[ 首页 ] [ 渗透测试 ] [ 黑客接单 ] [ 黑客技术 ] [ 黑客论坛 ] [ 黑客松 ] [ 繁体中文 ]



标题 : CCPA 和 CPRA:有什么区别以及如何遵守
作者: Evil octal, VeNoMouS, 黑客网站Admin
日期 : 2023-07-22

什么是《加州隐私权法案》(CRPA)(以前称为 CCPA)?

2020 年 1 月,《加州消费者隐私法案》(CCPA) 在美国开启了监管合规的新时代,要求企业做的不仅仅是更新隐私政策。新的加州法律影响了近 4000 万加州公民以及与他们有业务往来的数千个组织。

2020 年 11 月,选民根据 CCPA 批准了《加州隐私权法案》(CPRA)。CPRA 将于 2023 年 1 月 1 日生效,使加州消费者能够更好地控制公司持有的有关他们的个人信息。

CPRA 在 CCPA 之外增加了重要的新合规义务,包括新的组织资格标准、敏感个人信息 (SPI) 的新定义、现有权利的更新以及新权利,例如更正信息的权利。

这是有关安全合规性的系列文章的一部分。

在本文中:

  • CPRA 涵盖哪些组织?
  • CCPA 和 CPRA 有什么区别?
    • CPRA 介绍了什么?
  • 从 CCPA 到 CPRA 合规性的步骤
    • 了解哪些数据属于 CPRA 扩展范围
    • 为新的消费者和员工权利请求做好准备
    • 更新保留和敏感个人信息的政策
    • 进行风险评估和年度网络安全审计

CPRA 涵盖哪些组织?

当《通用数据保护条例》(GDPR) 于 2018 年生效时,处理欧盟境内收集的个人数据的组织必须做出特别努力来保护个人数据和数据主体的隐私。GDPR 适用于在欧盟境内或其他地方运营的组织,只要该组织处理欧盟数据主体的个人数据。

《加州隐私权法案》(CPRA) 的范围类似,适用于处理加州居民个人信息并满足以下三个标准之一的营利性实体:

  • 共享超过 100,000 名消费者或家庭的个人身份信息 (PI) 的企业。这是对 CCPA 之前 50,000 名消费者门槛的更新,使该法律对小企业更加友好。
  • 截至上一年 1 月 1 日总销售额为 2500 万美元的公司。
  • 通过共享或出售从用户那里收集的个人信息产生超过 50% 总收入的公司。

CCPA 和 CPRA 有什么区别?

CPRA 扩展了 CCPA(加州消费者隐私法),并提供了有关现有要求的更多详细信息。因此,熟悉 CCPA 可以更容易理解 CPRA。

CCPA 涵盖加州人的四项主要权利:

知情权
加州公民有权了解公司收集哪些个人信息以及他们如何使用或共享这些信息。

删除权
个人可以要求公司删除其个人信息,除非收集的数据出于法律目的而被豁免或需要提供服务或完成交易。CCPA 豁免信息包括医疗记录和信用记录。

选择退出数据销售的权利
消费者可以禁止公司向第三方出售其个人信息 (PII)。

不受歧视的权利
CCPA 保护公民在行使其他权利时免受歧视。企业不得因客户要求控制个人数据而收取歧视性价格或无法提供商品或服务。

CPRA 介绍了什么?

CPRA 并没有完全取代 CCPA – 它通常会细化和扩展其规定,为执行该法案的要求提供实用指南。它更新了一些现有的消费者和员工权利,例如建立向个人提供信息的时间框架。

CPRA 还更新了资格要求,适用于“共享”数据的公司,而不仅仅是出售数据的公司。它还扩大了个人可以对不遵守 CCPA 数据安全标准的企业采取的法律行动。例如,它允许基于受损的登录凭据提起诉讼。

CRPA 还提出了新的要求,例如 CPPA(加州隐私保护局)的年度评估。这个新机构必须批准并报告这些风险评估。它还为敏感个人信息(SPI)创建了一个新类别,并提出了更严格的要求。

CPRA 规定的新权利包括要求企业更新个人信息、限制 SPI 的披露和使用以及访问有关自动决策的信息。个人还可以要求他们的数据免受自动决策技术的影响。

从 CCPA 到 CPRA 合规性的步骤

了解哪些数据属于 CPRA 扩展范围

CPRA的新规定适用于更多类型的数据。其中包括敏感个人身份信息 (SPI) 的新分类,例如社会安全号码 (SSN)、驾驶执照号码、生物特征信息、确切地理位置、种族和民族血统等信息。组织必须根据 CPRA 的数据最小化和保留要求准确检索、分类和管理这些信息。

为新的消费者和员工权利请求做好准备

CCPA 为加州公民引入了新的消费者权利,包括知情权、访问权、删除权、拒绝出售数据的权利和不受歧视的权利。CPRA 现在将这些权利扩展到更正、可移植和限制敏感个人信息的披露,并将这些权利也扩展到员工。

虽然许多实施 CCPA 合规计划的组织都有处理消费者权利请求的流程,但员工权利请求带来了一些独特的挑战。增加。授予员工隐私权需要组织对更多非结构化数据进行解析和分类。这意味着 CRPA 对自动发现和数据修复的需求变得更加重要。

更新保留和敏感个人信息的政策

CPRA 对敏感个人信息的收集、使用和保留提出了新的要求,将其限制为提供商品和服务所必需的信息。对于处理大量数据的组织来说,实施这些策略可能是一个挑战。

进行风险评估和年度网络安全审计

CPRA 规定,高风险组织(处理个人信息或敏感个人信息的组织)应定期执行风险评估,类似于欧盟 GDPR 中要求的数据保护影响评估 (DPIA)。

CPRA 风险评估会提交给监管机构,以确保如果组织执行的数据处理活动对消费者隐私或安全构成重大风险,则该活动会在适当级别的保护下进行,以减轻风险。

此外,CRPA 要求其处理活动对消费者隐私或安全构成重大风险的组织进行年度独立网络安全审计。

CCPA 和 CPRA 以及 LvBug

作为一家加州公司,LvBug 遵守 CCPA 和 CPRA 的要求。我们的客户可以放心,通过或存储在我们系统中的数据和个人信息都会得到最严格的管理,并且绝不会被出售。获得并维持客户和用户的信任是我们企业 DNA 的一部分。


Copyright ©2025
Designed by : Wild Click Creative Agency
[ Telegram ] [ 联系我们 ] [ Email:Lvbug@tuta.io ] [ 黑客论坛 ] [ 繁体中文 ] [ 简体中文 ]