第三方和加州消费者隐私法案 (CCPA)

已发表: 2021-08-18

在当今不断变化的数据环境中,各地的企业都依赖与第三方的合作伙伴关系来帮助推动其业务发展。 我们的数据驱动经济允许组织建立客户参与度、增加消费者洞察力和增加收入,但是随着 CCPA 对组织施加的新限制,使用第三方数据是否已成为过去? 幸运的是,对于许多组织而言,遵守 CCPA 中的这一限制只是确定您的第三方供应商、定义合同中的这些关系以及实施流程以遵守新的选择退出销售规则的问题。

首先,组织需要了解 CCPA 如何定义第 3 方。 根据第 1798.140 (w)节, “第三方”是指不属于以下任何一种情况的人:

  1. 在此标题下从消费者那里收集个人信息的企业。
  2. 企业根据书面合同出于商业目的向其披露消费者个人信息的人,前提是该合同:
    1. 禁止接收个人信息的人来自:
      1. 出售个人信息。
      2. 为履行合同规定的服务以外的特定目的而保留、使用或披露个人信息,包括为提供合同规定的服务以外的商业目的保留、使用或披露个人信息.
      3. 在个人与企业之间的直接业务关系之外保留、使用或披露信息。
    2. 包括接收个人信息的人做出的证明,该人了解 (A) 项中的限制并将遵守这些限制。

这不应与“服务提供者”混淆,CCPA 将其定义为“代表企业处理信息并且企业根据书面合同出于商业目的向其披露消费者个人信息的法律实体”。 . 这意味着商业组织本身及其按照指示使用数据的服务提供商不被视为第 3 方。 但是,许多其他与企业交换数据的组织将属于第 3 方类别。

为了让组织确定如何处理这些供应商关系,他们需要首先创建从组织接收数据的所有供应商和第三方的列表。 正如我们之前关于CCPA 与 GDPR 的博客所述,拥有 GDPR 准备工作中的现有数据地图在此过程中应该会有所帮助。 数据地图应包括您的企业与其共享数据的所有组织,以及共享数据的目的。 它还要求您考虑组织的所有职能领域,从工程到人力资源再到财务。 您的公司可能会在产品开发之外共享数据,以便开展日常业务,这需要考虑在内。

一旦您了解了您的数据被发送到组织外部的位置,您将需要查看与这些组织的合同,以评估合作伙伴/供应商对数据的权利,并确定是否需要额外的隐私影响评估。 第三方是否可以仅将数据用于为您的组织提供指定服务的目的,或者他们是否能够充当控制者并确定可以对数据做什么(同样重要的是要注意,尽管 CCPA 没有控制器/处理器语言(与 GDPR 不同),它可能有助于识别合同中的控制器和处理器,以便您知道在组织之间共享数据时谁是决策者)? 如果是后者,您的组织可能需要披露与您的消费者的这种关系,并为他们提供“选择退出”出售其数据的选项。

这就是事情可能变得棘手并破坏许多数据驱动的业务关系的地方。 由于 CCPA 对“销售”数据的定义很宽泛,组织真的必须审查他们的供应商/合作伙伴关系,以确定他们可能向谁“销售”数据,以及他们是否需要将“选择退出”功能添加到他们的网站。 提醒一下,根据第 1798.140 (t),“出售”、“出售”、“出售”或“出售”是指:

  1. 企业为了金钱或其他有价值的考虑,将消费者的个人信息以口头、书面、电子或其他方式出售、出租、发布、披露、传播、提供、转让或以其他方式传达给另一企业或第三方.
  2. 就本标题而言,企业在以下情况下不会出售个人信息:
    1. 消费者使用或指示企业有意披露个人信息或使用企业有意与第三方互动,前提是第三方也不得出售个人信息,除非该披露符合本标题的规定。 当消费者打算通过一个或多个有意的交互与第三方进行交互时,就会发生有意交互。 悬停、静音、暂停或关闭给定的内容并不构成消费者与第三方互动的意图。
    2. 企业使用或共享已选择不出售消费者个人信息的消费者的标识符,以提醒第三方消费者已选择不出售消费者的个人信息。
    3. 如果满足以下两个条件,则企业使用或与服务提供商共享消费者的个人信息,这些信息对于执行业务目的是必要的: 服务提供商代表企业执行的服务,前提是服务提供商也提供不出售个人信息。
      1. 企业已通知其条款和条件中使用或共享的信息与第 1798.135 节一致。
      2. 服务提供者不会进一步收集、出售或使用消费者的个人信息,除非为执行业务目的所必需。
    4. 企业将消费者的个人信息作为资产转让给第三方,该资产是合并、收购、破产或第三方控制全部或部分企业的其他交易的一部分,前提是该信息被使用或与第 1798.110 和 1798.115 节一致共享。 如果第三方以与收集时作出的承诺存在重大不一致的方式实质性改变其使用或共享消费者个人信息的方式,则应将新的或改变的做法提前通知消费者。 该通知应足够醒目和有力,以确保现有消费者可以轻松地按照第 1798.120 节的规定行使其选择。 本分段未授权企业以违反第 7 部分第 2 部分的《不公平和欺诈行为法》(第 5 章(从第 17200 节开始)的方式对其隐私政策进行重大的、追溯性的更改或其他更改商业和职业守则)。

这是一个非常长的说法,一个组织可能不一定会收到付款以换取个人信息,但它仍然可以被视为数据的“销售”。 作为电子邮件上下文中的示例,发件人可以将收集到的有关其订阅者的信息(通过跟踪或在线收集)提供给第三方分析组织,以提供详细的人口统计洞察力。 由于第三方会将电子邮件发件人提供的数据添加到其更大的数据库中,因此不会交换任何金钱。 由于第三方现在正在获取数据供自己使用或供其他客户使用,因此尽管没有交换资金,但它仍属于 CCPA 定义的第三方保护伞。 这意味着电子邮件发件人需要为他们的订阅者提供一种简单的方法来选择不将他们的数据传递给该第三方。 增加另一层复杂性的是,当消费者行使权利时,组织必须与其所有第三方进行沟通,通常要求组织实施技术措施以确保流程顺利进行。

那么,这会让您的组织何去何从? 尽管这似乎是一个非常乏味的过程,但所提到的一切对于确保您的组织和与您合作的公司在 CCPA 生效后合规是必不可少的。 每次故意违规的罚款最高可达 7500 美元,这可能导致被发现不合规的组织面临数百万美元的罚款。 没有人愿意因为疏忽确保他们的第三方关系得到解决而面临数百万美元的罚款。

CCPA 不断发展,但重要的是您的组织开始组织供应商管理流程,以便在其生效时做好准备。 虽然这是我们CCPA 系列的最后一个预定帖子,但随着法律的最终确定,我们将继续发布临时帖子,敬请期待!