤5:编写所需客户通知的内容

利益相关者: 法律、客户服务、用户体验、信息技术、管理支持

  1. 与您的法律顾问合作,确定应在您的网站上添加的通知类型,以履行CCPA义务。

    • 集合通知:在从消费者处收集个人信息时或之前发出的通知。 告示应当用通俗易懂的语言写成,便于一般人理解。 通知应醒目提示,并以与网站内容相同一种或多种语言提供。

    • 选择禁用的权利通知:通知消费者他们有权选择退出出售其个人信息的通知。

    • 财政激励通知:说明贵公司为交换个人信息而收到的每个财务激励、价格或服务差异的通知。

    • 如何提交个人信息收集和使用请求:有关个人提交请求,要求您披露收集到的有关该个人的个人信息的说明,包括:

      • 您收集到的有关消费者的特定个人信息
      • 您收集到的有关消费者的个人信息类别
      • 从中收集个人信息的来源类别
      • 您出于商业目的而出售或披露的消费者个人信息的类别
      • 为商业目的而向其出售或披露个人信息的第三方的类别
      • 您的企业收集和/或销售个人信息的原因
  2. 将内容发送给团队以及(如果可能)您的法律顾问以供审查。

  3. 确定通知出现的位置、它们的运行方式(对于每次访问、身份验证或点进),以及它们相对于其他内容的位置和格式。

  4. 将批准的内容传递给您的开发团队。

步骤6:查看您与服务提供商的协议

利益相关者: 法律、行政支助

审查并在必要时更新所有服务提供商合同,以反映CCPA要求。

步骤7:更新您的隐私政策

利益相关者: 法律、行政支助

查看您当前的隐私政策,并考虑需要作出哪些额外披露(如有)。

  • 个人信息的使用:您必须披露收集了哪些个人信息,以及您通过销售个人信息获得的任何经济激励。 您还需要解释CCPA如何允许激励以及个人信息价值的计算方式。

  • 同意年龄:如果您收集或使用未成年人的个人信息,可能需要遵守以下要求:

    • 未成年人< 13:不满13岁的未成年人选择出售其个人信息需获得父母批准。

    • 13岁至16岁以下的未成年人:至少13岁且不满16岁的未成年人可以选择出售其个人信息,前提是企业建立了合理的流程来记录此行为。 必须在公司的财务报表中说明此流程。 隐私政策. 当企业收到此年龄范围内的未成年人的请求时,必须告知他们以后可以选择退出的权利,并解释如何这样做。

    note important
    IMPORTANT
    商户不得将子女的个人资料储存在 Commerce 平台。 如果有理由相信收集的数据属于未成年人,则必须将其从 Commerce 平台的优惠,以免违反Adobe许可条款。

步骤8:记录所有相关过程并维护记录

利益相关者: 客户服务、管理支持

在收到每项个人权利请求后的24个月内,将请求和贵公司的回应记录下来。

recommendation-more-help
31746fd0-1ead-45b5-9192-1aaf582c5f66