CCPA执法从现在开始，大多数公司还没有准备好

加州消费者隐私法案（CCPA）于2020年1月1日生效，实施期为六个月。 现在是该结束日期。

基础知识。 作为进修，CCPA明确适用于符合以下一个或多个法定标准的公司：

• 年总收入超过2500万美元;
• 拥有50,​​000个或更多消费者，家庭或设备的个人信息; 要么
• 通过出售消费者的个人信息赚取其年收入的一半以上

许多类别的企业被明确豁免遵守CCPA，包括联邦法规涵盖的某些行业。 但是，大多数发布者将需要做好准备，以使美国消费者可以选择退出第三方数据传输，并在进行调查或投诉时向监管机构证明其合规性。

Foley&Lardner律师事务所的合伙人亚伦·坦特列夫（Aaron Tantleff）律师对CCPA可能不适用于每个人抱有一点希望，同时警告说该法律几乎没有地理界限。 “我们与许多客户进行了交谈，他们惊慌地发现CCPA不适用。 CCPA的适用性，例如GDPR，不仅限于加利福尼亚的那些组织。 它可能适用于在该州没有任何实际存在的组织。”

广泛应用于全球企业。 实际上，该法规将广泛适用于大多数商业企业，无论它们是否明确针对加州居民。 例如，IAPP对立法的早期分析表明：

公司可能会比预期更快地通过[50,000个消费者的个人信息]阈值，因为个人信息的范围很广。 大多数公司都会运营网站，并且不可避免地会捕获IP地址。 值得注意的是，考虑到“消费者”一词的定义是指任何“居民”，无论网站是针对企业还是加利福尼亚的个人客户，公司都需要遵守。 即使是加利福尼亚州以外的个人博客作者和相对较小的企业，也可能很难确保他们每年仅从该站点进行被动访问，而无法在其网站上接收到超过50,000名加利福尼亚居民访问者的个人信息，而在加利福尼亚州，大多数零售商，健身室，音乐场所和其他企业将达到此门槛。

违规风险。 加州总检察长可对非故意违规行为处以最高2,500美元的经济罚款，对故意违规行为处以最高7,500美元的经济罚款。 但是，如果牵涉到成千上万的用户，这些数字可能会迅速成倍增长。 在大多数情况下，在收到通知后30天内“纠正”违规行为概不负责。 根据CCPA错误披露个人信息时，还有个人或个人的诉讼权。 （第二起CCPA集体诉讼[.pdf]于2月针对Hanna Andersson和Salesforce提出。）

Ethyca最近对218家技术公司总顾问进行的调查显示，有56％的人表示，他们“对全球新的隐私法规不准备好”，其中包括CCPA。 在执行截止日期前的几个月中，有43％的受访者表示，由于COVID-19，他们已经降低了隐私准备的优先级。 调查还发现，资源或成本的缺乏是合规方面的最大挑战。

现在要做什么。 Ethyca首席执行官Cillian Kieran表示：“对于仍在寻求合规性的企业而言，至关重要的也是唯一的第一步是弄清您拥有的个人数据及其存在的位置。” “构建完数据地图后，它会完整，完整地记录所保存的数据以及数据的存放位置，您可以担心将结构放置到位以解决各种合规性任务。 但这一切都始于地图。”

Tantleff律师补充说：“记录所有内容。 到现在为止，组织应该有一套健全的安全措施。 但是，根据CCPA，组织必须证明其已采取合理的安全措施，旨在根据个人信息的性质和敏感性来保护个人信息。”

LiveRamp数据道德副总裁Lisa Rapp表示：“没有公司应该尝试自己做到这一点。 最好的办法是通过阅读行业领导者的言论来获得尽可能多的信息，及时了解IAPP和IAB等组织发布的材料，并与从事交易的知名律师事务所联系拥有数据隐私权，以获得法律顾问和法律解释。”

Nativo法律副总裁朱莉·鲁巴什（Julie Rubash）建议出版商阅读总检察长的最终规定“以确保当前的[隐私]计划符合总检察长的解释。” 她补充说：“诸如IAB CCPA框架之类的工具是朝正确方向迈出的一步，可以为查询做准备并限制收入中断。 利用IAB CCPA合规性框架工具并签署有限服务提供商协议的发布者不太可能对其业务模式产生重大影响。”

Bounteous企业分析负责人Abby Matchett说：“由于CCPA对个人数据的看法比欧洲GDPR指南要广得多，因此大多数公司必须对可能与消费者直接或间接链接的任何数据进行大量内部清点。或家庭。 进行这样的清单检查可能给IT组织，法律部门和数据分析人员带来沉重负担，他们可能已经致力于其他内部优先事项。 克服这一障碍是实现合规性的第一步，但通常是协调和完整记录的最大挑战。”

Matchett进一步解释说：“如果您担心可能没有时间为此目的构建自己的数字解决方案，请考虑与专门维护CCPA和GDPR就绪解决方案的第三方Cookie Consent Manager软件公司联系。 一些常见的同意管理器包括TrustArc，OneTrust和Quantcast等。”

CPRA来了。 即使许多公司都在努力遵守CCPA，但如果一项新的11月加利福尼亚州投票表决倡议获得通过，它可能会施加更加严格的隐私规则。 根据未来隐私论坛的凯特琳·林格罗斯（Katelyn Ringrose）的说法，“虽然公司可能已经开始，并且在某些情况下，已经完成了针对CCPA的强有力的合规计划和工作，但最近通过了2020年投票的加州隐私权法案（CPRA）制定日期最早为2023年，对涵盖实体承担额外义务。 CPRA将创建​​敏感的数据分类，对处理者承担额外的义务，并要求建立加利福尼亚隐私保护局。”

我们为什么在乎。 大量消费者对如何在线处理其数据表示担忧。 但是，有证据表明，从更大的消费者信任度以及甚至更大的收入增长角度来看，“向前发展隐私”的公司正在看到品牌和财务上的好处。

延迟采取必要的步骤来优先考虑隐私和数据安全是愚蠢的。 正如Madison Logic首席执行官Tom O'Regan所说的那样：“最终，遵守CCPA的控制措施要比因违规而造成的罚款要便宜得多。”

周四的Live with Search Engine Land将是一个特别的CCPA和隐私讨论，主题是Lisa Rapp，数据道德副总裁， LiveRamp，Abby Matchett，企业分析负责人， Bounteous，Katelyn Ringrose，律师，隐私未来论坛。

会议于美国东部时间下午1:00开始，最多可允许100人参加会议，现场体验讨论并提出问题。 如果您是数字营销商，那么您绝对不能错过。 在此注册。