样本CCPA隐私政策模板
罗伯特·贝特曼于2020年12月23日更新(TermsFeed隐私和数据保护研究作者)必威手机精装版
的加州消费者隐私法2020年1月1日生效。这项新的隐私法将影响世界各地的企业。法律对企业提出了许多要求。特别是,它要求企业完全披露他们如何对待消费者的个人信息.
在你走向CCPA合规的道路上,一项重要的工作是更新您的隐私政策,以反映CCPA严格的新透明度要求.我们将向您介绍如何创建CCPA隐私政策,并检查CCPA的隐私政策要求与其他隐私法律的不同之处。
CCPA概述
CCPA让美国更接近欧盟已经存在多年的那种严格的隐私制度。它显然受到了欧盟《一般数据保护条例》(GDPR).但即使是符合gdp标准的企业也有很多工作要做遵守CCPA.
有两个主要原因您需要隐私政策的原因:
法律要求:隐私政策是法律规定的全球隐私法如果您收集或使用个人信息。
消费者希望看到它们:放置您的隐私政策链接在您的网站页脚,以及任何其他地方,您要求个人信息。
这是邓小平同志会见58必威 :
“随着GDPR的到来,我需要更新我的网站的隐私政策。我不想尝试自己编写一个,所以TermsFeed真的很有帮助。必威手机精装版我觉得这对我来说是值得的,尽管我只是个小人物,没有大公司。谢谢你让一切变得容易。”
斯蒂芬妮·P。
betway必威冒险旅程生成隐私策略
为您的业务(网络、移动和其他)生成2021年最新的隐私政策隐私政策发电机从Term必威手机精装版sFeed。
谁需要制定CCPA隐私政策?
CCPA适用于“企业”。然而,CCPA对“业务”的定义非常狭窄.
一个业务任何在加州做生意的营利性实体,这要么:
- 每年的总收入至少有多少每年2500万美元,
- 每年购买,出售,接收或共享个人信息至少来自5万名消费者、家庭或设备或
- 使在年收入总额的50%出售个人信息
企业也”确定处理个人信息的目的和方法如果您熟悉GDPR,您就会知道这就是“数据控制器”的定义。
大多数公司都符合这种描述.如果您的企业直接从用户那里收集个人信息,那么它可能符合这一标准。
大多数不是数据控制器的企业都是"服务提供商."
服务提供商代表其他企业处理个人信息.例如,MailChimp代表一家公司给该公司的客户发邮件。在其他隐私法中,服务提供商被称为“数据处理器”。
并不要求服务提供商仅为CCPA创建隐私政策。然而,请注意,在大多数其他隐私法律下,您将被要求无论如何创建一个。
CCPA适用于加州以外的企业吗?
CCPA并非(唯一)针对加州的企业。这是旨在任何处理加州消费者个人信息的企业.所以,就像加州另一个重要的隐私法《加州在线隐私保护法》,CCPA适用于世界各地的企业.
你的业务可以在从弗雷斯诺到法国的任何地方——只要你的服务在加州可用,你可以被CCPA覆盖,并必须遵守它的要求。
没有CCPA隐私政策的惩罚是什么?
如果没有遵守ccpa的隐私政策,每违反一次将被处以高达2500美元的罚款。
这听起来可能不太糟糕,直到你考虑到这一点每当有人访问你的违规网站或应用程序时,就会发生“违规”.
加州现行的隐私政策(CalOPPA)与CCPA的执行规则相同。达美航空侥幸逃脱了超过3700万美元的罚款这是由于大量客户下载了达美航空的应用程序。不难看出,这些罚款是如何累积起来的,即使罚款本身很小。
常见问题:CCPA隐私政策
以下是一些你可能会觉得有用的常见问题。
如果你是CCPA定义的“企业”和加州的人做生意,你必须有符合ccpa的隐私政策。
注册会计师下的“业务”须符合下列其中一项规定:
- 年收入至少2500万美元
- 每年从至少5万名消费者、家庭或设备购买、出售、接收或共享个人信息
- 销售个人信息占公司年收入的50%以上
你的公司在哪里并不重要。如果您的客户在加州,并满足上述3个要求之一,您必须有一个符合ccpa的隐私政策。
隐私政策要求
我们将详细了解每一项要求,以及一些已经符合要求的企业示例。
在我们这样做之前,有几件重要的事情需要注意。
你必须每12个月更新您的隐私政策.
你必须发布一个“显眼”的链接到你的隐私政策在你网站的首页。
大多数是这样《卫报》这样做:
以下是您需要在您的隐私政策中提供的信息,以符合ccpa。
CCPA消费者权益
CCPA包含了一组新的消费者权益.您的隐私政策必须告知您的消费者他们的权利.
消费者有权这样做要求访问个人信息.他们每年可以免费申请两次。
访问权
在接收访问请求时,您必须提供必要的信息以一种可移植且易于访问的格式,通常在45天内的请求。
在提供访问权下的信息时,您必须包括:
- 的个人信息类别企业收集消费者的信息
- 的类别来源消费者的个人信息
- 的商业或商业用途用于收集或出售消费者的个人信息
- 任何类别第三方与他们共享消费者的个人信息
- 的具体的个人信息收集消费者信息
如果公司出售个人信息,消费者亦有权要求查阅下列资料:
- 业务的个人信息类别收集对消费者的
- 企业拥有的个人信息类别出售对消费者的
- 任何类别第三方公司将消费者的个人信息卖给了他们
- 企业出售给的个人信息类别的列表每一个第三方
- 业务的个人信息类别为商业目的公开消费者信息
删除的权利
消费者有一个有权要求删除个人信息企业对消费者的依赖。
然而,该权利不适用于企业需要保留个人信息的地方为了做到以下任何一项:
- 向消费者提供商品或服务
- 检测或解决与安全性或功能相关的问题
- 遵守法律
- 从事与公众利益有关的研究
- 保障言论自由的权利
- 执行消费者可能合理期望的任何内部目的的行动
不歧视的权利
消费者行使中华人民共和国民事权利而不受歧视的权利.特别是,该业务可能不会:
- 拒绝消费产品或服务
- 向消费者收取不同的商品或服务价格,无论是通过拒绝福利还是施加惩罚
- 向消费者提供不同水平或质量的商品或服务
- 用以上任何一种方法威胁消费者
你需要让消费者知道所有这些权利.
这是如何CBD医生告知消费者他们的访问权:
这里是如何Runza告知消费者不受歧视的权利:
你可以为每一项权利设置一个条款,帮助你的客户了解他们的权利是什么,以及你将如何促进他们的权利。
请求访问和删除
仅仅告诉消费者他们的权利是不够的。你需要建立一个系统来帮助消费者行使他们的权利.这通常必须包括一个免费电话和网页.
您的隐私政策必须告诉消费者如何提交行使CCPA权利的请求.
这是如何Techbuyer方法:
请注意,该条款是如何以客户可用于行使权利的电话号码和电子邮件地址开头的。然后,进一步的细节和重要信息包括客户必须做什么,以及对请求的任何限制。
CCPA也有您需要熟悉的通知要求,我们将在本文中详细介绍:CCPA通知.这些通知包括4条特定于使用者的通知.
你的"不要出售我的信息"页面
CCPA要求任何出售消费者个人信息的企业提供一个网页,让消费者可以选择不出售他们的个人信息.这被称为"不要出售我的个人信息”页面。企业必须在其网站首页和隐私政策中链接到这个页面。
的CCPA通过TermsFeed选必威手机精装版择退出解决方案可以用来帮助您的网站访问者选择退出任何您通过第三方JavaScript脚本在您的网站上提供的个性化广告,如谷歌广告。
你可以构建您的CCPA选择退出代码以下步骤:
- 首先,自定义要显示的横幅在你的网站上:
- 你也可以调整设置通过添加描述,改变按钮的文本等等。
- 和你做的!现在,您可以简单地复制CCPA Opt-out代码,并开始调整JavaScript脚本。
这是如何FloraFlex在其隐私政策中显示“不出售我的个人信息”页面的链接:
虽然FloraFlex显然热衷于证明自己符合CCPA的要求,但值得注意的是只有出售个人信息的企业才需要遵守CCPA的这部分规定.
您收集的个人信息类别
您必须提供一份过去12个月内您收集的个人信息类别清单。
为了符合这一要求,你需要知道什么是CCPA下的“个人信息”.以下是CCPA中的定义:
识别、涉及、描述、能够直接或间接地与特定消费者或家庭相关联或合理地相关联的信息。
中央档案局列出以下类别的个人资料:
- 标识符(如姓名、电子邮件地址、社会安全号码、IP地址等)
- 个人信息类别列在加州客户记录条例(可在这里)
- 受保护的法律特征
- 商业信息
- 生物识别信息
- 互联网活动
- 地理位置数据
- 声音、电子、视觉、热力、嗅觉或类似的信息
- 就业信息
- 教育信息
- 从分析中推断个人偏好和属性(例如通过cookie)
这是如何Vertafore解决方案方法:
你不必使用图表格式,但这是值得考虑的,因为它有助于保持事情的组织,并使信息更容易为你的用户分类。
您的个人信息来源
除了告诉你的用户你收集的个人信息的类别,你需要披露你的个人信息来源.
您可以从各种来源收集个人信息,这取决于您的业务运营环境。您只需要列出源的类别,即公司或其他来源的类型。
这里有一个例子布朗-福曼:
列出的一些来源包括公开可用的数据库数据、社交网络信息和来自营销伙伴的信息。
您收集个人信息的目的
CCPA要求你告诉消费者你收集个人信息的原因-你收集它的目的。你到底是怎么处理他们的个人信息的?
这是如何算盘在其隐私政策中这样做:
这种类型的条款在隐私政策中是非常标准的,所以很有可能你已经包含了这种类型的条款。
你出售的个人信息
您的隐私政策必须列出你的公司在过去12个月内出售的所有个人资料类别.如果它在此期间没有出售任何个人信息,那么它必须披露这一点。
这是如何马里布训练营方法:
请注意,在过去12个月里,该公司没有出售任何个人信息,所以它为CCPA的个人信息类别列出了“不”。你也可以一份简单的声明,说明你在过去12个月里没有出售任何个人信息.
您出于商业目的而披露的个人信息
您的隐私政策必须列出您的企业拥有的所有类别的个人信息为商业目的而披露“在过去的12个月里.如果您在此期间没有为商业目的披露任何个人信息,那么您仍然必须披露这一点。
CCPA给七类活动这被视为“商业目的”。如果您与第三方共享消费者的个人信息,以便他们可以为您执行这些活动,您必须在您的隐私政策中披露这一点。
- 审计
- 广告分析
- 审计法律和法规遵从性
- 安全
- 检测安全漏洞
- 防止欺诈和恶意活动
- 对不法行为者采取行动(如诈骗者和黑客)
- 调试
- 识别和修复技术错误
- 短期使用
- 上下文广告定制,不涉及或有助于剖析
- 执行服务
- 帐户维护
- 客户服务
- 处理事务
- 市场营销
- 内部研究开发或演示技术
- 测试或改进任何服务或设备"由…所有、制造、制造或控制“业务
请注意,这些示例并非详尽无遗.
下面是营销公司的方法Lumen5披露如何与服务提供商分享用户的个人信息:
一个符合ccpa的隐私政策需要更进一步列出为每项商业目的而披露的个人信息类别.
与其他主要隐私法的比较
以下是CCPA的隐私政策要求如何与另外两项主要的隐私法律相匹配的GDPR(欧盟)和CalOPPA(加利福尼亚州).
| CCPA | GDPR | CalOPPA |
| 关于加州消费者CCPA消费者权利的信息。 | 您的欧盟用户的GDPR信息数据对象的权利. | N/A |
| 关于加州消费者如何请求访问和删除其个人信息的说明。 | 关于您的欧盟用户如何行使其个人信息权利的说明。 | 说明加州消费者如何请求访问和删除他们的个人信息(如果你允许)。 |
| 一个链接到你的“不要出售我的个人信息”页面。 | 关于您的欧盟用户如何选择退出直接营销或撤回对其个人信息处理的同意的说明。 | 说明消费者如何选择不使用第三方cookie(如果你使用它们)。 |
| 你在过去12个月里收集的个人信息的类别列表。 | 您处理的个人信息类别的列表。 | 您收集的个人信息类别的列表。 |
| 您收集的各类个人信息的来源。 | 你处理个人信息的方式(包括你从哪里收集的信息)。 | N/A |
| 您收集各类个人信息的目的。 | 您处理每一类个人信息的目的。 | N/A |
| 列出过去12个月里你出售的所有类别的个人信息。 | N/A | N/A |
| 在过去12个月里,您因商业目的而披露的所有类别的个人信息。 | N/A | N/A |
| N/A | 贵公司名称及联系方式。 | N/A |
| N/A | 主要人员的姓名及联络资料(数据保护官员,欧盟代表). | N/A |
| N/A | 您与之共享个人信息的组织类别的列表。 | 您与之共享个人信息的组织类别的列表。 |
| N/A | 你的合法的基础上用于处理各类个人信息。 | N/A |
| N/A | 您存储各类个人信息的期间。 | N/A |
| N/A | 关于个人信息在欧盟以外的任何国际转移的信息。 | N/A |
| N/A | N/A | 隐私政策生效的日期。 |
| N/A | N/A | 关于您将如何通知消费者隐私政策的任何更改的信息。 |
| N/A | N/A | 关于你的网站如何回应的信息不跟踪来自访问者网络浏览器的信号。 |
| N/A | N/A | 关于您使用第三方cookie或其他跟踪技术的信息(如果您使用它们)。 |
有关这些法律的更多信息,请参见:
总结
您的CCPA隐私政策必须包含:
- 的信息CCPA消费者权益
- 加州消费者如何使用可否要求查阅及删除其个人资料
- 如果你出售个人信息,链接到“请勿出售我的个人信息”页面
- 一份个人信息类别你过去12个月的收入
- 你的来源为您收集的每一类个人信息
- 你的目的用于收集各类个人信息
- 列出你所有的个人信息类别出售在过去的12个月里,或披露你没有出售个人信息
- 列出你所有的个人信息类别为商业目的而披露在过去的12个月或,披露你不为商业目的披露个人信息
您必须根据CCPA每12个月更新您的隐私政策。确保通过更新您的隐私政策的“生效日期”来反映这一点,即使您没有对该政策做出任何其他更改。
