Что такое CCPA?

Закон Калифорнии о защите персональных данных потребителей (CCPA) был подписан в 2018 году. Его целью является закрепление права на неприкосновенность частной жизни и защита прав потребителей, которыми обладают жители штата. Закон, который вступил в силу в январе 2020 года, дает потребителям больше контроля над личной информацией, которую компании собирают о них, и устанавливает новые права потребителей на неприкосновенность частной жизни, в том числе перечисленные ниже.

• Право знать о том, какую личную информацию собирают о них компании, а также о способах ее использования и передачи.
• Право на удаление их личной информации.
• Право отказаться от продажи своей личной информации.
• Право на недискриминацию при осуществлении своих прав согласно закону CCPA.

Права, перечисленные выше, должны быть включены в политику конфиденциальности компании, которая должна быть предоставлена потребителям в легко читаемом, понятном и пригодном для печати формате.

Согласно CCPA компании обязаны предоставлять потребителям следующие уведомления в удобном для чтения и понятном формате:

• политика конфиденциальности;
• уведомление о сборе личной информации;
• уведомление о праве отказаться от продажи личной информации;
• уведомление о финансовом поощрении.

CCPA применяется к любому коммерческому предприятию, которое ведет деятельность в Калифорнии и соответствует любому из перечисленных ниже критериев.

• Имеет валовой годовой доход более 25 млн долларов США.
• Покупает или продает личную информацию не менее чем 50 000 жителей, семей или устройств Калифорнии.
• Получает не менее 50 % годового дохода от продажи личной информации жителей Калифорнии.

На предприятия, признанные не соответствующими положениям CCPA, налагаются денежные штрафы в размере 2500 долл. США за каждое случайное нарушение, 7500 долл. США за каждое преднамеренное нарушение и 750 долл. США в качестве компенсации гражданского ущерба каждому пострадавшему потребителю.

Чтобы соответствовать требованиям CCPA, предприятия должны шифровать личную информацию потребителей, как указано в статье 1798.150 закона: «Любой потребитель, чья незашифрованная и неотредактированная личная информация, как определено в подпункте (A) параграфа (1) подраздела (d) статьи 1798.81.5, подверглась несанкционированному доступу и эксфильтрации, краже или раскрытию в результате нарушения предприятием обязанности внедрять и поддерживать разумные правила и методы обеспечения безопасности личной информации, соответствующие ее характеру, может подать гражданский иск в отношении любого из перечисленных далее действий.

a. Взыскать убытки в размере не менее 100 (ста) долларов США и не более 750 (семисот пятидесяти) долларов США на потребителя за инцидент или фактический ущерб, в зависимости от того, что больше.

b. Судебная или декларативная помощь.

C. Любые другие средства правовой защиты, которые суд сочтет необходимыми».

Проще говоря, в случае кражи незашифрованных данных о потребителях пострадавшие лица могут подать в суд на компанию с требованием выплатить до 750 долларов за каждого потребителя либо сумму фактического ущерба, в зависимости от того, что больше.

Согласно CCPA потребители могут подавать в суд на предприятие, только если соблюдены определенные условия. Украденная личная информация должна содержать имя (или инициалы) и фамилию потребителя, а также перечисленные далее данные.

• Номер социального страхования.
• Номер водительских прав, идентификационный номер налогоплательщика, номер паспорта, идентификационный номер военного билета или другой уникальный идентификационный номер правительственного документа, обычно используемого для идентификации личности.
• Номер финансового счета либо кредитной или дебетовой карты со всеми требуемыми кодами безопасности, кодами доступа или паролями, которые позволят кому-либо получить доступ к счету потребителя.
• Медицинская информация или информация о медицинском страховании.
• Отпечаток пальца, изображение сетчатки либо радужной оболочки глаза или другие уникальные биометрические данные, используемые для идентификации личности человека (за исключением фотографий, если только они не используются или не хранятся для целей распознавания лиц).

При этом такая информация должна была быть украдена в незашифрованном и неотредактированном виде.

В самом законе CCPA ключи шифрования не обсуждаются. Тем не менее еще раз обратимся к разделу 1798.150 закона (см. пункт выше «Требуется ли шифрование данных для соблюдения CCPA?») и следующему утверждению: «… несанкционированному доступу и эксфильтрации, краже или раскрытию в результате нарушения предприятием обязанности внедрять и поддерживать разумные правила и методы обеспечения безопасности…» (подчеркнуто для логического выделения). Если предположить, что записи были зашифрованы, то было бы разумно ожидать, что в ходе аудита после нарушения будет проверено, как и где хранятся ключи шифрования. Если ключи хранились в том же месте, что и украденные записи, или в другой системе с аналогичным уровнем защиты, аудитор может не посчитать такие процедуры и методы «разумными». Поэтому рекомендуется защищать ключи шифрования отдельно от зашифрованных данных.

Кроме того, соответствующее законодательство направлено на устранение последствий, с которыми предприятия сталкиваются в результате утечки информации потребителей в условиях, когда записи не были зашифрованы или когда одновременно были похищены зашифрованные данные и ключи шифрования. В частности, в статье 1798.82 Гражданского кодекса Калифорнии в тексте поправки к законопроекту Ассамблеи 1130 говорится следующее:

«Лицо или предприятие, осуществляющее коммерческую деятельность в Калифорнии и владеющее или лицензирующее компьютеризированные данные, включающие личную информацию, должно сообщить о нарушении безопасности системы после обнаружения или уведомления о нарушении безопасности данных жителю Калифорнии (1), чья незашифрованная личная информация была или разумно считается приобретенной несанкционированным лицом либо (2) чья зашифрованная личная информация была или разумно считается приобретенной несанкционированным лицом, и ключ шифрования или учетные данные безопасности были или разумно считаются приобретенными несанкционированным лицом, а лицо или предприятие, владеющее или лицензирующее зашифрованную информацию, обоснованно полагает, что ключ шифрования или учетные данные безопасности могут сделать эту личную информацию читаемой или пригодной для использования. Огласку ситуации необходимо сделать в кратчайшие сроки и без необоснованных задержек, а также в соответствии с законными потребностями правоохранительных органов, как это предусмотрено в подразделе (с), или любыми мерами, необходимыми для определения объема нарушения и восстановления разумной целостности системы данных».

Закон CCPA имеет широкий охват, и согласно ему компании обязаны предпринимать ряд шагов по информированию потребителей об их правах, а также по защите их личной информации. Комплексное решение CCPA включает в себя такие возможности, как шифрование данных, своевременное уведомление потребителей и обслуживание клиентов.

Хотя Калифорния была первым штатом, где приняли обширный закон о конфиденциальности данных, многие другие штаты либо уже внедрили требования, аналогичные CCPA, либо подали соответствующие законопроекты. По состоянию на середину 2022 года еще четыре штата — Колорадо, Коннектикут, Юта и Вирджиния — приняли законы о конфиденциальности данных потребителей, каждый из которых вступит в силу в 2023 году. Как минимум в десяти других штатах подали законопроекты о конфиденциальности данных, и ожидается, что этому примеру последуют и другие штаты.