CCPA 同意管理要求

更新：2019年11月22日：IAB 技术实验室发布了 IAB CCPA 合规框架的最终版本（v1），UniConsent 开始支持该框架。

加利福尼亚消费者隐私法（CCPA）将于2020年1月1日生效，影响您的网站如何处理加利福尼亚人的个人信息。

CCPA 是类似于欧洲通用数据保护条例（GDPR）的法规。

根据 Adexchanger 的报道，加利福尼亚总检察长办公室最近发布了加利福尼亚消费者隐私法实施细则的初稿。

加利福尼亚总检察长哈维尔·贝塞拉表示：“我们的个人数据是推动当今数据驱动经济及其创造的财富的动力，是时候让我们对我们个人数据的使用拥有控制权了 - 包括保持其私密性。”

根据 CCPA，将个人信息传递给第三方始终被视为销售。

“第三方”和“服务提供商”之间存在差异。服务提供商无需处理数据访问和删除请求。

CCPA 的主要原则是消费者有权选择不出售他们的个人信息。

在 CCPA 下，“销售”意味着：以货币或其他价值出售，租赁，披露，传播，提供，转让或以口头、书面或电子或其他方式与其他业务或第三方沟通消费者的个人信息。

CCPA 术语定义：家庭：一个人或一组人；第三方：任何不直接从消费者收集个人信息的实体。

CCPA 中的个人信息

• 识别信息，如 Cookies、信标、像素标签、电话号码、IP 地址、账户名。
• 生物识别数据，如面部、视网膜、指纹、DNA、语音记录、健康数据。
• 地理位置数据，如设备产生的位置历史。
• 互联网活动，如浏览历史。
• 以及有关个人特征、行为、宗教或政治信仰、性取向等数据。

1. 企业应如何为 CCPA 及其同意管理要求做准备

提供通知

企业需要在收集个人信息时或之前通知消费者，说明将收集哪些类别的个人数据以及数据将如何使用。

清晰的选择退出按钮

出售个人信息的企业需要在任何收集个人数据的网页上包含一个按钮，标题为 "不要出售我的个人信息" 或 "不要出售我的信息"，并链接到通知页面。

隐私政策更新

企业必须更新其隐私政策，清楚地说明消费者在 CCPA 下的权利，列出企业在过去12个月内收集的有关消费者的个人信息的清单，并披露该信息是否正在出售。

选择退出和删除请求

企业应提供一个两步流程来处理在线删除请求，消费者必须分别确认他们确实希望删除自己的数据。

企业可以通过在现有系统上 "永久彻底地" 删除个人信息，通过去标识化数据，或通过汇总数据以使其不再可识别到个人来满足删除请求。

企业应建立类似 GDPR 同意管理器的CCPA 同意管理系统，以应对即将到来的法律。