第三方和加州消費者隱私法案 (CCPA)

已發表: 2021-08-18

在當今不斷變化的數據環境中,各地的企業都依賴與第三方的合作夥伴關係來幫助推動其業務發展。 我們的數據驅動經濟允許組織建立客戶參與度、增加消費者洞察力和增加收入,但是隨著 CCPA 對組織施加的新限制,使用第三方數據是否已成為過去? 幸運的是,對於許多組織而言,遵守 CCPA 中的這一限制只是確定您的第三方供應商、定義合同中的這些關係以及實施流程以遵守新的選擇退出銷售規則的問題。

首先,組織需要了解 CCPA 如何定義第 3 方。 根據第 1798.140 (w)節, “第三方”是指不屬於以下任何一種情況的人:

  1. 在此標題下從消費者那裡收集個人信息的企業。
  2. 企業根據書面合同出於商業目的向其披露消費者個人信息的人,前提是該合同:
    1. 禁止接收個人信息的人來自:
      1. 出售個人信息。
      2. 為履行合同規定的服務的特定目的以外的任何目的保留、使用或披露個人信息,包括為提供合同規定的服務以外的商業目的保留、使用或披露個人信息.
      3. 在個人與企業之間的直接業務關係之外保留、使用或披露信息。
    2. 包括接收個人信息的人做出的證明,該人了解 (A) 項中的限制並將遵守這些限制。

這不應與“服務提供者”混淆,CCPA 將其定義為“代表企業處理信息並且企業根據書面合同出於商業目的向其披露消費者個人信息的法律實體”。 . 這意味著商業組織本身及其按照指示使用數據的服務提供商不被視為第 3 方。 但是,許多其他與企業交換數據的組織將屬於第 3 方類別。

為了讓組織確定如何處理這些供應商關係,他們需要首先創建從組織接收數據的所有供應商和第三方的列表。 正如我們之前關於CCPA 與 GDPR 的博客所述,擁有 GDPR 準備工作中的現有數據地圖在此過程中應該會有所幫助。 數據地圖應包括您的企業與其共享數據的所有組織,以及共享數據的目的。 它還要求您考慮組織的所有職能領域,從工程到人力資源再到財務。 您的公司可能會在產品開發之外共享數據,以便開展日常業務,這需要考慮在內。

一旦您了解了您的數據被發送到組織外部的位置,您將需要查看與這些組織的合同,以評估合作夥伴/供應商對數據的權利,並確定是否需要額外的隱私影響評估。 第三方是否可以僅將數據用於為您的組織提供指定服務的目的,或者他們是否能夠充當控制者並確定可以對數據做什麼(同樣重要的是要注意,儘管 CCPA 沒有控制器/處理器語言(與 GDPR 不同),它可能有助於識別合同中的控制器和處理器,以便您知道在組織之間共享數據時誰是決策者)? 如果是後者,您的組織可能需要披露與您的消費者的這種關係,並為他們提供“選擇退出”出售其數據的選項。

這就是事情可能變得棘手並破壞許多數據驅動的業務關係的地方。 由於 CCPA 對“銷售”數據的定義很寬泛,組織真的必須審查他們的供應商/合作夥伴關係,以確定他們可能向誰“銷售”數據,以及他們是否需要將“選擇退出”功能添加到他們的網站。 提醒一下,根據第 1798.140 (t),“出售”、“出售”、“出售”或“出售”是指:

  1. 企業為了金錢或其他有價值的考慮,將消費者的個人信息以口頭、書面、電子或其他方式出售、出租、發布、披露、傳播、提供、轉讓或以其他方式傳達給另一企業或第三方.
  2. 就本標題而言,企業在以下情況下不會出售個人信息:
    1. 消費者使用或指示企業有意披露個人信息或使用企業有意與第三方互動,前提是第三方也不得出售個人信息,除非該披露符合本標題的規定。 當消費者打算通過一個或多個有意的交互與第三方進行交互時,就會發生有意交互。 懸停、靜音、暫停或關閉給定的內容並不構成消費者與第三方互動的意圖。
    2. 企業使用或共享已選擇不出售消費者個人信息的消費者的標識符,以提醒第三方消費者已選擇不出售消費者的個人信息。
    3. 如果滿足以下兩個條件,則企業使用或與服務提供商共享消費者的個人信息,這些信息對於執行業務目的是必要的: 服務提供商代表企業執行的服務,前提是服務提供商也提供不出售個人信息。
      1. 企業已通知其條款和條件中使用或共享的信息與第 1798.135 節一致。
      2. 服務提供者不會進一步收集、出售或使用消費者的個人信息,除非為執行業務目的所必需。
    4. 企業將消費者的個人信息作為資產轉讓給第三方,該資產是合併、收購、破產或第三方控制全部或部分企業的其他交易的一部分,前提是該信息被使用或與第 1798.110 和 1798.115 節一致共享。 如果第三方以與收集時作出的承諾存在重大不一致的方式實質性改變其使用或共享消費者個人信息的方式,則應將新的或改變的做法提前通知消費者。 該通知應足夠醒目和有力,以確保現有消費者可以輕鬆地按照第 1798.120 節的規定行使其選擇。 本分段未授權企業以違反第 7 部分第 2 部分的《不公平和欺詐行為法》(第 5 章(從第 17200 節開始)的方式對其隱私政策進行重大的、追溯性的更改或其他更改商業和職業守則)。

這是一個非常長的說法,一個組織可能不一定會收到付款以換取個人信息,但它仍然可以被視為數據的“銷售”。 作為電子郵件上下文中的示例,發件人可以將收集到的有關其訂閱者的信息(通過跟踪或在線收集)提供給第三方分析組織,以提供詳細的人口統計洞察力。 由於第三方會將電子郵件發件人提供的數據添加到其更大的數據庫中,因此不會交換任何金錢。 由於第三方現在正在獲取數據供自己使用或供其他客戶使用,因此儘管沒有交換資金,但它仍屬於 CCPA 定義的第三方保護傘。 這意味著電子郵件發件人需要為他們的訂閱者提供一種簡單的方法來選擇不將他們的數據傳遞給該第三方。 增加另一層複雜性的是,當消費者行使權利時,組織必須與其所有第三方進行溝通,通常要求組織實施技術措施以確保流程順利進行。

那麼,這會讓您的組織何去何從? 儘管這似乎是一個非常乏味的過程,但提到的所有內容對於確保您的組織和與您合作的公司在 CCPA 生效後合規是必不可少的。 每次故意違規的罰款最高可達 7500 美元,這可能導致被發現不合規的組織面臨數百萬美元的罰款。 沒有人願意因為疏忽確保他們的第三方關係得到解決而面臨數百萬美元的罰款。

CCPA 不斷發展,但重要的是您的組織開始組織供應商管理流程,以便在其生效時做好準備。 雖然這是我們CCPA 系列的最後一個預定帖子,但隨著法律的最終確定,我們將繼續發布臨時帖子,敬請期待!