CCPA:互联网营商需留意的又一消费者隐私法案

2019年末,收件箱里陆续收到了十几家互联网产品发来的关于隐私政策条款(privacy Policy & Terms)更新的通知。 记得上一次出现类似的隐私政策条款更新发生在2018年初。发生了什么,为什么互联网产品公司纷纷更新了他们的隐私条款并通知所有用户,隐私条款很重要吗?

是的,隐私政策条款非常重要

若没有处理好隐私政策条款并通知到位,一家企业可能因此破产。破产?!是的,破产并不是危言耸听。因为若企业的隐私政策违反了相关的隐私保护法案,企业将面临起诉及巨大的法律风险,一旦败诉,可能会面临巨额赔偿甚至因此导致破产。

虽然相关隐私政策保护的法案只在其法律管辖区有效,但是互联网是无界的,如果你的产品全世界都可以访问,那么你的注册用户就有可能来自受相关法案保护的地区。人心难测,稍有疏忽,你的企业可能就会陷入相关的风险中。 所以,如果你的企业有互联网相关业务且涉及个人信息收集,请至少密切留意以下两个法案,并做好相关的条款更新通知及提醒。

The California Consumer Privacy Act(CCPA)美国加州消费者隐私法

CCPA 加州消费者隐私法政府官方页面:https://oag.ca.gov/privacy/ccpa

CCPA 加州消费者隐私法对企业有何影响?

来自德勤官网对此法案的影响分析如下:

“CCPA 加州消费者隐私法于2020年1月日生效,并将对技术,媒体,娱乐和电信(TMT)行业各个领域的公司隐私权计划产生重大影响。可能仍在为欧盟(EU)GDPR进行合规性部署的TMT公司在满足新要求方面具有一些优势,但是主要专注于美国和美洲市场的品牌在很大程度上避免了GDPR的范围。无论如何,全球消费者和立法机关之间日益关注的隐私浪潮正在推动TMT范围内的数据隐私动员。

CCPA被视为美国最严格的隐私法之一,使加利福尼亚州居民能够控制企业如何处理其个人信息。企业现在必须满足加利福尼亚州居民访问,删除和选择不共享或出售其信息的请求。此外,企业在更新其隐私计划时将必须考虑许多CCPA特定要求,例如CCPA的规范性退出措施以及根据个人要求停止出售消费者数据的需求。

CCPA 法案适用对象

CPA将适用于营利性企业,这些企业收集和控制加利福尼亚州居民的个人信息,在加利福尼亚州开展业务,并且至少满足以下条件之一:

  • 年总收入超过2500万美元
  • 每年接收或披露50,000或更多加州居民,家庭或设备的个人信息
  • 通过出售加利福尼亚州居民的个人信息获得50%或更高的年收入

非营利性,不符合收入门槛的小型公司,和/或不向加利福尼亚居民提供大量个人信息的交易,并且不与CCPA涵盖的会员共享品牌不必遵守。

如果我的公司并不是在加利福尼亚,我是否需要担心合规性?

目前,CCPA扩展到在加利福尼亚州成立的营利性公司(即在加利福尼亚州开展业务)和“间接”有资格从事业务的实体(即在加利福尼亚州成立的公司的母公司和子公司)。

位于加利福尼亚州以外的组织可能想知道他们是否要遵守CCPA。如果一家企业与加利福尼亚州居民进行交易并符合最低要求,则考虑该企业是否收集加利福尼亚州居民的个人信息也很重要。 CCPA的范围取决于消费者的居住地-其目的是保护加利福尼亚州居民的权利。

GDPR + CCPA

什么是GDPR?

The General Data Protection Regulation (GDPR) 是欧盟推出的通用数据保护条例,于2018年5月25日生效。 该条例旨在保障欧盟和欧洲经济区所有公民的数据保护和隐私权。它还解决了欧盟(EU)和欧洲经济区(EEA)以外的个人数据传输问题。

GDPR 和 CCPA 的异同点

GDPR 的主要特点

  • 数据保护影响评估
  • 数据处理程序要求
  • 跨境转移要求
  • 处理和自动决策限制
  • 某些类型的处理的监管机构
  • 监管监督权

CCPA 的主要特点

  • 出售个人信息的限制
  • 对选择退出的消费者的歧视容忍度最低

GDPR 和 CCPA 的共同点

  • 信息违规通知
  • 通过设计获得隐私权(例如,安全性大小,风险和复杂性方面的考虑)
  • 对信息触及,可移植和擦除做了要求
  • 反对和纠正的权利

以上信息来源:德勤官网

互联网个人信息隐私法对产品设计者的要求

伴随着 GDPR 和 CCPA 法律法规的生效,第三方风险管理将成为众多企业的挑战。 同时,互联网产品的负责人、设计者和开发者也都需要对此法案带来的合规性需求打起精神。 根据个人以往涉及合规性项目的工作经验,产品人在规划产品需求时就合规性尤其需要留意以下几点:

1. 网站登录页 cookies 使用接受确认提示

由于许多网站使用 cookies 将用户信息临时存放于浏览器中保存,此处就涉及存储端的信息安全问题,故若网站使用 cookies 存储个人信息,则需要在用户登陆该网站的页面的醒目位置清晰告知用户网站 cookies 的使用,提示相关信息安全风险,并提供”接受”按钮。

例如德勤网站置顶显示了该站使用 cookies 来帮助用户提供个性化服务,并配以 cookie notice 的条款信息链接及 “Accept and close” “接受并关闭”的按钮。如下图:

deloitte_cookie_notice

2. 个人信息手机的表单设计

互联网产品收集用户个人信息的主要形式是表单(form)。表单的视觉样式可以是一张看起来有很多输入框的表,也可以是一个聊天窗口对话框或是一个聊天机器人界面。

关于表单设计与个人隐私,特别要留意产品收集个人信息类型的必要性,收集的个人私隐信息越多,管理维护带来的法律风险则越大。例如,若要设计一张学校课程报名预约在线表单,业务层面可能会希望收集到尽可能多的信息以掌握尽可能多的用户资料。 于是,这样一份预约报名表的个人资料部分可能就会需要以下字段输入框:

  • 姓名
  • 年龄
  • 性别
  • 生日
  • 联系电话
  • 电子邮箱
  • 证件类型
  • 证件号码

然而,因为用户始终需要去到现场确认报名,网站是否真的有必要收集如此详细的信息呢?毕竟最终报名者会收到带有唯一报名编号的确认信前往现场核对。当用户身份对业务带来的风险不高时,这样一份报名表的个人资料大可简化成:

  • 姓名
  • 联系电话
  • 电子邮箱

而伴随着 GDPR 和 CCPA 法案的实施要求,表单还需要在“提交”按钮前清晰地向用户说明网站对于用户信息的政策及条款,并需要用户确认知悉,这就需要额外添加:

  • 隐私政策说明(并带有完整条款链接)
  • 确认知悉并同意接受相关政策

虽说基于用户隐私保护考量后调整的表单可能令业务层面透过网站收集到了相对更少的人口统计数据,但站在用户的角度,他们会感到个人的信息收到了保护和尊重,也会对产品或服务产生更加良好专业的印象。

成为更专业的产品人与设计师,请记得考量个人对隐私信息安全的需求。

信息安全UX 体验设计互联网产品

Connect

Keep updated with her latest updates on design, code and writing. Follow her on Twitter or GitHub.

欢迎订阅博客RSS,分享她的思考、记录与分享

Drop her an email