Перейти к основному содержимому

Калифорнийский закон о конфиденциальности потребителей (Закон CCPA)

Закон Калифорнии о защите персональных данных потребителей (CCPA) был подписан в 2018 году. Его целью является закрепление права на неприкосновенность частной жизни и защита прав потребителей, которыми обладают жители штата. Закон, который вступил в силу в январе 2020 года, дает потребителям больше контроля над личной информацией, которую компании собирают о них, и устанавливает новые права потребителей на неприкосновенность частной жизни, в том числе перечисленные ниже.

  • Право знать о том, какую личную информацию собирают о них компании, а также о способах ее использования и передачи.
  • Право на удаление их личной информации.
  • Право отказаться от продажи своей личной информации.
  • Право на недискриминацию при осуществлении своих прав согласно закону CCPA.

На кого распространяется CCPA?

CCPA применяется к любому коммерческому предприятию, которое ведет деятельность в Калифорнии и соответствует любому из перечисленных ниже критериев.

  • Имеет валовой годовой доход более 25 млн долларов США.
  • Покупает или продает личную информацию не менее чем 50 000 жителей, семей или устройств Калифорнии.
  • Получает не менее 50 % годового дохода от продажи личной информации жителей Калифорнии.

Требуется ли шифрование данных для соблюдения требований CCPA?

Для соблюдения CCPA требуется шифрование личной информации потребителей, как указано в статье 1798.150 Закона: «Любой потребитель, чья незашифрованная и неотредактированная личная информация, как определено в подпункте (A) параграфа (1) подраздела (d) статьи 1798.81.5, подверглась несанкционированному доступу и эксфильтрации, краже или раскрытию в результате нарушения предприятием обязанности внедрять и поддерживать разумные правила и методы обеспечения безопасности, соответствующие характеру информации, для защиты личной информации, может подать гражданский иск в отношении любого из перечисленных далее действий.

  1. Взыскать убытки в размере не менее 100 (ста) долларов США и не более 750 (семисот пятидесяти) долларов США на потребителя за инцидент или фактический ущерб, в зависимости от того, что больше.
  2. Судебная или декларативная помощь.
  3. Любые другие средства правовой защиты, которые суд сочтет необходимыми».

Что нужно делать при утечке данных согласно CCPA?

Согласно CCPA потребители могут подавать в суд на предприятие, только если соблюдены определенные условия. Украденная личная информация должна содержать имя (или инициалы) и фамилию потребителя, а также перечисленные далее данные.

  • Номер социального страхования.
  • Номер водительских прав, идентификационный номер налогоплательщика, номер паспорта, идентификационный номер военного билета или другой уникальный идентификационный номер правительственного документа, обычно используемого для идентификации личности.
  • Номер финансового счета либо кредитной или дебетовой карты со всеми требуемыми кодами безопасности, кодами доступа или паролями, которые позволят кому-либо получить доступ к счету потребителя.
  • Медицинская информация или информация о медицинском страховании.
  • Отпечаток пальца, изображение сетчатки либо радужной оболочки глаза или другие уникальные биометрические данные, используемые для идентификации личности человека (за исключением фотографий, если только они не используются или не хранятся для целей распознавания лиц).

При этом такая информация должна была быть украдена в незашифрованном и неотредактированном виде.

Соответствующее законодательство направлено на устранение последствий, с которыми предприятия сталкиваются в результате утечки информации потребителей в условиях, когда записи не были зашифрованы или когда одновременно были похищены зашифрованные данные и ключи шифрования. В частности, в статье 1798.82 Гражданского кодекса Калифорнии в тексте поправки к законопроекту Ассамблеи 1130 говорится следующее:

«Лицо или предприятие, осуществляющее коммерческую деятельность в Калифорнии и владеющее или лицензирующее компьютеризированные данные, включающие личную информацию, должно сообщить о нарушении безопасности системы после обнаружения или уведомления о нарушении безопасности данных жителю Калифорнии (1), чья незашифрованная личная информация была или разумно считается приобретенной несанкционированным лицом либо (2) чья зашифрованная личная информация была или разумно считается приобретенной несанкционированным лицом, и ключ шифрования или учетные данные безопасности были или разумно считаются приобретенными несанкционированным лицом, а лицо или предприятие, владеющее или лицензирующее зашифрованную информацию, обоснованно полагает, что ключ шифрования или учетные данные безопасности могут сделать эту личную информацию читаемой или пригодной для использования. Огласку ситуации необходимо сделать в кратчайшие сроки и без необоснованных задержек, а также в соответствии с законными потребностями правоохранительных органов, как это предусмотрено в подразделе (с), или любыми мерами, необходимыми для определения объема нарушения и восстановления разумной целостности системы данных».