CCPA法規遵循

NOTE
此資訊是協助Adobe Commerce商家和開發人員瞭解加州消費者隱私權法案含義的一系列主題之一。 此資訊是以法規文字為基礎。 若要確認CCPA是否適用於您的企業,請洽詢您的律師。

加州消費者隱私保護法 (CCPA)擴展了加州消費者決定如何收集、儲存和使用其個人資訊的權利。 其重點為保護消費者免受未經授權的銷售或交換或其個人資訊。 CCPA於2018年頒佈並於2020年1月1日生效。

CCPA授予消費者下列新權利:

  • 瞭解權利 ​在過去12個月內收集、使用、共用或出售的個人資訊類別。
  • 有權刪除 ​企業及/或其服務提供者所擁有的特定型別的個人資訊。
  • 選擇退出個人資訊銷售的權利
  • 不受歧視的權利 ​依據CCPA行使隱私權時的價格或服務。

針對CCPA之目的,此內容中的個人資訊定義為:

可識別、涉及、描述特定消費者或家庭、能與特定消費者或家庭建立關聯或能與其合理連結(直接或間接)的資訊。 (第1798.140節)

就此而言,它涵蓋了某些資料元素,根據其他法律或法規,這些資料元素可能不會被視為個人資料。 商戶在決定是否及如何遵守法律時,請謹記這一點。

CCPA也要求企業提供​ 合理的安全性,並包含消費者擴充的資料保護規定,包括在資料違反時提起法律訴訟的權利。

請洽詢您的法律顧問,判斷您是否應該及如何遵守可能適用於您及您企業的任何CCPA要求。 這包括企業必須依法執行的新通知、選擇退出和記錄保留要求。

業務需求

CCPA適用於在加州經營且符合下列任一條件的營利性企業:

  • 每年總收入超過2,500萬美元
  • 購買、接收或銷售100,000位或以上加州居民、家庭或裝置的個人資訊
  • 透過銷售加州居民的個人資訊獲得年收入的50%或更多。

CCPA合規性指南

本節提供商家遵守隱私權法規(例如加州消費者隱私權法案(CCPA))所需步驟的高層級概述。

GDPR和CCPA

若您的企業必須同時遵守一般資料保護規範 (GDPR)和CCPA,您可以使用您的GDPR規範計畫為CCPA提供的部分工作。 雖然法規之間有一些相似之處,但有幾項差異包括:

  • 個人資訊的定義因各規例而異。
  • GDPR要求消費者在其個人資料可能用於特定目的前選擇加入;CCPA為消費者提供選擇退出的權利。
  • CCPA具有其他資料清查和對應需求。
  • 這些法規具有不同的隱私權政策要求。

符合GDPR的企業可能需根據CCPA承擔其他義務。 若要進一步瞭解,請參閱CCPA資料單{:target="_blank"}。

法規遵循藍圖

制定並實施計畫以解決合規性問題需要協調努力。 使用此藍圖作為調動資源並排定任務優先順序的指南,讓您能夠在多個方面取得進展。 所有Commerce安裝的程式基本上相同,但發生下列例外狀況:

  • 雲端基礎結構上的Adobe Commerce:商店託管在Adobe雲端基礎結構{:target="_blank"}的商家可以要求Adobe Commerce技術客戶經理或客戶支援協助回應消費者請求。

  • 內部部署:擁有Adobe Commerce或Magento Open Source內部部署安裝的商家,必須開發自己的流程和工具,以回應和管理消費者有關隱私權法規的要求。

步驟1:組建跨職能團隊,解決法規合規性問題

組織代表您企業中下列職能角色的團隊,並排程訓練課程,讓他們快速瞭解法規。 然後,依角色將所需任務指派給利害關係人。

  • 業務策略與營運
  • 法律
  • 資訊技術
  • 使用者體驗
  • 客戶服務
  • 管理支援

從商業角度來看,您必須判斷貴公司是否將這些隱私權保護措施擴充至加州消費者,或讓所有消費者都可使用這些措施,無論其位於何處。

步驟2:清查您的數位財產

利害關係人: ​資訊技術、法律、管理支援

清查您的數位資產,包括所有整合功能,以及可存取消費者資料的人員。

  1. 決定透過您的網站和行動應用程式收集哪些公開和私人個人資訊。 例如,標準Commerce資料庫會儲存下列型別的公開和私人個人資訊:

    • 公開:願望清單、產品評論

    • 私人:客戶資訊、訂單資訊、獎勵點、禮品登入、通訊錄、商店點數、付款方式、帳單合約、電子報訂閱、邀請。

      如果已自訂您的Commerce安裝,可能會收集其他個人資訊。 個人資訊也可能位於Cookie、標籤和收集資訊的其他技術中。

  2. 識別共用資料的對象。 此清單應包含服務提供者和第三方。 第三方包括廣告網路、網際網路服務提供者、資料分析提供者、政府實體、作業系統和平台、社交網路,以及不會直接收集消費者個人資訊的消費者資料經銷商。

    • 服務提供者:具有商務用途之消費者資料存取權,並代表您提供服務的實體。 例如,Adobe是服務提供者,自訂、擴充功能和服務的一些開發人員也是如此。

      檢查Google Universal Analytics、Google Tag Manager以及您使用的任何其他資料服務的預設設定,並進行任何必要的變更以符合法規。 若要深入瞭解,請參閱Google隱私權設定

    • 其他第三方:您共用或銷售消費者資料的實體。 例如,您可能會將消費者資料與廣告網路分享,以交換廣告。

步驟3:在您的商店中對應客戶歷程和資料收集程式

利害關係人: ​使用者體驗、資訊技術、管理支援

  1. 識別[客戶歷程]中收集個人資訊的每個點,以及每個步驟收集的資訊型別。

    造訪您網站的訪客必須事先或是在資料收集點收到通知。 例如,沒有自訂整合的商店會在建立客戶帳戶時和結帳期間收集個人資訊。 如果您的商店有自訂整合,則可能有其他資料專案和屬性需要識別。

  2. 請參閱下列主題,瞭解每個版本的適用資料流程圖表和資料庫實體對應:

    圖表

步驟4:建立回應客戶請求的程式與機制

利害關係人: ​客戶服務、資訊技術、使用者體驗、管理支援

從資料管理的角度來看,每個個人資訊請求都涉及以下各方:

  • 資料主體 (消費者):根據CCPA,加州任何提供個人資訊以進行購買和/或維護客戶帳戶的人,都可以提交存取或刪除其個人資料的請求。

  • 在CCPA (品牌)範圍內以企業身分行事的實體: Commerce商家會收集並儲存其顧客的個人資訊,以及在商店中購買的訪客。

  • 資料處理者 (技術廠商):Adobe Commerce和Magento Open Source做為個人資料的處理者,這些個人資料儲存為提供給商家的服務。 身為處理者,Adobe會根據商戶的許可權與指示,根據授權合約處理個人資料。

商家有責任執行下列動作:

  1. 識別資料主體存取請求(DSAR)中涉及的當事方,並驗證任何要求知道、選擇退出或刪除的人員的身份。 這適用於擁有受密碼保護之客戶帳戶的人,或以訪客身分在您商店購物的人。

  2. 在收到消費者提出的可驗證消費者要求後45天內,針對消費者的權利要求,揭露並傳送資訊給消費者(除非不可能)。 (法律規定企業需遵守某些其他規定,以維持延遲達45天以上的合規性)。

    商戶必須在收到請求後的45天內回覆每份DSAR。 如有需要,商家最多可能需要45天的時間回應,從收到要求之日起最多需要90天。 這需要商家通知客戶說明延遲的原因。

  3. 開發在您的商店中顯示必要通知並收集消費者回應的機制。

  4. 建立回應程式,並記錄下列每個請求:

    • 詢問要求 — 必須通知您商店的訪客任何您必須銷售或與第三方分享其個人資訊的安排,並且允許訪客選擇退出。 您使用個人資訊的詳細資訊,以及您共用或銷售資料的合作對象,可以在您的隱私權政策中加以維護。

    • 選擇退出的要求 — 如果個人資料已出售或傳輸給第三方,以換取有價值的利益,CCPA會在收集資料的每個時間點上要求有​ 不要出售我的資訊 ​連結。 其他使用者啟用的輸入控制項,例如核取方塊和按鈕,可用於電子郵件通訊、網站偏好設定或網站表單中,以讓個人提交有效的選擇退出請求。

    • 刪除要求

      • 商店託管於Adobe Commerce Cloud的商戶應聯絡Adobe支援,尋求刪除個人資訊的協助。 如需詳細資訊,請聯絡您的Adobe技術客戶經理或客戶支援。
      • 在內部部署Adobe Commerce或Magento Open Source安裝的商戶必須實作自己的流程和指令碼,才能在收到要求時刪除個人資訊。

步驟5:撰寫必要客戶通知的內容

利害關係人: ​法律、客戶服務、使用者體驗、資訊技術、管理支援

  1. 請與法律顧問合作,決定應在您的網站上新增哪些型別的通知,以履行CCPA義務。

    • 集合通知:在收集消費者個人資訊時或之前發出的通知。 通知應該以簡單的語言寫成,讓普通人容易理解。 通知內容應醒目提示並以與您網站內容相同的一或多種語言提供。

    • 選擇退出權利通知:通知消費者其選擇退出個人資訊銷售的權利。

    • 財務獎勵通知:說明貴公司為了交換個人資訊而收到的每個財務獎勵、價格或服務差異的通知。

    • 如何提交個人資訊收集與使用要求:個人提交要求說明您揭露所收集有關個人的個人資訊,包括:

      • 您收集到的消費者相關特定個人資訊片段
      • 您收集到的消費者相關個人資訊類別
      • 收集個人資訊的來源類別
      • 您為商業目的而出售或披露之消費者的個人資訊類別
      • 為商業目的而出售或披露個人資訊的第三方類別
      • 您的企業收集和/或銷售個人資訊的原因
  2. 將內容傳送給團隊,如果可能的話,也傳送給您的法律顧問以供檢閱。

  3. 決定通知出現的位置、其運作方式(每次造訪、驗證時或點進時),及其與其他內容相關的位置和格式。

  4. 將核准的內容傳遞至您的開發團隊。

步驟6:檢閱您與服務提供者的合約

利害關係人: ​法律、管理支援

請檢閱並視需要更新所有服務提供者合約,以反映CCPA需求。

步驟7:更新您的隱私權原則

利害關係人: ​法律、管理支援

檢閱您目前的隱私權政策,並考慮需要額外披露的內容(如有)。

  • 使用個人資訊:您必須揭露收集哪些個人資訊,以及您透過銷售個人資訊而獲得的任何財務獎勵。 您也必須說明CCPA如何允許獎勵,以及如何計算個人資訊的值。

  • 同意年齡:如果您收集或使用未成年人的個人資訊,可能會受到下列規定的約束:

    • 未成年人< 13: 13歲以下的未成年人必須獲得家長授權,才能選擇加入個人資訊的出售。

    • 13至16歲的未成年人:年齡在13歲或16歲以下的未成年人可以選擇加入個人資訊的出售,前提是企業建立合理的程式來記錄此動作。 必須在公司的隱私權原則中說明此程式。 當企業收到這個年齡範圍的未成年人提出的請求時,必須告知他們稍後可以選擇退出的權利,並解釋如何這樣做。

    note important
    IMPORTANT
    禁止商戶在Commerce平台或系統上儲存兒童的個人資料。 如果有理由相信收集的資料屬於次要,必須立即從Commerce平台移除該資料,以避免違反Adobe授權條款。

步驟8:記錄所有相關程式並維護記錄

利害關係人: ​客戶服務,管理支援

在收到每個個別權利要求後的24個月內,請保留要求與貴公司回應的記錄。

recommendation-more-help
31746fd0-1ead-45b5-9192-1aaf582c5f66