CCPA
CCPA (California Consumer Privacy Act, Закон о конфиденциальности потребителей Калифорнии) — это закон штата Калифорния (США), принятый в 2018 году и вступивший в силу 1 января 2020 года, который предоставляет жителям Калифорнии расширенные права на контроль над их личной информацией, собираемой бизнесом. CCPA считается одним из наиболее строгих законов о защите данных в США, оказавшим значительное влияние на практику обработки персональных данных в технологической и коммерческой сферах.
История принятия
Предпосылкой к созданию CCPA стало растущее общественное беспокойство по поводу масштабов сбора личных данных крупными технологическими компаниями, особенно после скандала с Cambridge Analytica в 2018 году. Инициатором закона выступил калифорнийский предприниматель Аластер Маттерн, который профинансировал сбор подписей для вынесения законопроекта на референдум. Чтобы избежать более жесткого варианта, который мог быть принят избирателями, законодательное собрание штата Калифорния ускоренно приняло компромиссный текст закона 28 июня 2018 года. Губернатор Джерри Браун подписал его 29 июня 2018 года.
Закон вступил в силу 1 января 2020 года, но период его правоприменения со стороны Генерального прокурора Калифорнии начался 1 июля 2020 года. В ноябре 2020 года избиратели Калифорнии одобрили поправку — California Privacy Rights Act (CPRA), которая расширила и уточнила положения CCPA, вступив в силу 1 января 2023 года. CPRA, по сути, заменила CCPA, но термин «CCPA» часто используется для обозначения как первоначального закона, так и его обновленной версии.
Сфера действия
CCPA применяется к коммерческим организациям (for-profit businesses), которые ведут бизнес в Калифорнии и соответствуют хотя бы одному из следующих критериев:
- Годовой валовой доход превышает 25 миллионов долларов США.
- Покупают, получают, продают или передают в коммерческих целях личную информацию 100 000 или более потребителей, домохозяйств или устройств за календарный год.
- Получают 50% или более своего годового дохода от продажи личной информации потребителей.
Закон не распространяется на государственные органы, некоммерческие организации и малый бизнес, не соответствующий пороговым значениям. Действие закона распространяется на любую компанию, собирающую данные жителей Калифорнии, независимо от того, где физически находится компания.
Основные права потребителей
CCPA предоставляет жителям Калифорнии (потребителям) следующие ключевые права:
Право на знание (Right to Know)
Потребитель имеет право запросить у бизнеса информацию о том, какие категории личной информации были собраны, использованы, раскрыты или проданы за последние 12 месяцев. Бизнес обязан предоставить конкретные фрагменты данных, а также категории источников, целей сбора и третьих лиц, которым данные были переданы.
Право на удаление (Right to Delete)
Потребитель может потребовать от бизнеса удалить любую личную информацию, собранную о нем. Бизнес обязан выполнить запрос, за исключением случаев, когда данные необходимы для завершения транзакции, обнаружения мошенничества, соблюдения юридических обязательств или выполнения других законных целей.
Право на отказ от продажи (Right to Opt-Out of Sale)
Потребитель имеет право в любой момент запретить бизнесу продавать его личную информацию третьим лицам. Бизнес обязан разместить на своем сайте четкую ссылку «Do Not Sell My Personal Information» (Не продавайте мою личную информацию). CPRA расширила это право, включив в него «совместное использование» (sharing) данных для целей кросс-контекстной поведенческой рекламы.
Право на недискриминацию (Right to Non-Discrimination)
Бизнес не имеет права отказывать потребителю в услугах, взимать разную цену или предоставлять разный уровень обслуживания, если потребитель реализует свои права по CCPA. Однако бизнес может предлагать финансовые стимулы (например, скидки) в обмен на сбор данных, при условии, что потребитель дал на это предварительное информированное согласие.
Право на исправление (Right to Correct) — добавлено CPRA
Потребитель может потребовать исправить неточную личную информацию, которую хранит бизнес.
Право на ограничение использования конфиденциальных данных (Right to Limit Use of Sensitive Personal Information) — добавлено CPRA
Потребитель может потребовать, чтобы бизнес использовал конфиденциальные данные (например, данные о здоровье, биометрические данные, точное местоположение) только для целей, необходимых для предоставления услуги.
Определение личной информации
CCPA определяет «личную информацию» (Personal Information) очень широко — как любую информацию, которая идентифицирует, относится к, описывает, может быть связана с или может быть разумно связана, прямо или косвенно, с конкретным потребителем или домохозяйством. В отличие от GDPR, CCPA включает данные, которые не идентифицируют конкретное лицо, но связаны с домохозяйством (например, адрес дома, количество проживающих). Примеры включают:
- Имя, адрес, номер телефона, адрес электронной почты.
- Идентификаторы (IP-адрес, cookie-файлы, идентификаторы устройств).
- Коммерческая информация (история покупок, намерения).
- Биометрическая информация.
- Данные о местоположении.
- Данные о занятости, образовании.
- Выводы, сделанные на основе любой из вышеперечисленных категорий.
Обязанности бизнеса
Бизнес, подпадающий под действие CCPA, обязан:
- Уведомлять потребителей при сборе данных: указывать категории собираемой информации и цели ее использования.
- Разработать и поддерживать процедуры для обработки запросов потребителей (верификация личности, срок ответа — 45 дней, с возможностью продления до 90 дней).
- Обеспечить как минимум два способа подачи запросов (например, бесплатный номер телефона и веб-форму).
- Публиковать политику конфиденциальности, которая описывает права потребителей и способы их реализации.
- Проводить ежегодные оценки рисков (для бизнеса, обрабатывающего конфиденциальные данные) — требование CPRA.
- Заключать контракты с поставщиками услуг и подрядчиками, которые обрабатывают личную информацию от имени бизнеса.
Отличия от GDPR
Хотя CCPA часто сравнивают с Общим регламентом защиты данных (GDPR) Европейского союза, между ними есть существенные различия:
| Критерий | CCPA/CPRA | GDPR |
|---|---|---|
| Территориальная сфера | Только жители Калифорнии | Любые лица в ЕС |
| Правовое основание | Не требуется (кроме отказа от продажи) | Требуется одно из шести оснований |
| Право на забвение | Есть, с исключениями | Есть, более широкое |
| Право на переносимость | Есть (только данные, предоставленные потребителем) | Есть (включая сгенерированные данные) |
| Штрафы | $2,500–$7,500 за нарушение (без ущерба) | До €20 млн или 4% годового оборота |
| Частный иск | Есть (только при утечке данных) | Есть (при любом нарушении) |
Последствия и влияние
Принятие CCPA вызвало волну изменений в практиках сбора данных по всей территории США. Многие компании, работающие на национальном уровне, распространили действие CCPA на всех своих клиентов, а не только на жителей Калифорнии, чтобы упростить соблюдение требований. Закон также стимулировал принятие аналогичных законов в других штатах (например, в Виргинии, Колорадо, Коннектикуте, Юте) и усилил дискуссию о необходимости федерального закона о конфиденциальности данных в США.
Критики CCPA указывают на сложность его выполнения для малого и среднего бизнеса, а также на то, что закон не решает проблему сбора данных в масштабах, характерных для крупных технологических платформ. Сторонники отмечают, что CCPA дал потребителям реальный инструмент контроля над их данными и повысил прозрачность обработки информации.
Интересные факты
- Первый крупный штраф по CCPA был наложен в августе 2022 года на компанию Sephora за невыполнение требований об отказе от продажи данных. Штраф составил 1,2 миллиона долларов.
- CCPA стал первым законом в США, который ввел право на отказ от продажи данных, что привело к появлению на многих сайтах кнопки «Do Not Sell My Personal Information».
- В 2023 году, после вступления в силу CPRA, был создан новый регулирующий орган — California Privacy Protection Agency (CPPA), который отвечает за правоприменение и разработку нормативных актов.
Источники
- California Consumer Privacy Act (CCPA) — текст закона, штат Калифорния, 2018.
- California Privacy Rights Act (CPRA) — текст поправки, 2020.
- Руководство по CCPA от Генерального прокурора Калифорнии, 2020.
- Статья «The California Consumer Privacy Act: A Legal and Economic Analysis» — Harvard Journal of Law & Technology, 2019.
- Доклад «CCPA vs. GDPR: A Comparative Analysis» — International Association of Privacy Professionals (IAPP), 2020.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →