CCPA/CPRA 合规性：加州企业隐私指南

加利福尼亚州的隐私法是美国最全面的，并且适用于全球满足特定门槛的企业。 《加州隐私权法案》（CPRA，2023 年 1 月 1 日生效）大幅扩展了《加州消费者隐私法案》（CCPA，于 2020 年 1 月 1 日生效），该法案创建了专门的执法机构，引入了新的消费者权利，并提高了处理“敏感个人信息”的企业的合规义务。随着加州隐私保护局 (CPPA) 现已投入运作并积极调查违规行为，执法风险是真实存在的，而且正在不断增加。

本指南涵盖了企业实现和维持 CCPA/CPRA 合规性所需了解的所有内容：范围阈值、消费者权利、所需披露、选择退出机制、数据最小化义务以及 CPPA 的执行方法。

要点

• CCPA/CPRA 适用于满足三个阈值之一（收入、数据量或数据共享收入）的营利性企业
• 根据 CPRA，消费者拥有 11 项不同的权利，包括更正权和限制使用敏感个人信息的权利
• “不出售或分享”选择退出必须是主页上清晰可见的单个链接
• 敏感个人信息 (SPI) 引发额外义务，包括限制处理的权利
• CPPA 执法将于 2023 年开始活跃，每次故意违规最高可处以 7,500 美元的罚款
• 企业必须对高风险处理活动进行年度数据保护评估
• 服务提供商合同必须限制下游个人信息的使用
• 必须披露保留期限，并且当不再需要用于规定目的时必须删除数据

---

CCPA/CPRA 适用阈值

CCPA/CPRA 适用于收集加州消费者个人信息并满足以下阈值任何一个的营利性企业：

1. 年总收入超过 2500 万美元（上一日历年）
2. 每年购买、出售、接收或共享 100,000 多个消费者或家庭的个人信息（CPRA 将原来的 CCPA 门槛从 50,000 降低）
3. 年收入的 50% 或以上来自出售或分享消费者个人信息

地理范围：法律根据消费者居住地适用，而不是您的企业注册地。一家年收入达 3000 万美元的巴基斯坦软件公司必须遵守加州客户的规定。

豁免：就业数据（B2B 员工数据）获得了 CCPA 临时豁免，根据 CPRA，该豁免将于 2023 年 1 月 1 日到期。 B2B 联系信息豁免也已到期。许多金融机构根据《格雷姆-里奇-比利雷法案》获得部分豁免； HIPAA 涵盖的健康数据有单独的处理。

有关美国其他州法律的说明：虽然本指南重点关注 CCPA/CPRA，但截至 2025 年，美国 19 个州已颁布了具有不同门槛和要求的全面隐私法。进行多州合规的公司应评估弗吉尼亚州 (VCDPA)、科罗拉多州 (CPA)、康涅狄格州 (CTDPA)、德克萨斯州 (TDPSA) 以及加利福尼亚州等其他州。

---

个人信息和敏感个人信息

CCPA/CPRA 下的个人信息 (PI) 是指识别、涉及、描述特定消费者或家庭、能够合理关联或可以合理链接到特定消费者或家庭的信息。这比美国旧法律中的“个人身份信息”（PII）要广泛得多。

明确涵盖的类别包括：

• 标识符（姓名、电子邮件、电话、IP 地址、帐户名称、SSN、驾驶执照号码）
• 商业信息（购买的产品/服务的记录、浏览/购买历史记录）
• 生物识别信息
• 互联网或其他电子网络活动（浏览历史记录、搜索历史记录、与网站的交互）
• 地理位置数据
• 专业或就业相关信息
• 教育信息
• 从上述任何一项中得出的推论来创建消费者档案

敏感个人信息 (SPI) — CPRA 的补充 — 包括需要加强保护的 PI 子集：

• 社会保障号码、驾照、身份证号码或护照号码
• 帐户登录凭据（用户名/电子邮件+密码或安全问题）
• 金融账户信息+访问代码
• 精确的地理位置（1/8 英里以内）
• 种族或民族血统
• 宗教或哲学信仰
• 工会会员资格
• 邮件、电子邮件或短信内容（除非企业是预期收件人）
• 遗传数据
• 健康或医疗状况数据
• 性取向或性生活
• 用于唯一识别的生物识别信息

对于 SPI，消费者拥有限制使用的额外权利 - 企业不能在提供所请求的产品或服务（加上有限的额外目的）之外使用 SPI，除非消费者选择更广泛的使用。

---

CPRA 下的消费者权利

CPRA 将 CCPA 的五项消费者权利扩大到十一项。企业必须有记录的流程来实现以下各项：

验证要求：在响应消费者请求之前，您必须使用“相当安全”的方法验证请求者的身份。对于在线请求，匹配电子邮件地址+另一个标识符通常就足够了。您不能要求消费者创建帐户只是为了提交请求。对特定 PI 部分的无法验证的请求应仅视为对类别的请求。

授权代理人：消费者可以指定授权代理人代表他们提交请求。您可以要求代理商提供消费者签署的授权证明。

---

隐私声明要求

收集时或之前：企业必须在收集之前或收集时告知消费者收集哪些 PI 以及收集目的。这适用于所有收集点：网站表单、移动应用程序、销售点、聊天机器人和数据代理购买。

隐私政策要求（至少每 12 个月更新一次）：

• 过去12个月收集的PI类别
• PI 的使用目的
• 过去 12 个月内出售或共享的 PI 类别
• 向其披露 PI 的第三方类别
• 收集 PI 的来源类别
• 消费者权利及其行使方式
• 提交请求的联系信息
• PI 是出售还是共享，以及如何选择退出
• SPI 的处理是否出于提供产品/服务以外的目的
• 每个 PI 类别的保留期限（或用于确定保留的标准）

“请勿出售或分享我的个人信息”链接：必须是您的主页和隐私政策中清晰且显眼的链接。如果链接位于整个网站共享的页脚或导航区域中，则它符合资格。该链接必须指向一个页面，消费者可以通过一个步骤选择退出（而不是隐藏在多步骤表单中）。

“限制使用我的敏感个人信息”链接：如果您处理的 SPI 超出了提供所请求的产品或服务所需的范围，则需要此链接。可以是单独的链接，也可以与“禁止出售/共享”链接结合使用。

选择退出偏好信号 (GPC)：企业必须遵守全球隐私控制 (GPC) 信号——消费者可以激活浏览器级设置以发出选择退出销售和共享的信号。许多注重隐私的浏览器本身就支持 GPC。您的网站必须检测并尊重 GPC 信号。 CPPA 专门点名了未能遵守 GPC 的公司。

---

个人信息的出售和共享

CCPA/CPRA 下的 “出售” 是指为了金钱或其他有价值的考虑而向其他企业或第三方披露或提供个人信息。这比“销售数据”的普遍理解更广泛。

CPRA 下的“共享” 即使没有金钱考虑，也增加了跨上下文行为广告 - 特别是根据消费者浏览不同网站或服务的情况来定位广告。

在实践中，以下常见做法可能构成出售或分享：

• 与数据经纪人共享 PI
• 使用第三方广告像素（Meta Pixel、广告模式下的 Google Analytics 4）将用户数据发送到平台进行定位
• 与广告网络共享相似受众的客户名单
• 参与实时竞价生态系统

未成年人的同意要求：

• 13-15 岁：在出售/分享其 PI 之前需要选择加入
• 13 岁以下：需要家长/监护人选择加入（COPPA 也适用）

服务提供商与第三方：根据合规服务提供商合同（限制其用于向您提供服务）向服务提供商披露的 PI 不是“销售”。 PI 向可以将其用于其自身目的的第三方（广告平台、数据经纪人）披露是一种“销售”或“共享”。这种区别对于您的数据共享架构至关重要。

服务提供商合同要求：必须要求服务提供商：

• 不出售或分享收到的 PI
• 不在服务范围之外保留、使用或披露 PI
• 遵守适用的 CPRA 要求
• 授予企业审计权

---

数据最小化和目的限制 (CPRA)

CPRA 引入了明确的数据最小化要求——企业只能在合理必要和相称的情况下收集、使用、保留和共享 PI，以实现既定目的。这代表着 CCPA 注重披露的方法的重大转变。

实施影响：

• 审核每个数据收集点并消除收集未用于披露目的的 PI
• 记录收集到的每个 PI 类别的业务目的
• 配置保留计划：当不再需要用于指定目的时，必须删除或取消识别 PI
• 未经消费者同意，避免将 PI 二次用于与原始收集目的不相符的目的

保留披露：隐私政策必须披露保留期限或确定每个 PI 类别保留的标准。 CPPA 预计将发布包含更具体指导的法规。目前，为每个 PI 类别记录一个合理的业务合理保留期。

---

数据保护评估和风险管理

CPRA 要求企业在实施给消费者带来重大风险的处理活动之前进行风险评估（称为数据保护评估）。 CPPA 正在制定法规，具体规定哪些活动会触发评估要求，但法律已经确定了类别，包括：

• 出售或分享 PI
• 处理SPI
• 存在重大风险的分析
• 处理未成年人的个人信息
• 以存在重大伤害风险的方式使用 PI

记录您的评估并保存记录。评估应确定：处理的目的、涉及的 PI、对消费者的潜在风险以及为减轻这些风险而实施的保障措施。

---

CPPA 执行和处罚

加州隐私保护局 (CPPA) 于 2023 年全面投入运营，是美国第一个专门的隐私执法机构。 CPPA 有权调查、举行行政听证会并实施民事处罚：

CPPA 对每次违规行为进行处罚——这意味着每个权利受到侵犯的消费者都代表着单独的违规行为。理论上，影响 100,000 名消费者的数据泄露可能会导致 7.5 亿美元的罚款（100,000 × 7,500 美元）。早期的 CPPA 执法主要针对系统性违规的大型企业。

私人诉讼权：根据 CCPA 第 1798.150 条，对于因企业未能实施合理的安全措施而导致涉及未加密或未编辑的个人信息的数据泄露，消费者拥有有限的私人诉讼权。法定损害赔偿：每次事件每位消费者 100 美元至 750 美元，或实际损害赔偿（如果更高）。

---

CCPA/CPRA 合规清单

• 适用性阈值分析完成
• 跨所有系统和收集点完成 PI 和 SPI 库存清查
• 隐私政策已更新，包含所有必需的披露信息（12 个月审核）
• 主页上的“请勿出售或分享我的个人信息”链接
• [ ]“限制使用我的敏感个人信息”链接（如果适用）
• 实施全球隐私控制 (GPC) 检测和兑现
• 建立消费者请求受理流程（网络表格 + 免费电话号码）
• 记录身份验证程序
• 记录并测试了所有 11 项消费者权利的响应工作流程
• 跟踪并记录所有请求的 45 天响应时间表
• 根据 CPRA 要求的条款审查和更新服务提供商合同
• 第三方数据共享审核（每个接收者的销售/共享确定）
• 数据最小化审核已完成 — 消除了不必要的 PI 收集
• 记录保留期并配置自动删除
• 已完成有关消费者权利响应程序的员工培训
• 针对高风险处理活动进行的数据保护评估
• 如果收集未成年人的 PI，则实施未成年人同意机制

---

常见问题

CCPA/CPRA 是否适用于员工数据？

是的，自 2023 年 1 月 1 日起，CPRA 生效。 B2B 和员工数据的临时 CCPA 豁免已到期。根据 CCPA/CPRA，加州员工（以及求职者、承包商和董事）现在对其个人信息享有与消费者相同的权利。这意味着加州的雇主必须更新员工的隐私声明、建立就业 PI 的权利履行流程，并审查人力资源系统数据实践。

CPRA 下的“出售”和“分享”有什么区别？

“出售”涉及为了金钱或其他有价值的考虑而披露 PI——付款可以是任何有价值的东西，包括数据交换安排。 “共享”是由 CPRA 添加的，专门涵盖跨上下文行为广告，其中 PI 出于广告目的而与第三方共享，即使没有金钱考虑。实际影响：与广告平台共享用户数据以进行定位（即使您向他们付费，而不是相反）是 CPRA 下的“共享”，并会触发选择退出权。

Cookie 和跟踪技术是否受 CCPA/CPRA 约束？

是的，他们收集个人信息（包括 IP 地址等在线标识符）以及出于广告目的与第三方共享生成的数据。许多常见的做法——具有广告功能的 Google Analytics、Meta Pixel、程序化广告标签——构成了与广告平台“共享”PI，从而触发退出要求。实施 Cookie 同意管理平台（OneTrust、Osano、Cookiebot）来管理同意和尊重选择退出信号。

CPRA 的“敏感个人信息”与 GDPR 的“特殊类别”有何不同？

两者都确定了需要加强保护的信息类别，但内容和处理方式有所不同。 GDPR 的特殊类别（第 9 条）禁止在未经明确同意或第 9 条特定例外的情况下进行处理——这几乎是禁止。 CPRA 的 SPI 创造了限制权——消费者可以限制使用以提供所请求的产品/服务，但企业仍然可以在消费者同意的情况下出于更广泛的目的处理 SPI。 CPRA 的 SPI 列表特别包括登录凭据和精确地理位置，这些不属于 GDPR 的特殊类别。

CPRA 下的“服务提供商”、“承包商”和“第三方”是什么？

CPRA 添加了“承包商”这一类别。服务提供商接收 PI 是为了代表您提供服务，但合同禁止他们将 PI 用于自己的目的。承包商是根据合同出于商业目的接收 PI 的企业 - 与服务提供商类似，但合同要求略有不同。第三方收到 PI 并可以将其用于自己的目的 - 向第三方披露的任何信息都可能是“出售”或“共享”，从而触发选择退出义务。将数据共享关系构建为服务提供商或承包商关系（通过适当的合同）可以避免归类为“销售”。

---

后续步骤

CCPA/CPRA 合规性是一项持续的计划，而不是一次性项目。随着 CPPA 发布新法规（预计 2025-2026 年将出现自动决策规则），合规性要求将会发生变化。建立一个可扩展的隐私运营计划——通过自动化的消费者权利履行、数据映射和同意管理——是可持续的道路。

ECOSIRE 帮助企业评估其 CCPA/CPRA 义务，在其数字平台中实施技术合规措施，并建立隐私操作工作流程。

开始使用：ECOSIRE 服务

免责声明：本指南仅供参考，不构成法律建议。 CCPA/CPRA 要求非常复杂，并且经常通过法规和执行指南进行更新。请咨询合格的法律顾问，获取针对您的组织的具体建议。