Đạo luật về quyền riêng tư của người tiêu dùng California năm 2018 trao cho người tiêu dùng quyền kiểm soát nhiều hơn đối với dữ liệu của họ. Được ban hành vào tháng 1 năm 2020 và được thực thi bởi Văn phòng Tổng chưởng lý California, luật này yêu cầu tất cả các doanh nghiệp thu thập dữ liệu cá nhân từ cư dân California phải tuân thủ các quy định nghiêm ngặt của luật. Đạo luật về quyền riêng tư của California (CPRA) mở rộng và củng cố các quyền này, áp đặt các nghĩa vụ bổ sung và tăng hình phạt.

Tổng quan về CCPA

Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA) là luật trao cho cư dân California quyền được biết thông tin cá nhân nào về họ đang được thu thập, quyền xóa thông tin đó và quyền từ chối bán thông tin đó.

Quy định này áp dụng cho bất kỳ doanh nghiệp vì lợi nhuận nào hoạt động kinh doanh tại California đáp ứng một hoặc nhiều tiêu chí sau:

• Tổng doanh thu hàng năm trên 25 triệu đô la.
• Mua, bán, tiếp nhận hoặc chia sẻ thông tin cá nhân của 50.000 hoặc nhiều hơn người tiêu dùng, hộ gia đình hoặc thiết bị.
• Có được 50% hoặc hơn doanh thu hàng năm từ việc bán thông tin cá nhân của người tiêu dùng.

Có năm yêu cầu chính đối với doanh nghiệp:

1. Tiết lộ . Người tiêu dùng có quyền biết thông tin cá nhân nào được thu thập về họ. Các doanh nghiệp phải tiết lộ các loại thông tin cá nhân mà họ thu thập, sử dụng hoặc bán.
2. Quyền truy cập.  Người tiêu dùng có quyền yêu cầu các doanh nghiệp cung cấp một số thông tin nhất định, bao gồm cả các nguồn mà thông tin cá nhân của họ được thu thập.
3. Xóa.  Người tiêu dùng có quyền yêu cầu doanh nghiệp xóa bất kỳ thông tin cá nhân nào đã thu thập về họ.
4. Từ chối.  Người tiêu dùng có quyền biết thông tin cá nhân của họ có được bán hoặc tiết lộ cho ai hay không và có quyền từ chối việc bán thông tin đó.
5. Không phân biệt đối xử.  Người tiêu dùng có quyền nhận được dịch vụ và giá cả bình đẳng từ một doanh nghiệp, ngay cả khi họ thực hiện quyền riêng tư của mình theo CCPA.

Ngoài ra, doanh nghiệp phải cung cấp một liên kết rõ ràng và dễ thấy trên trang chủ có tiêu đề “Không bán thông tin cá nhân của tôi” để đưa người tiêu dùng đến trang từ chối.

CCPA bao gồm những loại dữ liệu nào?

Không giống như GDPR, tập trung vào việc bảo vệ dữ liệu cụ thể, CCPA tập trung nhiều hơn vào những gì cấu thành thông tin nhạy cảm. Ví dụ, dữ liệu khứu giác, lịch sử duyệt trang web và hồ sơ hoạt động của người dùng đều được bao gồm. Theo CCPA, “thông tin cá nhân” bao gồm:

• Bất kỳ mã định danh nào là duy nhất đối với người tiêu dùng. Bao gồm tên thật, bí danh, địa chỉ bưu chính, mã định danh cá nhân duy nhất, địa chỉ IP mã định danh trực tuyến, địa chỉ email, tên tài khoản, số An sinh xã hội (SSN), số giấy phép lái xe (DLN), số hộ chiếu hoặc các mã định danh tương tự khác.
• Thông tin sinh trắc học.
• Thông tin thương mại liên quan đến hàng hóa hoặc dịch vụ đã mua, xem xét hoặc lên kế hoạch cũng như các lịch sử hoặc xu hướng mua hoặc tiêu dùng khác.
• Thông tin liên quan đến việc làm chuyên môn.
• Dữ liệu định vị địa lý.
• Thông tin liên quan đến sự hiện diện trực tuyến hoặc mạng điện tử khác của người tiêu dùng, bao gồm nhưng không giới hạn ở lịch sử lướt web, lịch sử tìm kiếm và thông tin về lần truy cập trang web của khách hàng.
• Bất kỳ thông tin nào được truyền tải qua phương tiện âm thanh, điện tử, hình ảnh hoặc nhiệt.
• Phân loại được bảo vệ theo luật California hoặc luật liên bang.
• Thông tin giáo dục không được công khai.
• Suy luận rút ra từ bất kỳ dữ liệu nào được mô tả trong phần này để xây dựng hồ sơ người tiêu dùng dựa trên sở thích, đặc điểm, khuynh hướng tâm lý, sở thích, khuynh hướng, hành động, niềm tin, trí thông minh, tài năng và khả năng.

Thực thi CCPA

Văn phòng Tổng chưởng lý California thực thi mọi hành vi vi phạm CCPA và có thể đưa ra hình phạt dân sự lên tới 2.500 đô la cho mỗi hành vi vi phạm hoặc 7.500 đô la cho mỗi hành vi vi phạm cố ý.

CCPA cũng trao cho người tiêu dùng quyền đệ đơn kiện riêng nếu thông tin cá nhân của họ bị xâm phạm do doanh nghiệp không thực hiện các biện pháp bảo mật hợp lý. Trong những trường hợp như vậy, người tiêu dùng có thể được bồi thường thiệt hại lên đến 750 đô la cho mỗi người tiêu dùng cho mỗi sự cố hoặc thiệt hại thực tế, tùy theo mức nào lớn hơn.

“Bên thứ ba” theo CCPA là một cá nhân hoặc cơ quan tiếp nhận thông tin cá nhân nhưng không phải là doanh nghiệp thu thập thông tin đó. Điều này bao gồm các doanh nghiệp được miễn trừ và bất kỳ nhà cung cấp dịch vụ nào xử lý thông tin cá nhân thay mặt cho doanh nghiệp. Với việc thông qua Dự luật 362 của Thượng viện vào tháng 10 năm 2023, các nhà môi giới dữ liệu hiện được coi là bên thứ ba và được CCPA định nghĩa là các công ty cố ý thu thập và bán thông tin cá nhân của người tiêu dùng cho bên thứ ba, mặc dù họ không có mối quan hệ trực tiếp với người tiêu dùng.

Miễn trừ CCPA là gì?

Bất kỳ doanh nghiệp nào không thu thập thông tin cá nhân từ cư dân California đều được miễn trừ khỏi CCPA. Các trường hợp miễn trừ đáng chú ý khác là các doanh nghiệp chịu sự quản lý của các luật riêng tư khác nhau, chẳng hạn như  Đạo luật Gramm-Leach-Bliley (GLBA) hoặc Đạo luật về khả năng chuyển đổi và trách nhiệm giải trình bảo hiểm y tế (HIPAA). Đạo luật này cũng miễn trừ các doanh nghiệp có doanh thu hàng năm dưới 25 triệu đô la, các doanh nghiệp không bán thông tin cá nhân và các doanh nghiệp chỉ thu thập một lượng thông tin cá nhân hạn chế.

Các loại dữ liệu người tiêu dùng được miễn trừ bao gồm:

• Thông tin cá nhân được thu thập và sử dụng “hoàn toàn bên ngoài” California.
• Thông tin cá nhân của nhân viên, bao gồm thông tin kiểm tra lý lịch và thông tin tiền lương.
• Thông tin cá nhân được thu thập cho các hoạt động phi lợi nhuận, chẳng hạn như gây quỹ hoặc vận động chính trị.
• Thông tin cá nhân có sẵn công khai, chẳng hạn như hồ sơ tòa án hoặc số điện thoại được liệt kê trong danh bạ.

CCPA cung cấp một số quyền tự do cho các doanh nghiệp để tuân thủ luật, bao gồm miễn trừ một phần cho việc xử lý thông tin liên hệ giữa doanh nghiệp với doanh nghiệp chỉ trong bối cảnh thẩm định. Tuy nhiên, điều quan trọng cần lưu ý là luật áp dụng cho tất cả các doanh nghiệp thu thập thông tin cá nhân của cư dân California.

CCPA khác với GDPR như thế nào?

Mọi người thường gọi CCPA là GDPR của California. Tuy nhiên, điều đó không chính xác. Bên cạnh việc bảo vệ quyền riêng tư dữ liệu cho công dân EU, Quy định bảo vệ dữ liệu chung có một số điểm khác biệt đáng kể so với CCPA:

• CCPA chỉ áp dụng cho thông tin cá nhân, trong khi GDPR áp dụng cho bất kỳ dữ liệu nào. Điều này bao gồm cả dữ liệu cá nhân và không phải dữ liệu cá nhân.
• CCPA trao cho người tiêu dùng quyền được biết thông tin cá nhân nào đang được thu thập về họ, quyền xóa thông tin cá nhân của họ và quyền từ chối bán thông tin cá nhân của họ. GDPR trao cho người tiêu dùng những quyền tương tự này cùng với quyền truy cập dữ liệu cá nhân của họ, quyền thay đổi quyết định (chọn tham gia) và quyền nhận bản sao dữ liệu của họ ở định dạng di động.
• CCPA chỉ áp dụng cho các doanh nghiệp thu thập hoặc bán thông tin cá nhân của cư dân California. GDPR áp dụng cho bất kỳ doanh nghiệp nào xử lý hoặc có ý định xử lý dữ liệu của công dân EU, bất kể doanh nghiệp đó ở đâu.
• CCPA áp dụng cho các doanh nghiệp có doanh thu hàng năm trên 25 triệu đô la trong khi GDPR áp dụng cho bất kỳ doanh nghiệp nào xử lý hoặc có ý định xử lý dữ liệu của công dân EU, bất kể quy mô của doanh nghiệp.

Hình phạt dành cho các công ty không tuân thủ CCPA là gì?

Các doanh nghiệp vi phạm CCPA sẽ được cơ quan quản lý thông báo và có 30 ngày để khắc phục sự cố. Nếu không giải quyết trong thời gian đó, doanh nghiệp sẽ bị phạt:

• Lên đến 2.500 đô la cho mỗi lần vi phạm và lên đến 7.500 đô la cho mỗi lần vi phạm cố ý.
• Lên đến 7.500 đô la cho hành vi cố ý hoặc vô ý vi phạm quyền riêng tư của trẻ vị thành niên.
• Từ 100 đến 750 đô la cho mỗi lần vi phạm vì không cung cấp cho người tiêu dùng tùy chọn từ chối.

CCPA cũng cho phép người tiêu dùng nộp đơn kiện quyền hành động riêng tư nếu thông tin cá nhân không được mã hóa hoặc không được biên tập của họ bị truy cập trái phép và rò rỉ, đánh cắp hoặc tiết lộ do vi phạm của doanh nghiệp. Điều này có nghĩa là người tiêu dùng cá nhân có thể kiện doanh nghiệp để đòi bồi thường thiệt hại, có thể tốn kém. Ngoài ra, tổng chưởng lý có quyền nộp đơn kiện dân sự chống lại các công ty vì vi phạm pháp luật.

Ngoài các hình phạt và vụ kiện, bạn cũng sẽ phải đối mặt với các chi phí khác liên quan đến vi phạm. Những chi phí này có thể bao gồm thông báo cho người tiêu dùng về vi phạm, cung cấp cho họ các dịch vụ giám sát tín dụng và giải quyết hậu quả từ góc độ quan hệ công chúng và danh tiếng. Khi người tiêu dùng ngày càng nhận thức được quyền riêng tư dữ liệu của mình, họ có nhiều khả năng sẽ hành động chống lại các công ty vi phạm chúng.

Tất cả những chi phí này có thể nhanh chóng tăng lên, nhấn mạnh tầm quan trọng của việc tuân thủ CCPA. Hiểu luật và thực hiện các bước để tuân thủ có thể giúp bảo vệ doanh nghiệp của bạn khỏi các hình phạt tốn kém và tổn hại đến danh tiếng. Với rất nhiều rủi ro, các doanh nghiệp phải hiểu CCPA và thực hiện các bước cần thiết để đảm bảo tuân thủ.

Các chiến lược để tuân thủ CCPA

Việc tuân thủ CCPA không phải là việc dễ dàng, nhưng các công ty có thể thực hiện một số bước để đảm bảo tuân thủ luật pháp.

1. Xác định xem CCPA có áp dụng cho bạn không
   CCPA áp dụng cho bất kỳ doanh nghiệp vì lợi nhuận nào kinh doanh tại California và đáp ứng một hoặc nhiều tiêu chí sau:

• Có tổng doanh thu hàng năm trên 25 triệu đô la.
• Mua, nhận, bán hoặc chia sẻ thông tin cá nhân của 50.000 hoặc nhiều hơn người tiêu dùng, hộ gia đình hoặc thiết bị tại California.
• Kiếm được hơn một nửa doanh thu hàng năm từ việc bán thông tin cá nhân của người tiêu dùng California.

Nếu CCPA áp dụng cho doanh nghiệp của bạn, thì bạn cần thực hiện các bước để đảm bảo tuân thủ.

1. Xác định thông tin cá nhân mà bạn thu thập và lưu trữ.
   CCPA định nghĩa thông tin cá nhân là “thông tin nhận dạng, liên quan đến, mô tả, có khả năng liên kết với hoặc có thể được liên kết hợp lý, trực tiếp hoặc gián tiếp, với một người tiêu dùng hoặc hộ gia đình cụ thể”.Những thông tin này bao gồm tên, địa chỉ, địa chỉ email, số điện thoại, số an sinh xã hội, số giấy phép lái xe, v.v. Sau khi xác định được thông tin cá nhân mà bạn thu thập và lưu trữ, bạn phải bảo vệ thông tin này.

   CCPA yêu cầu các doanh nghiệp phải thực hiện các biện pháp bảo mật hợp lý để bảo vệ thông tin cá nhân của người tiêu dùng khỏi việc truy cập, phá hủy, sử dụng, sửa đổi hoặc tiết lộ trái phép. Điều này bao gồm mã hóa thông tin cá nhân và đảm bảo rằng chỉ những nhân viên được ủy quyền mới có quyền truy cập vào thông tin này.

2. Kiểm tra Khung bảo mật thông tin và quyền riêng tư của bạn.
   CCPA trao cho người tiêu dùng quyền được biết thông tin cá nhân nào đang được thu thập về họ, quyền được biết thông tin này đang được sử dụng như thế nào, quyền được xóa thông tin này và quyền từ chối chia sẻ dữ liệu.Bạn phải đảm bảo rằng bạn có các chính sách và thủ tục để giải quyết các quyền này. Điều này bao gồm đảm bảo doanh nghiệp của bạn có chính sách lưu giữ dữ liệu xác định cách thông tin cá nhân được thu thập và sử dụng, và đảm bảo người tiêu dùng có thể thực hiện các quyền của họ theo luật.
3. Thu hút tất cả các nhóm và phòng ban.
   Tuân thủ CCPA là nỗ lực của cả nhóm. Điều cần thiết là phải thu hút tất cả các nhóm và phòng ban vào quy trình tuân thủ CCPA, từ phòng CNTT đến phòng tiếp thị.Mỗi nhóm sẽ có các trách nhiệm khác nhau liên quan đến CCPA. Ví dụ, nhóm tiếp thị sẽ cần đảm bảo rằng họ không thu thập hoặc sử dụng thông tin cá nhân theo cách mà CCPA cấm. Nhóm CNTT sẽ cần đảm bảo rằng thông tin cá nhân được bảo mật đúng cách.
4. Xây dựng Kế hoạch tuân thủ CCPA.
   Xây dựng kế hoạch tuân thủ CCPA bao gồm các bước tuân thủ mà doanh nghiệp của bạn đã áp dụng, ai chịu trách nhiệm tuân thủ CCPA và cách thức giám sát việc tuân thủ. Điều quan trọng cần lưu ý là CCPA là luật linh hoạt. Luật này liên tục phát triển và các quy định mới có thể được bổ sung bất kỳ lúc nào. Do đó, điều quan trọng là phải thường xuyên xem xét kế hoạch tuân thủ CCPA của bạn và đảm bảo rằng kế hoạch này được cập nhật.
5. Thành lập Lực lượng đặc nhiệm triển khai CCPA được chỉ định.
   Khi bạn chuẩn bị tuân thủ CCPA, bạn có thể mong đợi sự gián đoạn ở mọi cấp độ của tổ chức. Để đảm bảo triển khai CCPA thành công, điều quan trọng là phải thành lập một lực lượng đặc nhiệm được chỉ định chịu trách nhiệm phát triển và triển khai kế hoạch tuân thủ CCPA. Lực lượng đặc nhiệm cũng phải chịu trách nhiệm giáo dục nhân viên về CCPA và đảm bảo rằng tất cả nhân viên đều biết nghĩa vụ của mình theo luật.
6. Triển khai Chính sách và Quy trình Tuân thủ CCPA.
   Sau khi bạn đã xây dựng kế hoạch tuân thủ CCPA, bạn phải triển khai các chính sách và quy trình tuân thủ CCPA. Các chính sách và quy trình này phải được thiết kế để giúp doanh nghiệp của bạn tuân thủ luật pháp. Các mục cần đưa vào chính sách và quy trình tuân thủ CCPA của bạn bao gồm chính sách lưu giữ dữ liệu, quy trình từ chối và chương trình đào tạo.
7. Đối xử với mọi khách hàng như thể họ là cư dân California.
   Các quy định của CCPA áp dụng cho cư dân California. Tuy nhiên, nếu doanh nghiệp của bạn cũng phục vụ khách hàng bên ngoài tiểu bang, thì việc có các khuôn khổ bảo mật riêng biệt là không hợp lý. Sẽ dễ dàng hơn và ít rủi ro hơn nếu bạn cũng phục vụ khách hàng bên ngoài tiểu bang hoặc có kế hoạch làm như vậy. Do đó, bạn nên đối xử với mọi khách hàng như thể họ là cư dân California để đảm bảo tuân thủ CCPA.Điều này bao gồm việc đảm bảo rằng tất cả thông tin cá nhân được bảo mật đúng cách và chỉ những nhân viên được ủy quyền mới có thể truy cập thông tin này. Nó cũng bao gồm việc đảm bảo rằng người tiêu dùng có thể thực hiện các quyền của họ theo CCPA, bất kể nơi cư trú của họ.

   Bằng cách làm như vậy, bạn sẽ bảo vệ công ty khỏi sự rắc rối khi điều chỉnh theo các khuôn khổ bảo mật từ các tiểu bang khác khi chúng được triển khai.

8. Tích hợp các Thực hành CCPA vào Văn hóa của Bạn.
   Việc tuân thủ CCPA không nên được xem là một sự kiện diễn ra một lần. Thay vào đó, nó nên được tích hợp vào văn hóa công ty của bạn. Việc tuân thủ CCPA nên là một quá trình liên tục được xem xét và cập nhật thường xuyên khi cần thiết.Một cách để thực hiện điều này là đưa việc tuân thủ CCPA vào quy trình tuyển dụng nhân viên mới của bạn, đảm bảo rằng tất cả nhân viên mới đều biết và hiểu nghĩa vụ của họ theo luật và giá trị mà công ty đặt ra cho việc tuân thủ.
9. Tiến hành Đào tạo Nhân viên Thường xuyên.
   Nhân viên đóng vai trò trung tâm trong khả năng đạt được và duy trì sự tuân thủ CCPA của doanh nghiệp. Các công ty phải thực hiện các bước để đảm bảo nhân viên hiểu CCPA và cách áp dụng vào chức năng công việc của họ.Một cách để thực hiện điều này là tiến hành đào tạo CCPA thường xuyên cho tất cả nhân viên. Đào tạo nên được thiết kế để giúp nhân viên hiểu CCPA và cách CCPA ảnh hưởng đến công việc hàng ngày của họ. Bằng cách tiến hành đào tạo nhân viên thường xuyên, bạn giúp đảm bảo nhân viên luôn cập nhật về CCPA và họ hiểu các nghĩa vụ của mình theo luật.
10. Giám sát việc tuân thủ CCPA.
    Giám sát việc tuân thủ CCPA bao gồm việc kiểm tra thường xuyên khuôn khổ bảo mật thông tin và quyền riêng tư của bạn, đảm bảo rằng người tiêu dùng có thể thực hiện các quyền của mình theo CCPA và giám sát các thay đổi.

CPRA có nghĩa là gì đối với CCPA?

Có hiệu lực vào tháng 1 năm 2023, CPRA không thay thế CCPA; thay vào đó, nó sửa đổi CCPA theo một số cách chính. Một trong những điều quan trọng nhất là việc thành lập một cơ quan thực thi mới, Cơ quan Bảo vệ Quyền riêng tư California  (CPPA), có thẩm quyền điều tra khiếu nại, đưa ra tiền phạt và tạo ra các quy định.

Các quyền mới ngoài những quyền được CCPA cung cấp bao gồm:

• Quyền sửa thông tin cá nhân không chính xác mà doanh nghiệp có.
• Quyền hạn chế việc sử dụng và tiết lộ thông tin cá nhân nhạy cảm mà doanh nghiệp đã thu thập, bao gồm chủng tộc, dân tộc, tôn giáo và khuynh hướng tình dục.

Những thay đổi quan trọng khác bao gồm:

• Mở rộng quyền hành động riêng tư của CCPA. Theo CCPA, chỉ những người tiêu dùng có thông tin cá nhân không được mã hóa hoặc không được biên tập bị truy cập trái phép, bị rò rỉ, bị đánh cắp hoặc bị tiết lộ do vi phạm của doanh nghiệp mới có thể nộp đơn xin quyền hành động riêng tư. CPRA mở rộng quyền này để bao gồm bất kỳ hành vi vi phạm CCPA nào, bất kể có nguy cơ gây hại hay không, nghĩa là nhiều người tiêu dùng hơn hiện có thể kiện các công ty vì vi phạm CCPA và thiệt hại tiềm ẩn sẽ cao hơn.
• Tăng cường các yêu cầu từ chối của CCPA, mở rộng liên kết “Không bán thông tin cá nhân của tôi” trên quy tắc trang chủ của họ để yêu cầu các doanh nghiệp nêu rõ trong chính sách bảo mật của họ liệu họ có bán thông tin cá nhân của người tiêu dùng hay không và loại thông tin cá nhân nào họ bán. Nếu một doanh nghiệp bán thông tin cá nhân, họ cũng phải cung cấp nút từ chối trên mọi trang nơi thông tin cá nhân được thu thập.

Arctera có thể giúp ích như thế nào

Với mối lo ngại về quyền riêng tư dữ liệu ngày càng tăng, các tổ chức có thể mong đợi nhiều quy định hơn sẽ được đưa ra và các quy định hiện hành sẽ được cập nhật. Điều đó có nghĩa là áp dụng cách tiếp cận chủ động và mạnh mẽ hơn nữa để quản lý dữ liệu người tiêu dùng.

Tại Arctera, chúng tôi hiểu rằng việc tuân thủ và quản trị dữ liệu có thể gây khó khăn, đặc biệt là với các quy định mới nổi và đang phát triển. Các giải pháp hàng đầu trong ngành của chúng tôi cung cấp mọi thứ bạn cần để tuân thủ CCPA, hợp lý hóa việc tuân thủ quy định với một  bộ các khả năng chuyên biệt cho phép bạn có được khả năng hiển thị và kiểm soát dữ liệu và quy định tốt hơn. Bạn có thể dễ dàng thu thập, lưu trữ và tìm dữ liệu có liên quan từ hơn 120 nguồn nội dung, tối ưu hóa việc tuân thủ dữ liệu và giải quyết mọi lỗ hổng trong  quản trị dữ liệu của bạn.

Phần kết luận

CCPA là luật mang tính đột phá giúp người tiêu dùng kiểm soát thông tin cá nhân của mình tốt hơn bằng cách yêu cầu các doanh nghiệp thực hiện các bước để bảo vệ dữ liệu nhạy cảm và cho phép người tiêu dùng thực hiện các quyền riêng tư của mình, bao gồm khả năng từ chối bán thông tin cá nhân của họ.

Hãy liên hệ với chúng tôi ngay hôm nay để tìm hiểu thêm về cách Arctera có thể giúp tổ chức của bạn tuân thủ CCPA và các luật quản lý khác.