加州消费者隐私法案（CCPA）

只有加州居民有CCPA规定的权利。加利福尼亚居民是居住在加利福尼亚州的自然人（与公司或其他商业实体相反），即使该人暂时不在该州。

个人信息是指识别、关联或可能与您或您的家人有合理联系的信息。例如，它可以包括您的姓名、社会保险号、电子邮件地址、购买产品的记录、互联网浏览历史记录、地理位置数据、指纹以及其他个人信息的推断，这些信息可以创建有关您偏好和特征的个人信息。

敏感个人信息是个人信息的一个特定子集，包括某些政府标识符（例如社会安全号码）；账户登录、财务账户、借记卡或信用卡号，以及允许访问账户所需的任何安全代码、密码或凭证；精确定位；邮件、电子邮件和短信的内容；遗传数据；被处理以识别消费者的生物特征信息；有关消费者健康、性生活或性取向的信息；或关于种族或民族血统、宗教或哲学信仰或工会成员身份的信息。消费者也有权限制企业对其敏感个人信息的使用和披露。

个人信息不包括公开信息（包括公共房地产/财产记录）和信息类型.

个人信息不包括联邦、州或地方政府记录中的公开信息，如专业执照和公共房地产/财产记录。公开信息的定义还包括企业有合理依据相信消费者或从广泛传播的媒体合法向公众提供的信息，或者消费者披露的某些信息，如果消费者没有将信息限制在特定受众范围内，则可以提供这些信息。

CCPA还豁免某些类型的信息，例如某些医疗信息和消费者信用报告信息。

CCPA适用于在加利福尼亚州开展业务并符合以下任何条件的营利性企业：

• 年总收入超过2500万美元；
• 购买、出售或共享100000或更多加利福尼亚居民或家庭的个人信息；或
• 销售加州居民的个人信息可获得其年收入的50%或以上。

CCPA通常不适用于非营利组织或政府机构。

你不能就大多数违反CCPA的行为起诉企业。如果存在数据泄露，您只能根据CCPA起诉企业，即使如此，也只能在有限的情况下起诉。如果由于企业未能维护合理的安全程序和做法来保护您的未加密和未记录的个人信息，导致您的个人信息在数据泄露中被盗，您可以起诉企业。如果发生这种情况，您可以就您实际遭受的金钱损失或“法定损失”提起诉讼每次事故高达750美元。在起诉之前，您必须向业务部门发出书面通知，告知其违反了哪些CCPA部分，并在30天内书面回应其已纠正违规行为，并且不会再发生违规行为。如果该企业能够实际纠正违规行为，并向您提供书面声明，证明其已经纠正了违规行为，则您不能起诉该企业，除非该企业继续违反CCPA的规定。

对于所有其他违反CCPA的行为，只有总检察长或加州隐私保护局可以对不合规实体采取法律行动。司法部长并不代表加利福尼亚州的个人消费者。司法部长可以利用消费者投诉和其他信息，确定可能导致代表加州人民集体合法利益进行调查和采取行动的不当行为模式。如果您认为某项业务违反了CCPA，您可以提出消费者投诉司法部长办公室。如果您选择向我们的办公室投诉，请准确解释业务是如何违反CCPA的，并描述违规发生的时间和方式。请注意，司法部长不能代表您或就如何解决您的个人投诉向您提供法律建议。从2023年7月1日起，您还可以向加州隐私保护局在该日期或之后发生的违反CCPA（修订版）的行为。

只有在满足某些条件的情况下，您才能根据CCPA起诉企业。被盗的个人信息类型是您的名字（或首字母缩写）和姓氏以及以下任何一种：

• 您的社保号码
• 您的驾照号、税务识别号、护照号、军事识别号或政府文件上发布的其他唯一识别号，通常用于识别个人身份
• 如果您的财务帐号、信用卡号或借记卡号与任何必需的安全代码、访问代码或密码相结合，则允许他人访问您的帐户
• 您的医疗或健康保险信息
• 您的指纹、视网膜或虹膜图像，或其他用于识别个人身份的独特生物特征数据（但不包括照片，除非用于或存储用于面部识别目的）

这些个人信息必须以非加密和非记录的形式被盗。此外，个人信息必须是由于企业未能维护合理的安全程序和做法来保护它而在数据泄露中被盗的。如果发生这种情况，你可以就违约行为实际造成的金钱损失或每次事故最高750美元的“法定损失”提起诉讼。在起诉之前，您必须向业务部门发出书面通知，告知其违反了哪些CCPA部分，并在30天内书面回应其已纠正违规行为，并且不会再发生违规行为。如果该企业能够实际纠正违规行为，并向您提供书面声明，证明其已经纠正了违规行为，则您不能起诉该企业，除非该企业继续违反CCPA的规定。

对。自2023年1月1日起，CPRA对CCPA的修订生效，企业必须遵守所有明确的法定要求。企业还必须遵守目前有效的CCPA规定。

对。加利福尼亚州司法部于2020年8月14日颁布了实施CCPA的第一轮法规，并于2021年3月15日进一步修订。加州隐私保护局最近更新了这些规定。这些规定出现在第11篇第6部分第7001节及以下。《加利福尼亚州法规》并于2023年3月29日生效。

否。《民法典》第1798.145（m）-（n）节所述的与就业相关的个人信息和反映企业对企业交易的个人信息豁免于2022年12月31日到期。

对。您可以授权其他人代表您提交CCPA请求。您还可以授权在加利福尼亚州州务卿处注册的企业实体代表您提交申请。

请注意，如果您使用授权代理，企业可能需要授权代理或您提供更多信息，以验证您是否是代理的指导人。例如，对于要求了解或删除您的个人信息的请求，公司可能会要求授权代理提供证据，证明您向该代理授予了提交请求的签名权限。企业还可能要求您直接向企业验证您的身份，或直接向企业确认您已授予授权代理提交请求的权限。

企业只有在获得出售儿童个人信息的肯定授权（“opt-in”）的情况下，才能出售他们知道不满16岁的儿童的个人信息。对于13岁以下的儿童，选择权必须来自儿童的父母或监护人。对于至少13岁但未满16岁的儿童，选择权可以来自儿童。

出售个人信息的企业应遵守CCPA的要求，在其网站上提供清晰、醒目的“请勿出售或共享我的个人信息”链接，允许您提交选择退出请求。企业不能要求您创建帐户才能提交请求。企业也不应该要求您验证您的身份，尽管他们可以问您一些基本问题来确定哪些个人信息与您相关。

您还可以通过支持用户的全局隐私控制（如以下常见问题8和9中讨论的GPC）提交退出请求。如果你找不到企业的“不要出售或共享我的个人信息”链接，请查看其隐私政策，看看它是否出售或共享个人信息。如果企业这样做了，它还必须在其隐私政策中包含该链接。

如果企业的“不要出售我的个人信息”链接或其他指定的提交退出请求的方法不起作用或很难找到，您可以向我们的办公室报告该业务(https://oag.ca.gov/contact/consumer-complaint-against-business-or-company（网址：https://oag.ca.gov/contact/consumer-complaint-against-business-or-company）).

企业必须尽快响应您的请求，最长不超过自收到您的选择退出请求之日起15个工作日。

虽然企业不需要验证提交选择退出请求的人是否真的是企业拥有个人信息的消费者，但他们可能需要向您询问更多信息，以确保停止销售合适的人的个人信息。如果企业要求提供个人信息来验证您的身份，则只能将该信息用于此验证目的。

选择权有一些例外。企业可能拒绝停止出售您的个人信息的常见原因包括：

• 销售或共享对于企业遵守法律义务、行使法律索赔或权利或维护法律索赔是必要的
• 这些信息是公开的信息、某些医疗信息、消费者信用报告信息或其他类型的不受CCPA约束的信息。

请参阅《民法典》第1798.145条更多例外情况。

如果你不知道为什么一家公司拒绝了你的选择权退出请求，请跟进该公司，询问其原因。

许多企业利用其他企业为其提供服务。例如，零售商可以与支付卡处理商签订合同来处理客户信用卡交易，也可以与航运公司签订合同来交付订单。这些实体可能有资格成为CCPA下的“服务提供商”。

CCPA对待服务提供商的方式不同于他们服务的企业。企业负责响应消费者的请求。如果您向业务的服务提供商而不是业务本身提交opt-out请求，服务提供商可能会拒绝该请求。你必须向企业本身提交申请。

如果某个服务提供商说，由于它是一个服务提供商，所以它没有或不能对您的请求采取行动，您可以继续询问该业务是谁。但是，有时服务提供商将无法提供该信息。您可能能够根据服务提供商提供的服务来确定谁是企业，尽管有时这可能很难或不可能。

销售或共享个人信息的企业必须为消费者提供两种或两种以上的方法来提交请求，以选择退出其个人信息的销售。对于在线收集消费者个人信息的企业来说，消费者选择退出销售或共享的一种可接受的方法是通过用户启用的全球隐私控制，如通用程序控制GPC是为了响应CCPA和增强消费者隐私权而开发的，它是一个“停止销售或共享我的数据交换机”，可在一些互联网浏览器上使用，如Mozilla Firefox、Duck Duck Go和Brave，或作为浏览器扩展。这是一个拟议的技术标准，反映了CCPA法规的预期内容——一些消费者希望有一个全面的选项，广泛地表明他们的选择退出请求，而不是在不同浏览器或设备上的多个网站上提出请求。对于消费者来说，选择退出个人信息的销售或共享应该很容易，而GPC是希望通过用户支持的全球隐私控制提交请求以退出个人信息销售或共享的消费者的一种选择。根据法律规定，受保护企业必须将其视为有效的消费者请求，以停止销售或共享个人信息。

要了解有关GPC的更多信息，您可以访问其网站在这里开发人员已经开始围绕GPC进行创新，并为消费者创建了不同的机制，例如EFF隐私獾扩展或Brave Privacy Browser。

企业必须为您指定至少两种提交请求的方法，例如电子邮件地址、网站表单或硬拷贝表单。其中一种方法必须是免费电话号码，如果企业有网站，则其中一种必须通过其网站。然而，如果一家企业只在网上经营，它只需要提供一个电子邮件地址，以便提交查询请求。

企业不能仅仅为了提交请求而让您创建帐户，但如果您已经拥有企业帐户，则可能需要您通过该帐户提交请求。

确保您通过企业指定的方法之一提交您的了解请求，该方法可能不同于其正常的客户服务联系信息。如果您找不到企业的指定方法，请查看其隐私政策，其中必须包括如何提交请求的说明。

如果企业指定的提交知情请求的方法不起作用，请书面通知企业，如果可能，请考虑通过其他指定方法提交请求。

企业必须在45个日历日内回复您的请求。如果他们通知你，他们可以将截止日期再延长45天（总共90天）。

如果您提交了了解请求，但在时间范围内没有收到任何回应，请检查企业的隐私政策，确保您通过指定的方式提交了请求。跟进业务，查看业务是否受制于CCPA，并根据您的要求跟进。

企业必须核实请求了解的人是企业拥有个人信息的消费者。出于验证目的，企业可能需要向您询问更多信息。如果企业要求提供个人信息来验证您的身份，则只能将该信息用于此验证目的。

知情权有一些例外。企业可能拒绝披露您个人信息的常见原因包括：

• 企业无法验证您的请求
• 该请求明显没有根据或过多，或者该公司在12个月内已经向您提供了两次以上的个人信息
• 企业不能披露某些敏感信息，例如您的社会保险号、财务帐号或帐户密码，但必须告诉您他们是否在收集此类信息
• 披露将限制企业遵守法律义务、行使法律索赔或权利或为法律索赔辩护的能力
• 如果个人信息是某些医疗信息、消费者信用报告信息或CCPA豁免的其他类型的信息

请参阅《民法典》第1798.145条更多例外情况。

如果你不知道为什么一家企业拒绝了你的知情请求，请跟进该企业，询问其原因。

许多企业利用其他企业为其提供服务。例如，零售商可以与支付卡处理商签订合同来处理客户信用卡交易，也可以与航运公司签订合同来交付订单。这些实体可能有资格成为CCPA下的“服务提供商”。

CCPA对待服务提供商的方式不同于他们服务的企业。企业负责响应消费者的请求。如果您向业务的服务提供商而不是业务本身提交了解请求，服务提供商可能会拒绝该请求。你必须向企业本身提交申请。

如果某个服务提供商说，由于它是一个服务提供商，所以它没有或不能对您的请求采取行动，您可以继续询问该业务是谁。但是，有时服务提供商将无法提供该信息。您可能能够根据服务提供商提供的服务来确定谁是企业，尽管有时这可能很难或不可能。

查看企业的隐私政策，其中必须包括如何提交删除请求的说明。

企业必须为您指定至少两种提交请求的方法，例如免费电话号码、电子邮件地址、网站表单或硬拷贝表单。但是，如果企业完全在线运营，则只需提供用于提交请求的电子邮件地址。

企业不能仅仅为了提交删除请求而让您创建帐户，但如果您已经拥有企业帐户，则可能需要您通过该帐户提交请求。

确保您通过企业指定的方法之一提交删除请求，该方法可能不同于其正常的客户服务联系信息。

如果企业提交删除请求的指定方法不起作用，请书面通知企业，如果可能，请考虑通过其他指定方法提交请求。

企业必须在45个日历日内回复您的请求。如果他们通知你，他们可以将截止日期再延长45天（总共90天）。

如果您提交了删除请求，但在时间范围内没有收到任何响应，请检查企业的隐私政策，确保您通过指定的方式提交了请求。跟进业务，查看业务是否受制于CCPA，并根据您的要求跟进。

企业必须验证请求删除的人是企业拥有个人信息的消费者。企业可能需要询问您更多信息以进行验证。如果企业要求提供个人信息来验证您的身份，则只能将该信息用于此验证目的。

删除权有例外。企业可能保留您个人信息的常见原因包括：

• 如果信息不受CCPA的约束。这包括：
  • 公开可用信息（例如您的地址，通常位于公共房地产/财产记录中）然而，如果你是执法人员、公职人员或“安全在家”参与者（家庭暴力、跟踪、性侵、人口贩运、老年人和受抚养人虐待的受害者以及生殖健康工作者都可以使用），你可以要求网站不要公开发布你的地址在这里.
  • 确定信息类型例如医疗信息或消费者信用报告信息。
• 企业无法验证您的请求
• 为了完成交易，提供合理预期的产品或服务，或出于某些保修和产品召回目的
• 对于某些业务安全实践
• 对于符合合理消费者期望或提供信息的环境的某些内部用途
• 遵守法律义务，行使合法索赔或权利，或为合法索赔辩护
• 如果个人信息是某些医疗信息、消费者信用报告信息或CCPA豁免的其他类型的信息

请参阅《民法典》第1798.105（d）节和1798.145更多例外情况。

如果你不知道为什么某家公司拒绝了你的删除请求，那么请与该公司联系，询问其原因。

许多企业利用其他企业为其提供服务。例如，零售商可以与支付卡处理商签订合同来处理客户信用卡交易，也可以与航运公司签订合同来交付订单。这些实体可能有资格成为CCPA下的“服务提供商”。

CCPA对待服务提供商的方式不同于他们服务的企业。企业负责响应消费者的请求。如果您向业务的服务提供商而不是业务本身提交删除请求，服务提供商可能会拒绝该请求。你必须向企业本身提交申请。

如果某个服务提供商说，由于它是一个服务提供商，所以它没有或不能对您的请求采取行动，您可以继续询问该业务是谁。但是，有时服务提供商将无法提供该信息。您可能能够根据服务提供商提供的服务来确定谁是企业，尽管有时这可能很难或不可能。

债权人、催收机构和其他债务催收人仍然可以尝试催收您所欠的债务，即使您要求他们删除您的个人信息。了解更多有关收债人的信息，包括他们能做什么和不能做什么-在这里.

Equifax、益百利和TransUnion等信用报告机构仍然可以根据公平信用报告法。进一步了解您在《公平信用报告法》下的权利在这里。了解有关如何检查和修复信用报告的更多信息在这里.

查看企业的隐私政策，其中应包括如何提交请求以进行更正的说明。

企业必须为您指定至少两种提交请求的方法，例如免费电话号码、电子邮件地址、网站表单或硬拷贝表单。但是，如果企业完全在线运营，则只需提供用于提交请求的电子邮件地址。

企业不能仅仅为了提交更正请求而让您创建帐户，但如果您已经拥有企业帐户，则可能需要您通过该帐户提交请求。

确保您通过企业指定的方法之一提交更正请求，这可能与正常的客户服务联系信息不同。

如果企业指定的提交请求进行更正的方法不起作用，请书面通知企业，如果可能，请考虑通过其他指定方法提交请求。

企业必须在45个日历日内回复您的请求。如果他们通知你，他们可以将截止日期再延长45天（总共90天）。

如果您提交了更正请求，但在时间范围内没有收到任何响应，请检查企业的隐私政策，确保您通过指定的方式提交了请求。跟进业务，查看业务是否受制于CCPA，并根据您的要求跟进。

企业必须核实请求更正的人是企业拥有个人信息的消费者。企业可能需要询问您更多信息以进行验证。如果企业要求提供个人信息来验证您的身份，则只能将该信息用于此验证目的。

纠正权也有例外。企业可能拒绝您更正请求的常见原因包括：

• 企业无法验证您的身份以完成您的请求
• 请求明显没有根据或过多
• 这些信息是公开的信息、某些医疗信息、消费者信用报告信息或CCPA豁免的其他类型的信息

如果你不知道为什么一家公司拒绝了你的更正请求，那么请跟进该公司，询问其原因。

必须提供此通知于指定日或此前企业收集您个人信息的点。例如，您可能会在网站主页和您下单或出于其他原因输入个人信息的网页上找到通知集合的链接。在移动应用程序上，您可能会在设置菜单中找到通知的链接。在零售店，您可能会在用于收集个人信息的打印表单上找到通知。

企业的隐私政策是一份书面声明，概述了其收集、使用、共享和销售消费者个人信息的在线和离线实践。CCPA要求商业隐私政策包括消费者隐私权以及如何行使这些权利的信息：知情权，的删除权限，的选择退出销售的权利，的纠正的权利，的限制权、和不歧视权.

大多数企业在其网站上发布其隐私政策。它的链接通常可以在主页和其他网页的底部找到。链接的标题可能包括“隐私”或“加州隐私权”。在移动应用程序中，隐私政策可能链接到应用程序的下载页面或应用程序的设置菜单中。

这个加利福尼亚州关于数据代理的法律要求法律涵盖的数据代理向司法部长注册，并提供有关其实践的某些信息。数据代理注册表可在司法部长的网站上找到，网址为https://oag.ca.gov/data-brokers网站.

数据代理受CCPA约束。在数据代理注册网站上，您可以找到每个注册数据代理的联系信息和网站链接，以及帮助您行使CCPA权利的其他信息。

您可以单击上的“查看完整提交”链接数据代理注册表获取有关如何退出个人信息销售的说明。然而，您可能无法阻止出售您的所有信息。CCPA对“个人信息”的定义不包括从政府记录中合法获得的信息，政府记录通常是数据代理使用的来源。

您还可以通过注册表上发布的链接访问数据代理的网站，找到代理的隐私政策，以了解其隐私实践以及如何行使您的CCPA权利的更多信息。