Открыть сервис

Калифорнийский закон о конфиденциальности потребителей

Калифорнийский закон о конфиденциальности потребителей (California Consumer Privacy Act, CCPA) — это закон штата Калифорния (США), принятый в 2018 году и вступивший в силу 1 января 2020 года, который предоставляет жителям Калифорнии расширенные права на доступ, удаление и контроль над обработкой их личной информации, собираемой коммерческими организациями. CCPA считается одним из самых строгих законов о защите данных в США и часто сравнивается с Общим регламентом защиты данных (GDPR) Европейского союза, хотя имеет существенные отличия в сфере действия и требованиях.

История принятия

Предпосылки

Рост цифровой экономики и массовый сбор данных компаниями (такими как Google, Facebook (организация признана экстремистской и запрещена в РФ), Amazon) привели к обеспокоенности общественности по поводу конфиденциальности. В 2018 году, после скандала с Cambridge Analytica, в США усилился запрос на регулирование. Калифорния, как крупнейший по населению штат и центр технологической индустрии, стала пионером в этой области.

Законодательный процесс

Законопроект (AB-375) был внесён членом Ассамблеи Эдом Чау (Ed Chau) и сенатором Робертом Герцбергом (Robert Hertzberg). 28 июня 2018 года губернатор Джерри Браун подписал закон, который должен был вступить в силу 1 января 2020 года. В 2019 году были внесены поправки (AB-25, AB-874, AB-1355 и др.), уточняющие определения и исключения, а также смягчающие некоторые требования для малого бизнеса.

Поправки и развитие

В ноябре 2020 года избиратели Калифорнии одобрили Предложение 24 (Proposition 24), которое создало Калифорнийский закон о правах на конфиденциальность (California Privacy Rights Act, CPRA). CPRA внёс существенные изменения в CCPA, вступившие в силу 1 января 2023 года, с правоприменением с 1 июля 2023 года. CPRA учредил новое агентство — Калифорнийское агентство по защите конфиденциальности (California Privacy Protection Agency, CPPA), которое получило полномочия по разработке нормативных актов и правоприменению.

Основные положения

Сфера действия

CCPA/CPRA распространяется на коммерческие организации (for-profit businesses), которые ведут бизнес в Калифорнии и соответствуют хотя бы одному из следующих критериев:

  • Годовой валовой доход превышает 25 миллионов долларов США.
  • Получают, продают или передают личную информацию 100 000 и более потребителей, домохозяйств или устройств (по CPRA — 100 000 и более).
  • Получают не менее 50% годового дохода от продажи личной информации потребителей.

Определение личной информации

Под личной информацией понимается любая информация, которая идентифицирует, относится к, описывает, может быть связана с или может быть разумно связана, прямо или косвенно, с конкретным потребителем или домохозяйством. Это включает, но не ограничивается: имя, адрес, IP-адрес, идентификаторы cookie, данные о геолокации, биометрические данные, данные о покупках, образовании, занятости, а также выводы, сделанные на основе этих данных.

Права потребителей

CCPA предоставляет потребителям (жителям Калифорнии) следующие основные права:

  • Право на знание (Right to Know): потребитель может запросить у бизнеса раскрытие категорий и конкретных фрагментов личной информации, собранной о нём, а также источников, целей сбора и третьих лиц, которым она была продана или передана.
  • Право на удаление (Right to Delete): потребитель может потребовать удалить личную информацию, собранную бизнесом, за некоторыми исключениями (например, для завершения транзакции, обеспечения безопасности, соблюдения юридических обязательств).
  • Право на отказ от продажи (Right to Opt-Out of Sale): потребитель может в любое время запретить бизнесу продавать его личную информацию третьим лицам. CPRA расширил это право на «передачу» (sharing) информации для целей кросс-контекстной поведенческой рекламы.
  • Право на недискриминацию (Right to Non-Discrimination): бизнес не может отказать в услугах, изменить цены или условия обслуживания для потребителя, который реализовал свои права, за исключением случаев, когда разница в цене напрямую связана с ценностью предоставленных данных.
  • Право на исправление (Right to Correct): введено CPRA, позволяет потребителю потребовать исправления неточной личной информации.
  • Право на ограничение (Right to Limit): введено CPRA, позволяет потребителю ограничить использование и передачу чувствительной личной информации (например, данные о здоровье, расе, точной геолокации) только для целей, необходимых для предоставления услуг.

Обязанности бизнеса

Бизнес, подпадающий под действие CCPA, обязан:

  • Уведомлять потребителей при сборе данных о категориях собираемой информации и целях её использования.
  • Предоставлять как минимум два способа подачи запросов (например, бесплатный телефонный номер и веб-форму).
  • Отвечать на запросы потребителей в течение 45 дней (с возможностью продления ещё на 45 дней при уведомлении).
  • Вести учёт запросов и ответов в течение 24 месяцев.
  • Разработать и опубликовать политику конфиденциальности, которая включает описание прав потребителей и способы их реализации.
  • Обеспечить на своём веб-сайте ссылку «Do Not Sell or Share My Personal Information» (Не продавать и не передавать мою личную информацию) — для реализации права на отказ от продажи/передачи.

Правоприменение и ответственность

Штрафы

  • Гражданские штрафы: за непреднамеренные нарушения — до 2500 долларов за каждый инцидент; за умышленные — до 7500 долларов за каждый инцидент. Штрафы налагаются Генеральным прокурором Калифорнии.
  • Частные иски (Private Right of Action): потребители могут подавать иски в случае утечки данных (несанкционированного доступа, кражи или раскрытия) в результате неспособности бизнеса обеспечить разумную безопасность. Ущерб может составлять от 100 до 750 долларов на человека за инцидент или фактические убытки, в зависимости от того, что больше.

Агентства

  • Генеральный прокурор Калифорнии (California Attorney General) — первоначальный орган правоприменения. С 1 июля 2023 года полномочия перешли к CPPA.
  • Калифорнийское агентство по защите конфиденциальности (CPPA) — независимый орган, созданный CPRA, имеет полномочия проводить расследования, издавать нормативные акты и налагать административные штрафы.

Отличия от GDPR

ХарактеристикаCCPA/CPRAGDPR
Территория действияТолько жители КалифорнииЛюбые лица на территории ЕС
Правовое основаниеПраво на отказ (opt-out) для продажи; согласие для детей до 16 летСогласие, договор, законный интерес и др.
Право на забвениеПраво на удаление с исключениямиПраво на удаление с более широкими исключениями
Порог срабатыванияДоход > $25 млн или > 100 000 потребителейЛюбая организация, обрабатывающая данные резидентов ЕС
ШтрафыДо $7500 за умышленное нарушениеДо 4% годового глобального оборота или €20 млн
Частный искТолько при утечке данныхЛюбое нарушение GDPR

Критика и сложности

Для бизнеса

  • Сложность соблюдения: закон требует от компаний отслеживать и документировать все потоки данных, что особенно трудно для малого и среднего бизнеса.
  • Неопределённость: из-за постоянных поправок и судебных разбирательств компании сталкиваются с неясностью в толковании терминов (например, «продажа» данных).
  • Затраты: внедрение систем управления согласиями, обучение персонала, юридическое сопровождение — значительные расходы.

Для потребителей

  • Ограниченная осведомлённость: многие потребители не знают о своих правах или не пользуются ими.
  • Сложность реализации: процесс подачи запроса может быть трудоёмким (требуется верификация личности, ожидание ответа).
  • Исключения: закон не распространяется на государственные органы, некоммерческие организации и некоторые другие категории.

Влияние на другие штаты и федеральное законодательство

CCPA стал моделью для законов о конфиденциальности в других штатах США, включая Виргинию (Virginia Consumer Data Protection Act, 2023), Колорадо (Colorado Privacy Act, 2023), Коннектикут (Connecticut Data Privacy Act, 2023) и Юту (Utah Consumer Privacy Act, 2023). На федеральном уровне неоднократно предлагались законопроекты (например, American Data Privacy and Protection Act), но ни один из них не был принят. CCPA/CPRA остаётся де-факто стандартом для защиты данных в США.

Источники

  • California Consumer Privacy Act (CCPA) — текст закона (California Civil Code §§ 1798.100–1798.199.100).
  • California Privacy Rights Act (CPRA) — текст закона (Proposition 24, 2020).
  • Официальные разъяснения Генерального прокурора Калифорнии (2020–2022).
  • Нормативные акты Калифорнийского агентства по защите конфиденциальности (CPPA).
  • Аналитические отчёты Международной ассоциации специалистов по конфиденциальности (IAPP).
  • Статьи в Harvard Journal of Law & Technology, Stanford Law Review.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →