CCPA下的PII是指加州消费者隐私法案下的个人身份信息。这项立法对向其他实体出售加州公民信息的组织具有遵从性影响。CCPA适用于总部设在世界任何地方的处理与加州公民相关信息的公司。
CCPA是什么?
CCPA是2020年生效的数据隐私法。尽管这是加州的法律,但它适用于任何在该州经营的企业,即使它们的总部设在其他地方。
该法案适用于出售加州居民个人身份信息的组织。在CCPA的语境中,出售意味着“出售、出租、发布、披露、传播、提供、转让或以口头、书面、电子或其他方式进行沟通……以换取金钱或其他有价值的对价。”
公司如符合下列任何一项标准,便须受“中国cpa”的约束:
- 他们每年销售大约5万多加州人的PII,或者;
- 年总收入超过2500万美元,或;
- 他们年收入的50%以上来自出售加州人的信息
如果拥有数据的组织满足这些标准,那么它必须根据CCPA规则管理PII。这包括让人们有权选择退出,有权要求披露数据使用情况,有权要求删除他们的PII。如果不符合这些规定,每名用户将被处以高达750美元的罚款。
根据CCPA,什么算PII ?
CCPA规则要约PII的广义定义.基本上,它包括任何可以用来直接或间接识别个人或家庭的数据。该法案的案文提供了一些例子,但这些例子并不详尽:
直接标识符
这些是与个人直接相关的数据项:
- 的真实姓名
- 别名
- 家庭住址
- 电子邮件地址
- 电话号码
- 银行帐号或信用卡号码
- 州身份证号码
- 护照信息
- 驾照详细信息
- 受试者签名的图像
间接的标识符
这种类型的PII指的是个人的在线表现,有人可能会追踪到他们。它包括:
- 惟一标识符
- 用户名
- 帐户名称
- IP地址
- 对持有直接标识符的任何记录的引用,例如票号或发票号
生物统计数据
生物特征信息是近年来发展壮大的PII的一个新兴类别。这类项目包括:
- 指纹
- 视网膜扫描
- 面部识别数据
- 语音模式数据
- 笔迹分析
- 输入识别
互联网数据
如果网站活动日志包含将记录链接到单个用户的信息,则这些日志为PII。这方面的例子包括:
- 饼干的偏好
- 浏览历史记录
- 网站分析
- 搜索历史记录
- 应用活动
- 与营销角色相匹配
地理位置数据
许多应用程序和服务会生成地理位置数据,它们可能会出于合法目的记录这些数据。当数据涉及个人时,它被认为是PII。这包括:
- 移动设备位置历史记录
- 地理位置数据与应用程序活动相关联
- 照片和视频等文件上的地理标签
- 包含可识别位置信息的图像,例如街道名称的图片
专业的数据
这类数据是指受试者的职业。它可以直接来自雇主,也可以来自薪资管理服务等第三方。这类数据包括:
- 雇员ID
- 汇款详细信息
- 工资记录
- 合同和信件的副本
- 评估报告
- 提到特定员工的内部备忘录
受保护类别数据
PII还包括任何涉及可能导致歧视的个人特征的数据。这些都是受加州民法典保护的类别,包括:
- 比赛
- 性别(包括怀孕详情)
- 性取向
- 国籍
- 残疾
- 年龄
- 国籍
教育信息
的PII标识的信息家庭教育权利和隐私法案.它包括:
- 学院参加了
- 年参加
- 的成绩获得
- 拨款及奖学金
推断的数据
许多组织都有能力通过数据分析技术构建用户配置文件。使用这些方法,他们可以推断出一个人的信息。这包括一个人的个人资料数据:
- 首选项
- 特征
- 心理趋势和倾向
- 的态度
- 情报
- 社会和政治倾向
- 资质
商业信息
商业信息是指可能指向可识别的人的商业活动。这可以包括:
- 财产记录
- 买卖发票
- 营销记录
- 预售查询
根据CCPA,什么不是PII ?
该立法确实包括了一些在CCPA下可能不被视为PII的例外情况。这些例外情况是:
当用户同意时
在数据中识别的人可以同意组织将其信息出售给第三方。用户必须自由明确地表示同意,并且用户可以在任何时候撤销同意。他们也可以要求企业完全删除他们的PII。
当数据是匿名的
组织可以出售或传输PII,如果他们采取足够的步骤来保护个人的身份。通常,这涉及到数据屏蔽或数据模糊过程,其中信息被打乱或以某种方式隐藏。必须没有办法对这个过程进行逆向工程,并从数据中获取个人信息。
当数据公开时
如果数据是公开记录,则CCPA规则不涵盖该数据。例如,用户在其网站上公布的电话号码或电子邮件地址。
数据所有者有责任向公众展示数据是可用的。如果用户从公共记录中删除他们的数据,它可能被视为CCPA下的PII。
在所有情况下,由数据所有者来确保他们在出售数据时遵守CCPA的规则。大多数企业在与另一家公司交换PII之前会选择执行完整的数据审计,以确保它们符合CCPA规则。