在GDPR(欧盟通用数据保护条例)正式实施一个月后,CCPA(加州消费者隐私法)也相继出台,并于2020年1月1日起正式生效。
CCPA因其与欧盟通用数据保护条例的相似性而被称为“精简版GDPR”,虽然它在某些领域没有达到GDPR的程度,也不那么复杂,但是CCPA在其他领域提供了相对宽泛的定义,例如扩展了GDPR删除数据的概念。
此外,该法案还提高了美国保护隐私的标准,对不遵守或导致数据泄露的企业处以罚款。CCPA是保护消费者数据的重要一步,包括每家电子商务公司收集的大多数个人信息。
不止于加州
加州以外的电商企业也在某种程度上遵守CCPA,即使是在其网站上购物的加州居民,该法案也适用于他们。因此,如果一家总部位于密歇根州的电商店铺向居住在加州的购物者销售产品,它仍将受到CCPA的约束。
GDPR和美国在线销售税都有类似的先例,就前者而言,即使是在美国的网站也必须遵守欧盟居民的GDPR。对于后者,例如,当加州居民在威斯康辛州的一家全渠道零售网站上购物时,该零售商可能仍然需要为加州缴纳销售税。
因此,向加州居民销售产品的电商企业需要遵守加州的一些法律并不奇怪。
CCPA门槛
CCPA设定了保护中小企业的门槛。公司是盈利性且符合下列三个条件之一的情况下,才须受CCPA约束:
·年销售额超过2500万美元;
·处理50000或更多消费者、家庭或设备的个人信息;
·通过销售消费者的个人信息,可以获得50%或更多的年收入。
这些门槛使许多电子商务公司得以豁免。因为在大多数零售商的收入中,有一半甚至更多都不是来自销售消费者个人信息。同样,许多电子商务企业的年销售额不足2500万美元。
最可能影响电子商务公司的门槛,往往是5万名消费者。这适用于每个网站访问者,无论消费者是否购买。这一数字为5万人次,也意味着平均每天独立访问者为137名。因为通常电商公司通过强有力的点击付费营销活动,就很容易吸引超过137名每日独立访问者。
隐私权
“加州消费者隐私组织”网站对CCPA的宗旨做了突出的阐述:
·加州的消费者拥有并控制着他们的个人信息。
·企业有责任保护个人信息。
·大型企业对未能保护个人信息负有责任(可能要支付罚款)。
这些概念表现出五项个人信息权。具体来说,加州居民有权:
·访问他或她的个人信息;
·删除个人信息;
·了解公司收集或出售了哪些个人信息;
·选择退出或选择加入,并且在退出后不会被窃听;
·不披露他或她的个人信息。
这些权利中的每一项都可能要求企业(包括电子商务企业)更改或调整通知、报告及回应。
由于GDPR的复杂性,对于部分卖家而言遵守CCPA可能相对容易。虽然在定义和要求上存在差异,但已经遵守GDPR的公司应该具备良好的条件来遵守CCPA。
因此,即使电商公司不需要遵守GDPR,也将受益于相关的软件工具和服务,因为这些工具和服务中的许多都可以很容易地适用于CCPA。电子商务公司应该花时间来了解是否适用于CCPA。如果符合,就需要了解CCPA的具体要求。
(编译/雨果网 宋淑湲)
领取专属 10元无门槛券
私享最新 技术干货