Калифорнийский закон о конфиденциальности потребителей
Калифорнийский закон о конфиденциальности потребителей (California Consumer Privacy Act, CCPA) — это закон штата Калифорния (США), принятый в 2018 году и вступивший в силу 1 января 2020 года, который предоставляет жителям Калифорнии расширенные права на доступ, удаление и контроль над обработкой их личной информации, собираемой коммерческими организациями. CCPA считается одним из самых строгих законов о защите данных в США и часто сравнивается с Общим регламентом защиты данных (GDPR) Европейского союза, хотя имеет существенные отличия в сфере действия и требованиях.
История принятия
Предпосылки
Рост цифровой экономики и массовый сбор данных компаниями (такими как Google, Facebook (организация признана экстремистской и запрещена в РФ), Amazon) привели к обеспокоенности общественности по поводу конфиденциальности. В 2018 году, после скандала с Cambridge Analytica, в США усилился запрос на регулирование. Калифорния, как крупнейший по населению штат и центр технологической индустрии, стала пионером в этой области.
Законодательный процесс
Законопроект (AB-375) был внесён членом Ассамблеи Эдом Чау (Ed Chau) и сенатором Робертом Герцбергом (Robert Hertzberg). 28 июня 2018 года губернатор Джерри Браун подписал закон, который должен был вступить в силу 1 января 2020 года. В 2019 году были внесены поправки (AB-25, AB-874, AB-1355 и др.), уточняющие определения и исключения, а также смягчающие некоторые требования для малого бизнеса.
Поправки и развитие
В ноябре 2020 года избиратели Калифорнии одобрили Предложение 24 (Proposition 24), которое создало Калифорнийский закон о правах на конфиденциальность (California Privacy Rights Act, CPRA). CPRA внёс существенные изменения в CCPA, вступившие в силу 1 января 2023 года, с правоприменением с 1 июля 2023 года. CPRA учредил новое агентство — Калифорнийское агентство по защите конфиденциальности (California Privacy Protection Agency, CPPA), которое получило полномочия по разработке нормативных актов и правоприменению.
Основные положения
Сфера действия
CCPA/CPRA распространяется на коммерческие организации (for-profit businesses), которые ведут бизнес в Калифорнии и соответствуют хотя бы одному из следующих критериев:
- Годовой валовой доход превышает 25 миллионов долларов США.
- Получают, продают или передают личную информацию 100 000 и более потребителей, домохозяйств или устройств (по CPRA — 100 000 и более).
- Получают не менее 50% годового дохода от продажи личной информации потребителей.
Определение личной информации
Под личной информацией понимается любая информация, которая идентифицирует, относится к, описывает, может быть связана с или может быть разумно связана, прямо или косвенно, с конкретным потребителем или домохозяйством. Это включает, но не ограничивается: имя, адрес, IP-адрес, идентификаторы cookie, данные о геолокации, биометрические данные, данные о покупках, образовании, занятости, а также выводы, сделанные на основе этих данных.
Права потребителей
CCPA предоставляет потребителям (жителям Калифорнии) следующие основные права:
- Право на знание (Right to Know): потребитель может запросить у бизнеса раскрытие категорий и конкретных фрагментов личной информации, собранной о нём, а также источников, целей сбора и третьих лиц, которым она была продана или передана.
- Право на удаление (Right to Delete): потребитель может потребовать удалить личную информацию, собранную бизнесом, за некоторыми исключениями (например, для завершения транзакции, обеспечения безопасности, соблюдения юридических обязательств).
- Право на отказ от продажи (Right to Opt-Out of Sale): потребитель может в любое время запретить бизнесу продавать его личную информацию третьим лицам. CPRA расширил это право на «передачу» (sharing) информации для целей кросс-контекстной поведенческой рекламы.
- Право на недискриминацию (Right to Non-Discrimination): бизнес не может отказать в услугах, изменить цены или условия обслуживания для потребителя, который реализовал свои права, за исключением случаев, когда разница в цене напрямую связана с ценностью предоставленных данных.
- Право на исправление (Right to Correct): введено CPRA, позволяет потребителю потребовать исправления неточной личной информации.
- Право на ограничение (Right to Limit): введено CPRA, позволяет потребителю ограничить использование и передачу чувствительной личной информации (например, данные о здоровье, расе, точной геолокации) только для целей, необходимых для предоставления услуг.
Обязанности бизнеса
Бизнес, подпадающий под действие CCPA, обязан:
- Уведомлять потребителей при сборе данных о категориях собираемой информации и целях её использования.
- Предоставлять как минимум два способа подачи запросов (например, бесплатный телефонный номер и веб-форму).
- Отвечать на запросы потребителей в течение 45 дней (с возможностью продления ещё на 45 дней при уведомлении).
- Вести учёт запросов и ответов в течение 24 месяцев.
- Разработать и опубликовать политику конфиденциальности, которая включает описание прав потребителей и способы их реализации.
- Обеспечить на своём веб-сайте ссылку «Do Not Sell or Share My Personal Information» (Не продавать и не передавать мою личную информацию) — для реализации права на отказ от продажи/передачи.
Правоприменение и ответственность
Штрафы
- Гражданские штрафы: за непреднамеренные нарушения — до 2500 долларов за каждый инцидент; за умышленные — до 7500 долларов за каждый инцидент. Штрафы налагаются Генеральным прокурором Калифорнии.
- Частные иски (Private Right of Action): потребители могут подавать иски в случае утечки данных (несанкционированного доступа, кражи или раскрытия) в результате неспособности бизнеса обеспечить разумную безопасность. Ущерб может составлять от 100 до 750 долларов на человека за инцидент или фактические убытки, в зависимости от того, что больше.
Агентства
- Генеральный прокурор Калифорнии (California Attorney General) — первоначальный орган правоприменения. С 1 июля 2023 года полномочия перешли к CPPA.
- Калифорнийское агентство по защите конфиденциальности (CPPA) — независимый орган, созданный CPRA, имеет полномочия проводить расследования, издавать нормативные акты и налагать административные штрафы.
Отличия от GDPR
| Характеристика | CCPA/CPRA | GDPR |
|---|---|---|
| Территория действия | Только жители Калифорнии | Любые лица на территории ЕС |
| Правовое основание | Право на отказ (opt-out) для продажи; согласие для детей до 16 лет | Согласие, договор, законный интерес и др. |
| Право на забвение | Право на удаление с исключениями | Право на удаление с более широкими исключениями |
| Порог срабатывания | Доход > $25 млн или > 100 000 потребителей | Любая организация, обрабатывающая данные резидентов ЕС |
| Штрафы | До $7500 за умышленное нарушение | До 4% годового глобального оборота или €20 млн |
| Частный иск | Только при утечке данных | Любое нарушение GDPR |
Критика и сложности
Для бизнеса
- Сложность соблюдения: закон требует от компаний отслеживать и документировать все потоки данных, что особенно трудно для малого и среднего бизнеса.
- Неопределённость: из-за постоянных поправок и судебных разбирательств компании сталкиваются с неясностью в толковании терминов (например, «продажа» данных).
- Затраты: внедрение систем управления согласиями, обучение персонала, юридическое сопровождение — значительные расходы.
Для потребителей
- Ограниченная осведомлённость: многие потребители не знают о своих правах или не пользуются ими.
- Сложность реализации: процесс подачи запроса может быть трудоёмким (требуется верификация личности, ожидание ответа).
- Исключения: закон не распространяется на государственные органы, некоммерческие организации и некоторые другие категории.
Влияние на другие штаты и федеральное законодательство
CCPA стал моделью для законов о конфиденциальности в других штатах США, включая Виргинию (Virginia Consumer Data Protection Act, 2023), Колорадо (Colorado Privacy Act, 2023), Коннектикут (Connecticut Data Privacy Act, 2023) и Юту (Utah Consumer Privacy Act, 2023). На федеральном уровне неоднократно предлагались законопроекты (например, American Data Privacy and Protection Act), но ни один из них не был принят. CCPA/CPRA остаётся де-факто стандартом для защиты данных в США.
Источники
- California Consumer Privacy Act (CCPA) — текст закона (California Civil Code §§ 1798.100–1798.199.100).
- California Privacy Rights Act (CPRA) — текст закона (Proposition 24, 2020).
- Официальные разъяснения Генерального прокурора Калифорнии (2020–2022).
- Нормативные акты Калифорнийского агентства по защите конфиденциальности (CPPA).
- Аналитические отчёты Международной ассоциации специалистов по конфиденциальности (IAPP).
- Статьи в Harvard Journal of Law & Technology, Stanford Law Review.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →