1.前言

《加州消费者隐私法案》（CCPA）赋予消费者对企业收集的个人信息的更多控制权，CCPA 条例则为如何实施该法律提供了指导。这项具有里程碑意义的法律为加州消费者提供了新的隐私权，包括：

• 有权了解企业收集的有关他们的个人信息以及如何使用和共享这些信息；

• 删除从他们那里收集的个人信息的权利（有一些例外）；

• 选择不出售或共享其个人信息的权利（包括通过GPC出售或共享）；

• 行使 CCPA 权利时不受歧视的权利。

2020 年 11 月，加州选民批准了第 24 号提案，即CPRA，该提案对 CCPA 进行了修订，并增加了新的额外隐私保护措施，这些措施将于 2023 年 1 月 1 日生效。自 2023 年 1 月 1 日起，消费者除上述权利外还拥有新的权利，例如：

• 更正企业掌握的有关其本人的不准确个人信息的权利； 以及

• 限制使用和披露所收集的有关他们的敏感个人信息的 权利。

受 CCPA 约束的企业负有多项责任，包括响应消费者行使这些权利的请求，并向消费者提供某些通知，解释其隐私惯例。CCPA 适用于许多企业，包括数据经纪人。
《CPRA》对《CCPA》进行了修订；它不会创建单独的新法律。因此，我们的办公室通常将该法律称为“CCPA”或“修订后的 CCPA”。
本文主题：

* CCPA基本信息
    * 选择不出售或分享的权利
    * 知情请求
    * 删除请求
    * 更正请求
    * 限制使用个人信息的请求
    * 不受歧视的权利
    * 必要的通知
    * 数据经纪人

2.CCPA基本信息

2.1.根据CCPA，我拥有哪些权利

如果您是加利福尼亚州居民，您可以要求企业披露他们掌握的关于您的个人信息以及他们如何处理这些信息，删除您的个人信息，指示企业不要出售或共享您的个人信息，更正他们掌握的关于您的不准确信息，并限制企业对您的敏感个人信息的使用和披露：

• 知情权：您可以要求企业向您披露：

  1. 他们收集的关于您的个人信息的类别和/或具体内容，

  2. 个人信息来源的类别，

  3. 企业使用这些信息的目的，

  4. 企业向其披露信息的第三方的类别，以及

  5. 企业向第三方出售或披露的信息的类别。您每年最多可以免费提出两次知情请求。

• 删除权利：您可以要求企业删除从您那里收集的个人信息，并告诉他们的服务提供商也这样做，但某些例外情况除外（例如，如果法律要求企业保留该信息）。

• 选择退出销售或共享的权利：您可以要求企业停止销售或共享您的个人信息（“选择退出”），包括通过用户启用的全局隐私控制。企业在收到您的选择退出请求后不得出售或共享您的个人信息，除非您随后再次授权他们这样做。

• 更正权：您可以要求企业更正他们掌握的关于您的不准确信息。

• 限制使用和披露敏感个人信息的权利：您可以指示企业仅将您的敏感个人信息（例如，您的社会安全号码、财务账户信息、您的精确地理位置数据或您的基因数据）用于有限的目的，例如为您提供您所请求的服务。

您还有权在企业收集您的个人信息之前或收集时被告知他们正在收集的个人信息类型以及他们可能如何处理这些信息。一般而言，企业不得因您行使 CCPA 赋予的权利而歧视您。企业不能强迫您放弃这些权利，任何要求您放弃这些权利的合同条款都是不可执行的。

2.2.如果我不是加州居民怎么办

只有加州居民才享有 CCPA 规定的权利。加州居民是居住在加州的自然人（而不是公司或其他商业实体），即使该人暂时不在该州。

2.3.根据CCPA，什么被视为个人信息和敏感个人信息

个人信息是可以识别、关联或合理地与您或您的家庭相关联的信息。例如，它可能包括您的姓名、社会保险号、电子邮件地址、购买的产品记录、互联网浏览历史记录、地理位置数据、指纹以及根据其他个人信息推断出的有关您的偏好和特征的资料。
敏感个人信息是个人信息的一个特定子集，包括某些政府识别码（例如社会保险号）；账户登录名、金融账户、借记卡或信用卡号，以及允许访问账户的任何必需安全代码、密码或凭据；精确地理位置；邮件、电子邮件和短信的内容；基因数据；为识别消费者而处理的生物特征信息；有关消费者健康、性生活或性取向的信息；或有关种族或民族血统、宗教或哲学信仰或工会会员资格的信息。消费者还有权限制企业对其敏感个人信息的使用和披露。
个人信息不包括公开的信息（包括公共房地产/财产记录）和某些类型的信息。

2.4.根据CCPA，哪些信息不属于个人信息

个人信息不包括来自联邦、州或地方政府记录的公开信息，例如专业执照和公共房地产/财产记录。公开信息的定义还包括企业有合理理由相信由消费者或广泛传播的媒体合法向公众提供的信息，或由消费者披露且在消费者未将信息限制给特定受众的情况下公开的某些信息。

2.5.CCPA适用于哪些企业

CCPA 适用于在加州开展业务并满足以下任何一项条件的营利性企业：

• 年总收入超过2500万美元；

• 购买、出售或共享 100,000 名或更多加州居民或家庭的个人信息；或

• 通过出售加州居民的个人信息获取 50% 或更多的年收入。

2.6.如果我认为某个企业违反了CCPA，我该怎么办

您不能因大多数 CCPA 违规行为起诉企业。您只能在发生数据泄露的情况下根据 CCPA 起诉企业，而且即使发生，也只能在有限的情况下起诉。如果企业未能维持合理的安全程序和做法来保护您的未加密和未编辑的个人信息，从而导致数据泄露，您则可以起诉企业。如果发生这种情况，您可以起诉要求赔偿您因违规行为实际遭受的金钱损失或每次事件最高 750 美元的“法定损害赔偿”。在起诉之前，您必须以书面形式通知企业其违反了哪些 CCPA 条款，并留出 30 天的时间以书面形式回复其已纠正违规行为并且不会再发生违规行为。如果企业能够真正纠正违规行为并向您提供其已纠正的书面声明，则您不能起诉企业，除非企业继续违反其声明而违反 CCPA。
对于所有其他违反 CCPA 的行为，只有司法部长或加州隐私保护局可以对不合规实体采取法律行动。司法部长不代表加州个人消费者。通过利用消费者投诉和其他信息，司法部长可以识别不当行为模式，从而代表加州人民的集体合法利益开展调查和采取行动。如果您认为某家企业违反了 CCPA，您可以向司法部长办公室提出消费者投诉。如果您选择向我们的办公室提出投诉，请准确说明该企业如何违反了 CCPA，并描述违规行为发生的时间和方式。请注意，司法部长不能代表您或就如何解决您的个人投诉向您提供法律建议。从 2023 年 7 月 1 日开始，您还可以向加州隐私保护局投诉在该日期或之后发生的违反经修订的 CCPA 的行为。

2.7.根据CCPA，我可以因哪种数据泄露起诉企业

只有在满足某些条件的情况下，您才可以根据 CCPA 起诉企业。被盗的个人信息类型必须是您的名字（或首字母）和姓氏以及以下任何一项的组合：

• 您的社会安全号码

• 您的驾驶执照号码、税务识别号、护照号码、军人识别号，或政府证件上签发的其他唯一识别号，通常用于识别个人身份

• 您的财务账户号码、信用卡号或借记卡号（如果与任何所需的安全代码、访问代码或密码结合使用）可允许某人访问您的账户

• 您的医疗或健康保险信息

• 您的指纹、视网膜或虹膜图像，或用于识别个人身份的其他独特生物特征数据（但不包括照片，除非用于或存储用于面部识别目的）

这些个人信息必须以非加密和未删节的形式被窃取。此外，个人信息必须是由于企业未能维持合理的安全程序和做法来保护它而导致的数据泄露而被窃取的。如果发生这种情况，您可以起诉要求赔偿您因泄露而实际遭受的金钱损失或每次事件最高 750 美元的“法定损害赔偿”。在起诉之前，您必须以书面形式通知企业其违反了哪些 CCPA 条款，并留出 30 天的时间以书面形式回复其已纠正违规行为并且不会再发生违规行为。如果企业能够真正纠正违规行为并向您提供已纠正违规行为的书面声明，您就不能起诉企业，除非企业继续违反其声明而违反 CCPA。

2.8.企业是否需要遵守CPRA修正案

是的。自 2023 年 1 月 1 日起，CPRA 对 CCPA 的修订生效，企业必须遵守所有明确的法定要求。企业还必须遵守目前有效的 CCPA 法规。

2.9.目前有哪些CCPA法规正在生效

是的。加州司法部于 2020 年 8 月 14 日颁布了实施 CCPA 的首轮法规，并于 2021 年 3 月 15 日进一步修订。这些法规最近由加州隐私保护局更新。这些法规出现在《加州法规》第 11 章第 6 部分第 7001 节及以下章节中，并于 2023 年 3 月 29 日生效。

2.10.员工数据和企业对企业交易的法定豁免是否仍然有效

否。《民法典》第 1798.145(m)-(n) 条规定的与就业相关的个人信息和反映企业对企业交易的个人信息的豁免将于 2022 年 12 月 31 日到期。

2.11.我可以使用授权代理人提交申请吗

是的。您可以授权其他人代表您提交 CCPA 请求。您也可以授权在加州州务卿处注册的商业实体代表您提交请求。
请注意，如果您使用授权代理，企业可能会要求授权代理或您提供更多信息，以验证您是代理的指示人。例如，对于了解或删除您的个人信息的请求，企业可能会要求授权代理提供证据，证明您已授权该代理提交请求。企业还可能要求您直接向企业验证您的身份，或直接向企业确认您已授权代理提交请求。

3.选择不出售或分享的权利

3.1.什么是选择退出（opt-out）的权利

您可以要求企业停止出售或共享您的个人信息（“opt-out”）。请注意，共享特指跨上下文行为广告的共享，即根据消费者在众多网站上的在线活动获得的消费者个人信息，向消费者投放广告。除了一些例外情况，企业在收到您的退出请求后不得出售或共享您的个人信息，除非您后来授权他们再次这样做。企业必须等待至少 12 个月，才能要求您重新选择出售或共享您的个人信息。：

3.2.企业可以出售儿童的个人信息吗

企业只有在获得出售儿童个人信息的肯定授权（“选择加入”）的情况下，才可以出售其知道未满 16 周岁的儿童的个人信息。对于未满 13 周岁的儿童，选择加入必须来自儿童的父母或监护人。对于年满 13 岁但未满 16 周岁的儿童，选择加入可以由儿童本人做出。

3.3.如何提交退出请求

出售个人信息的企业必须遵守 CCPA 的要求，在其网站上提供清晰醒目的“禁止出售或分享我的个人信息”链接，以便您提交退出请求。企业不能要求您创建帐户才能提交请求。企业也不应该要求您验证您的身份，但他们可以向您询问一些基本问题，以确定哪些个人信息与您相关。
您还可以通过用户启用的全局隐私控制（例如 GPC）提交退出请求，如下面的常见问题 8 和 9 中所述。如果您找不到企业的“不出售或共享我的个人信息”链接，请查看其隐私政策，了解其是否出售或共享个人信息。如果企业确实如此，它还必须在其隐私政策中包含该链接。
如果企业的“不出售我的个人信息”链接或其他指定的提交退出请求的方法不起作用或难以找到，您可以向我们的办公室举报该企业（https://oag.ca.gov/contact/consumer-complaint-against-business-or-company）。

3.4.企业需要多长时间回应请求

企业必须尽快回应您的请求，自收到您的退出请求之日起最多 15 个工作日。

3.5.为什么企业要求我提供更多信息

虽然企业无需核实提交退出请求的人是否确实是企业拥有其个人信息的消费者，但他们可能需要向您索取更多信息，以确保他们停止出售正确人员的个人信息。如果企业要求提供个人信息来验证您的身份，则只能将该信息用于此验证目的。

3.6.为什么我收到的回复是，该商家是服务提供商，无需按照我的请求采取行为

许多企业利用其他企业为其提供服务。例如，零售商可以与支付卡处理商签订合同来处理客户信用卡交易，或与运输公司签订合同来交付订单。根据 CCPA，这些实体可能符合“服务提供商”的资格。
CCPA 对服务提供商和他们所服务的企业区别对待。企业负责响应消费者的请求。如果您向企业的服务提供商而非企业本身提交退出请求，服务提供商可能会拒绝该请求。您必须向企业本身提交请求。
如果服务提供商表示由于自己是服务提供商，因此不会或无法按照您的要求行事，您可以跟进询问该企业是谁。但是，有时服务提供商无法提供该信息。您可能能够根据服务提供商提供的服务确定该企业是谁，尽管有时这可能很困难或不可能。

3.7.什么是GPC

出售或共享个人信息的企业必须提供两种或两种以上的方法，供消费者提交选择退出出售其个人信息的请求。对于在线收集消费者个人信息的企业，消费者选择退出出售或共享的一种可接受方法是通过用户启用的全球隐私控制，例如GPC。GPC是为了响应 CCPA 并增强消费者隐私权而开发的，它是一种“停止出售或共享我的数据开关”，可在某些互联网浏览器（如 Mozilla Firefox、Duck Duck Go 和 Brave）上使用，或作为浏览器扩展使用。这是一项拟议的技术标准，反映了 CCPA 法规的设想——一些消费者希望有一个全面的选项，可以广泛地发出他们的选择退出请求，而不是在不同的浏览器或设备上的多个网站上提出请求。选择退出出售或共享个人信息对消费者来说应该很容易，而 GPC 是希望通过用户启用的全球隐私控制提交选择退出出售或共享个人信息请求的消费者的一种选择。根据法律规定，相关企业必须尊重消费者提出的停止出售或共享个人信息的有效请求。
要了解有关 GPC 的更多信息，您还可以访问https://oag.ca.gov/privacy/ccpa/gpc

3.8.如何使用GPC提交退出请求

要了解有关 GPC 的更多信息，可以访问其网站。开发人员已经开始围绕 GPC 进行创新，并为消费者创建了不同的机制，例如 EFF 的Privacy Badger扩展或 Brave Privacy Browser。

4.知情请求

4.1.知情权是什么

您可以要求企业向您披露他们收集、使用、共享或出售了您的哪些个人信息，以及他们收集、使用、共享或出售这些信息的原因。具体而言，您可以要求企业披露：

• 收集的个人信息类别

• 收集的具体个人信息

• 企业收集个人信息的来源类别

• 企业使用个人信息的目的

• 企业与之共享个人信息的第三方类别

• 企业向第三方出售或披露的信息类别

企业必须向您提供您提出请求前 12 个月的这些信息。他们必须免费向您提供这些信息。

4.2.我如何提交知情请求

企业必须指定至少两种提交请求的方法 - 例如，电子邮件地址、网站表格或纸质表格。其中一种方法必须是免费电话号码，如果企业有网站，其中一种方法必须通过其网站。但是，如果企业只在线运营，则只需提供电子邮件地址即可提交请求。

企业不能仅仅为了提交了解请求而要求您创建一个帐户，但是如果您已经拥有该企业的帐户，则可能会要求您通过该帐户提交请求。

确保通过商家指定的方法之一提交您的了解请求，这可能与其正常的客户服务联系信息不同。如果您找不到商家指定的方法，请查看其隐私政策，其中必须包含有关如何提交请求的说明。

如果企业指定的提交知情请求的方法不起作用，请以书面形式通知企业，并考虑在可能的情况下通过其他指定方法提交请求。

4.3.企业在多久回复知情请求

企业必须在 45 个日历日内回复您的请求。如果他们通知您，他们可以将该期限再延长 45 天（总共 90 天）。
如果您提交了知情请求，但在规定时间内未收到任何回复，请检查商家的隐私政策，确保您通过指定的方式提交了请求。请与商家联系，了解该商家是否受 CCPA 约束，并跟进您的请求。

4.4.为什么企业要求我提供更多信息

企业必须核实提出了解请求的人是否是企业拥有其个人信息的消费者。企业可能需要向您索取更多信息以进行核实。如果企业要求提供个人信息以验证您的身份，则只能将该信息用于此核实目的。

4.5.为什么商家拒绝了我的知情请求

知情权有一些例外情况。企业拒绝披露您的个人信息的常见原因包括：

• 商家无法验证您的请求

• 该请求明显毫无根据或过分，或者该企业在 12 个月内已向您提供过两次以上的个人信息

• 企业不能泄露某些敏感信息，例如您的社会保险号、金融账号或账户密码，但如果他们正在收集此类信息，则必须告知您

• 披露将限制企业履行法律义务、行使法律索赔或权利或辩护法律索赔的能力

• 如果个人信息是某些医疗信息、消费者信用报告信息或 CCPA 豁免的其他类型的信息

有关更多例外情况，请参阅《民法典》第 1798.145 节。
如果您不知道企业为什么拒绝您的知情请求，请与企业联系，询问其原因。

5.删除请求

5.1.删除权是什么

您可以要求企业删除从您那里收集的个人信息，并要求其服务提供商也这样做。

5.2.我如何提交删除权利

PIPA规定，当与数据主体订立并履行合同时，数据处理者可以在未经数据主体额外同意的情况下收集和使用个人数据。但请注意，这一法律依据不适用于向第三方提供个人资料。

6.更正请求

6.1.什么是更正权

您可以要求企业更正他们掌握的关于您的不准确信息。
加州隐私保护局目前正处于正式的规则制定过程中，并已提出有关更正权的CCPA法规，但这些法规目前还不是最终版本或生效版本。

6.2.我如何提交更正请求

查看企业的隐私政策，其中应包括有关如何提交更正请求的说明。
企业必须指定至少两种方式供您提交请求 - 例如免费电话号码、电子邮件地址、网站表格或纸质表格。但是，如果企业完全在线运营，则只需提供电子邮件地址即可提交请求。
企业不能让您创建一个帐户来提交更正请求，但如果您已经拥有该企业的帐户，则可能会要求您通过该帐户提交请求。
请确保您通过企业指定的方法之一提交更正请求，该方法可能与其正常的客户服务联系信息不同。
如果企业指定的提交更正请求的方法不起作用，请以书面形式通知企业，并考虑在可能的情况下通过其他指定方法提交请求。

6.3.为什么企业拒绝了更正请求

更正权存在例外情况。企业拒绝您的更正请求的常见原因包括：

• 商家无法验证您的身份以完成您的请求

• 该请求明显毫无根据或过分

• 该信息是公开信息、某些医疗信息、消费者信用报告信息或 CCPA 豁免的其他类型的信息

如果您不知道商家为什么拒绝您的更正请求，请与商家联系，询问其原因。

7.限制使用个人信息的请求（限制权利）

7.1.什么是限制权利

您可以指示企业仅将您的敏感个人信息（例如，您的社会安全号码、财务账户信息、您的精确地理位置数据或您的基因数据）用于有限的目的，例如为您提供您所请求的服务。
加州隐私保护局目前正处于正式的规则制定过程中，并已提出有关限制权利的CCPA法规，但这些法规目前尚未最终确定或生效。。

8.不受歧视的权利

企业不能仅仅因为您行使了 CCPA 规定的权利而拒绝向您提供商品或服务、向您收取不同的价格或提供不同级别或质量的商品或服务。
但是，如果您拒绝向企业提供您的个人信息或要求其删除或停止出售您的个人信息，而该个人信息或出售对于企业向您提供商品或服务是必要的，则企业可能无法完成该交易。
企业还可以为您提供促销、折扣和其他优惠，以换取您收集、保留或出售您的个人信息。但他们只能在提供的财务激励与您的个人信息价值合理相关的情况下才能这样做。如果您要求企业删除或停止出售您的个人信息，您可能无法继续参与他们为换取个人信息而提供的特别优惠。如果您不确定您的请求会如何影响您参与特别优惠，请询问企业。

9.必要的通知

9.1什么是收集通知

CCPA 要求企业在“收集通知”中向消费者提供某些信息。收集通知必须列出企业收集的有关消费者的个人信息类别以及他们使用这些信息类别的目的。（要了解如何了解企业收集了有关您的具体信息，请参阅知情权部分。）如果企业出售消费者的个人信息，则收集通知必须包含“禁止出售或共享”链接。通知还必须包含指向企业隐私政策的链接，消费者可以通过该链接更全面地了解企业的​​隐私惯例及其隐私权利。

9.2. 我在哪里找到企业的收集通知

此通知必须在企业收集您的个人信息时或之前提供。例如，您可能会在网站主页以及您下订单或出于其他原因输入个人信息的网页上找到收集通知的链接。在移动应用程序上，您可能会在设置菜单中找到通知链接。在零售店中，您可能会在用于收集您的个人信息的打印表格上找到通知。

9.3. 什么是隐私政策

企业的隐私政策是一份书面声明，概述了其在线和离线收集、使用、共享和销售消费者个人信息的做法。CCPA 要求企业隐私政策包含有关消费者隐私权及其行使方式的信息：知情权 、删除 权、 选择退出销售权、 更正权、 限制权和 非歧视权。

9.4.在哪里可以找到企业的隐私政策

大多数企业都会在其网站上发布隐私政策。通常可以在主页和其他网页的底部找到该政策的链接。链接的标题可能包括“隐私”或“加州隐私权”。在移动应用中，隐私政策可能位于应用的下载页面或应用的设置菜单中。

10.数据经纪人

10.1什么是数据经纪人

加州另一项法律《民法典》第 1798.99.80 条将数据经纪人定义为“故意收集并向第三方出售与其没有直接关系的消费者个人信息的企业”。该法律免除了受其他法律监管的某些企业的这一定义。豁免企业包括消费者报告机构（通常称为信用局）以及某些金融机构和保险公司。
数据经纪人从网站、其他企业和公共记录等多种来源收集有关消费者的信息。数据经纪人分析并打包数据，然后出售给其他企业。

10.2如何找到收集和出售我的个人信息的数据经纪人

加州数据经纪人法律规定，受该法律管辖的数据经纪人必须向司法部长登记，并提供有关其业务的特定信息。数据经纪人登记处可在司法部长网站https://oag.ca.gov/data-brokers上找到。
数据经纪人受 CCPA 约束。在数据经纪人注册中心网站上，您可以找到每个注册数据经纪人的联系信息和网站链接，以及帮助您行使 CCPA 权利的其他信息。

10.3 我如何阻止数据经纪人出售我的个人信息

您可以点击数据经纪人注册表上的“查看完整提交”（View Full Submission）链接，获取有关如何选择退出出售您的个人信息的说明。但是，您可能无法阻止出售您的所有信息。CCPA 对“个人信息”的定义不包括合法提供的政府记录信息，而政府记录通常是数据经纪人使用的来源。
您还可以通过注册中心发布的链接访问数据经纪人的网站，找到经纪人的隐私政策，以了解有关其隐私惯例以及如何行使您的 CCPA 权利的更多信息。

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）