加利福尼亚消费者隐私法概述

Toast致力于确保向Toast及我们的客户提供个人信息的个人信任其信息得到充分保护和管理，符合他们的期望并遵循适用的数据隐私立法。这一承诺的一部分意味着我们的客户拥有适当的信息和工具，以了解他们的义务以及Toast如何支持这些义务的某些方面。  

本指导说明旨在向我们的客户提供2018年加利福尼亚消费者隐私法（经2020年加利福尼亚隐私权法案修订，或称“CPRA”）（CCPA）及其在此领域的潜在责任的信息。本指导说明的内容不应被视为法律建议。如果您对CCPA对您的业务或您的义务的适用性有任何疑问，我们建议您联系您自己的独立法律顾问。

本文内容：

加利福尼亚消费者隐私法（CCPA）概述

什么是CCPA？

CCPA是一项加利福尼亚数据隐私法，规定了企业如何收集和处理加利福尼亚居民的个人信息的要求，该法于2020年1月1日生效。加利福尼亚消费者隐私法案（CCPA）确立了个人权利（例如，访问其信息的权利和删除权），个人可以利用这些权利来提供更大的透明度，了解企业如何使用他们的数据，以及对其信息的额外控制。

返回顶部

什么是CPRA?

加利福尼亚隐私权法案将于2023年1月1日生效（“CPRA”）。它修订了CCPA，这意味着CPRA所创建的要求现在成为CCPA的一部分。

CPRA中的要求建立在CCPA之前设定的要求之上。CPRA扩展了个人在其个人信息方面可以行使的权利，并对收集和处理个人信息的企业施加了额外要求。这包括雇主对员工个人信息的义务，以及企业在商业对商业环境中收集/处理的个人信息。

返回顶部

根据CCPA，什么是个人信息?

根据CCPA，个人信息被定义为能够识别、与之相关、描述、合理地能够与特定个人或家庭关联，或可以合理地直接或间接链接到特定个人或家庭的信息。因此，您的客户的姓名、地址、电子邮件和电话号码都是个人信息，但如果与该个人相关联或可以与之关联，其订单历史和反馈也属于个人信息。 

返回顶部

CCPA是否影响我的业务？[更新以反映CPRA标准

这要看情况。CCPA管理加利福尼亚居民个人信息的收集和使用，并适用于满足以下任一标准的企业：

• • 截至1月1日，前一个日历年年总收入超过2500万美元；
  • 每年出于商业目的购买、接收、出售或共享100,000个或更多客户的个人信息；或
  • 从销售或共享客户个人信息中获得50%或更多的年收入。

如果您的企业由满足上述任一标准的企业控制或共享共同品牌（例如，共享名称、服务标志或商标），CCPA也可能适用于您的企业。如果您不确定CCPA是否适用于您，请咨询您自己的独立法律顾问。 

返回顶部

如果您的企业必须遵守CCPA，推荐的活动

1. 考虑您的数据并制定数据清单：尽管根据加州消费者隐私法案（CCPA）并不要求，但了解您收集的个人信息、收集来源、使用方式、共享对象以及保留时间，对于在其他领域（例如通知披露和个人权利义务）有效遵守CCPA是很重要的。
2. 考虑您如何收集信息和披露：CCPA要求企业在收集信息的时点向相关个人提供信息。这适用于消费者、员工或其他任何人。考虑个人信息的收集地点，以及您是否有适当的披露和通知。在某些情况下，隐私政策也可能是必需的。
3. 处理个人权利合规性：CCPA规定了一些信息权利（例如访问权、删除权），这些权利在本指导说明中有更详细的描述。相关企业理解这些请求的性质并制定合规流程是非常重要的，以便在收到请求时能够及时响应。
4. 确定您是否出售任何个人信息：如果相关企业“出售”个人信息，CCPA会施加额外的义务。从高层次来看，“出售”个人信息意味着您正在收集个人信息，然后将其提供给第三方，第三方独立使用这些数据，而不是在您代表其执行的任何服务中使用这些数据，且有某种对价。资金的转移并不是“出售”的必要条件。
5. 实施适当的安全控制：除了其他立法外，CCPA还对处理个人信息的企业施加了额外的安全要求。企业理解他们正在收集和管理的信息的性质，并采取适当的安全措施来保护这些信息是非常重要的。

返回顶部

处理CPRA要求的额外考虑

如果您的企业已经经历了CCPA合规性倡议，以下是一些关于如何考虑更新现有流程以遵守CPRA带来的更新的指导。

如果您尚未为CCPA做好准备，如果您的企业必须遵守CCPA的推荐活动清单是一个很好的起点，然后继续以下列表：

1. 数据清单：确保您的数据清单是最新的，以便您可以评估您在CPRA范围内拥有的数据以及您在CPRA下的义务。
2. 更新个人权利流程:CPRA扩展了个人对其个人数据的行使权利。请参见下面名为“CCPA下的个人权利”的部分，以获取有关更新的进一步指导。
3. 确定您是否“共享”个人信息：如果在范围内的企业“共享”个人信息，CPRA会施加额外的义务。从高层次来看，“共享”个人信息意味着您正在“向第三方披露个人信息……用于跨上下文的行为广告，无论您是否收到任何形式的付款。”CPRA增加了一个要求，要求披露您的企业是否“共享”信息，并允许个人选择退出此类共享。
4. 更新您的披露、通知和链接:确保您的隐私声明包括您需要披露的任何信息，包括有关敏感个人信息的使用和保留的详细信息。如果您的企业“共享”个人信息，请确保您在网站上有任何必要的链接。一些企业需要报告他们收到的个人权利请求的指标。如果您的企业提供与处理个人信息相关的财务激励（例如，通过忠诚计划），您可能还有额外的披露、同意和其他要求。
5. 供应商和员工：CPRA对供应商（如服务提供商和承包商，均在CPRA中定义）施加了新要求。CPRA还将个人权利扩展到员工。考虑审查这些群体的合同、披露和支持程序。

返回顶部

CCPA下的个人权利[更新了CPRA要求]

个人权利概述

CCPA详细说明了您的客户或员工可能根据CCPA对您的企业的适用性行使的一些个人权利。 CPRA扩展并替代了个人可以行使的个人权利的集合。

• 访问权: 个人有权在身份验证后访问过去12个月内的某些数据：(i) 收集的个人信息类别，(ii) 收集个人信息的来源类别，(iii) 收集（或在适用情况下，出售或共享）个人信息的商业目的，(iv) 为商业目的而向第三方披露的个人信息类别及相应的接收者，(v) 出售或共享的个人信息类别及相应的接收者，以及(vi) 收集的关于个人的具体个人信息。
• 删除权：个人有权要求企业删除其收集的个人信息，但需遵循某些例外。
• 更正权：个人有权要求符合条件的企业更正不准确的个人信息，但需遵循某些条件。
• 选择不出售或共享个人信息的权利:个人有权要求符合条件的企业不将其收集的个人信息出售或共享给第三方，无论是现在还是将来。16岁以下的个人有权选择参与（或由父母或监护人代为选择参与）此类销售或共享。
• 限制使用和披露敏感个人信息的权利：个人有权限制对该敏感个人信息的使用或披露，但需遵循某些例外。
• 访问权和选择退出自动决策技术的能力:个人有权访问与自动决策技术相关的信息，并有选择退出的能力。该权利可能会通过进一步的法规进行澄清。
• 反对歧视和报复的权利：个人有权不因行使上述任何权利而受到歧视或报复。

注意：员工的个人信息以及在商业对商业环境中处理的个人信息现在受到CPRA的要求，包括个人权利请求。

这是CCPA下个人权利的高级摘要。与每项权利相关的额外要求以及在特定情况下可能无法行使这些权利的许多例外。此外，符合条件的企业需要建立接收渠道（例如，免费电话、电子邮件、网站表单），以确保个人能够提交这些权利请求。

请咨询您的独立法律顾问，以确定CCPA对您企业的适用性以及上述权利的适用性，以判断您是否需要遵守个人的请求。

返回顶部

根据CCPA的个人权利考虑

以下是您在收到客户或员工的个人权利请求时需要考虑的一些事项：

• 身份验证：符合条件的企业需要在向请求者提供其请求的信息之前，验证提出请求的个人的身份。这可以防止将信息披露给没有权利的人。考虑您持有的个人信息以及您可能需要从个人那里获取的验证其身份的信息类型。示例可能包括但不限于姓名、电子邮件地址、电话号码，或诸如员工识别号码或忠诚账户号码的信息。请注意，根据CCPA，授权代理人也可以代表个人提交请求。
• 适用性判断：在身份验证后，下一步判断是个人是否有权要求满足该请求。CCPA提供了多个实例，说明企业不需要满足个人权利请求。在某些情况下，这是合理的，因为活跃合同的一方或现有员工可能没有权利完全删除其信息。我们建议您熟悉每项权利适用的情况。
• 时间表和沟通：CCPA对权利本身的履行以及与请求者沟通的时间表都有一定的要求。确保您了解这些时间表是很重要的。与提出请求的个人的沟通也与截止日期同样重要。如果个人的请求过于宽泛，或者您希望获得更多的明确性，澄清个人的请求可能很重要。沟通同样重要，以确保您正确验证个人的身份，并确定他们的请求是否符合《加州消费者隐私法案》（CCPA）。
• 权利履行:为了满足《加州消费者隐私法案》下的个人权利请求，相关企业需要了解他们收集了哪些个人信息，这些信息是如何使用的，以及他们如何分享这些信息。例如，如果您不知道自己持有什么个人信息或这些信息是如何共享的，那么根据访问请求向个人提供信息或理解您必须删除哪些信息以满足删除请求将会很困难。《加州消费者隐私法案》列出了许多特定的要求，说明需要向个人提供什么，因此我们建议您阅读《加州消费者隐私法案》以了解这些要求，并在有任何疑问时咨询独立法律顾问。

在某些情况下，Toast可能能够支持我们的客户满足个人权利的履行。要了解更多信息，请查看这篇支持中心文章，加州消费者隐私法合规性，其中概述了Toast在此过程中能够提供的帮助。

返回顶部