CCPA是一项新的消费者数据隐私法。该法律于2020年1月1日生效，并将在加州总检察长发布最终立法六个月后或2020年7月1日生效，以先到者为准。

与欧盟《通用数据保护条例》（GDPR）所进行的激进改革相似，CCPA是迄今为止美国最高的数据保护标准，都旨在强有力的保障个人的个人数据，并适用于收集、使用或共享消费者数据的企业，无论这些信息是在线还是离线获得的。但是，CCPA在某些重要方面与GDPR不同，特别是在适用范围方面、收集限制的性质和程度、以及有关问责制的规则等。

CCPA为加利福尼亚州居民提供了一些有关其个人信息的新权利。例如，CCPA授予个人访问和删除公司收集的个人信息以及拒绝公司出售个人信息的权利。否决权很重要，因为CCPA将“出售”定义为一个广义术语，并且包括许多常见的数据共享案例，即使没有货币交换也是如此。

CCPA授予加利福尼亚消费者新的权利

有权了解有关个人信息的类别和特定部分的收集，使用，共享或出售的个人信息；

有权删除企业及其扩展名（企业的服务提供商）拥有的个人信息；

有权拒绝出售个人信息。消费者能够指导出售个人信息的公司停止出售该信息。16岁以下的儿童必须提供选择同意，父母或监护人同意13岁以下的儿童。

当消费者根据CCPA行使隐私权时，有在价格或服务方面不受歧视的权利。

如果满足以下一项或多项，则企业将受CCPA的约束：

年总收入超过2500万美元；

购买、接收或出售50,000个或更多消费者，家庭或设备的个人信息；

通过销售消费者的个人信息获得年收入的50％或更多。

CCPA施加企业将承担新的业务义务

• 受CCPA约束的企业必须在数据收集之时或之前向消费者发出通知。

• 企业必须创建程序来响应消费者的退出，了解和删除请求。对于选择退出的请求，企业必须在其网站或移动应用程序上提供“请勿出售我的信息”链接。

• 企业必须响应消费者的要求，以在特定时间范围内了解，删除和选择退出。根据法规草案的建议，企业必须将用户启用的隐私设置视为表明消费者选择退出的一种有效提交的退出请求。

• 企业必须验证请求知道和删除的消费者的身份，无论消费者是否在企业中拥有受密码保护的帐户。根据法规草案的建议，如果企业无法验证请求，则可以拒绝该请求，但必须最大程度地遵守。例如，它必须将删除请求视为退出请求。

• 根据法规草案的建议，企业必须披露为保留或出售消费者的个人信息而提供的经济激励措施，并解释其如何计算个人信息的价值。企业还必须说明CCPA如何允许该激励措施。

• 根据法规草案的建议，企业必须保留请求记录以及如何响应24个月，以证明其合规性。此外，收集、购买或出售超过400万消费者的个人信息的企业还有其他记录保存和培训义务。

公司应保护的敏感个人信息（尤其是有关加州居民的信息，也包括有关任何美国居民的信息）

• 社会保障号码

• 驾照号码

• 护照号码或其他政府签发的身份证号码

• 信用卡、借记卡或其他支付卡号

• 财务账号

• 健康信息，包括员工残疾、员工薪酬和短期残疾/长期残疾信息

• 遗传信息

• 生物特征信息，如指纹

• 健康保险信息，如健康保险号码

• 关于儿童的个人信息

• 指纹或其他生物测定数据，例如，打卡进出工人或验证访问

• 第三方背景调查供应商员工的背景调查报告

• 个人地理跟踪信息

CCPA规定的罚款及限制

未加密和未编辑的个人信息的任何消费者，都将由于未经授权而遭受未经授权的访问、渗透、盗窃或披露。企业违反了实施和维持适合于信息性质的合理安全程序和惯例以保护个人信息的义务，可能对以下任何行为提起民事诉讼：

（A）赔偿每起事件每位消费者不少于一百美元（100美元）且不超过七百五十美元（750美元）的损害赔偿或实际损害赔偿，以较高者为准。

（B）强制性或声明性救济。

（C）法院认为适当的任何其他救济

法院在评估法定损害赔偿金额时，应考虑案件任何当事方提出的任何一种或多种相关情况，包括但不限于不当行为的性质和严重性，违规次数，不当行为的持续性，不当行为发生的时间长度，被告的不当行为的故意性以及被告的资产，负债和净资产。

如果在针对个人或全行业针对法定损害提起针对企业的任何诉讼之前，消费者向企业提供30天的书面通知，以指明该标题的具体规定，那么消费者可以提起本节所述的诉讼消费者指控已经或正在被违反。如果可以补救，如果企业在30天内实际纠正了所发现的违规行为，并向消费者提供了明确的书面声明，表明违规行为已得到纠正，并且不再发生进一步的违规行为，则不对单个法定赔偿金或集体诉讼可能会对企业造成全额法定赔偿。在个人消费者仅针对因涉嫌违反本标题而遭受的实际金钱损失提起诉讼之前，无需通知。如果企业继续违反此标题而违反了根据本节提供给消费者的明示书面声明，则消费者可以针对该企业提起诉讼以执行该书面声明，并且每次违反明示书面声明时可以追究法定赔偿，以及任何其他违反书面声明的标题的行为。

任何企业或第三方均可寻求司法部长的意见，以寻求有关如何遵守本标题规定的指导。如果一家企业在收到被指控违规的通知后30天内未能解决任何涉嫌违规的行为，均应受禁制令并处以民事罚款，每次不超过2,500美元，否则不超过7,500美元。每次故意违反行为，应由总检察长以加利福尼亚州人民名义提起的民事诉讼进行评估和追偿。

CCPA法案使用NIST CIS框架，并在CIS的要求基础上增加关于敏感信息层面的控制项，Mark将对CCPA各个控制措施实现情况进行归纳总结，不逐一按照标准要求罗列，仅代表个人观点。

CIS 20项控制措施及CCPA法案新增项实现情况归类梳理如下：

（注：Implementation Group 1内容标红、Implementation Group 2内容标蓝、Implementation Group 3内容标黑）：

结语

当前的数据时代，国际和国内都相继推出了跟数据安全相关的法律条例，国际上如GDPR、CCPA、COPPA等，国内如网络安全法、儿童个人信息网络保护规定等；数据监管治理的趋势日渐严格，数据安全已经成为了合规问题，这对企业的数据安全工作提出了比较高的要求，也推动企业重视数据安全工作。

本次跟大家分享的CCPA法案继GDPR之后，一项给加州人更多隐私保护的新法律，法案基于CIS框架，通过“Identify（识别）、Protect（保护）、Monitor（监视）、Detect（检测）、Respond（响应）和Recover（恢复）”6个维度的20个控制项，以3个阶段实施组，给企业安全建设和数据安全建设提出了要求和指引。无论你的公司是否在CCPA法案的适用范围之内，理解这个法案细则都会对我们安全从业者在安全工作中起到很好的帮助。

有人称CCPA法案是全球“最贵”法案，如果你的公司业务会涉及到美国人的数据，请重视并切实履行法案要求！

参考资料

https://help.salesforce.com/articleView?id=mc_rn_january_2020_dmp_ccpa.htm&type=5

https://oag.ca.gov/system/files/attachments/press_releases/CCPA%20Fact%20Sheet%20%2800000002%29.pdf

https://fpf.org/wp-content/uploads/2018/11/GDPR_CCPA_Comparison-Guide.pdf

这是【vk技术分享】的第四期

后续我们将持续输出优秀的技术文章

如果您有任何希望交流讨论问题

欢迎在文末或后台进行留言

我们期待与您的技术交流和思想碰撞