CCPA的关键内容、要点的关键监管要求及应对建议

一、CCPA的关键内容及要点

依据CCPA第1798.140（c）条的规定，该法案适用于在加州组织或经营的、业务内容涉及收集或处理消费者个人信息的企业，且满足如下一个或多个条件：1) 年收入超过2500万美元；2)为商业目的，每年单独或组合购买、收取、出售或共享50000人或更多消费者、家庭或设备的个人信息；3)其年收入中不少于50%的部分是通过销售消费者的个人信息所获得。该法案也适用于控制或受符合上述标准的企业控制且同该等企业共享品牌的任何组织，故而这一规定将对特许经营企业和子公司产生广泛的影响。（注：CCPA下所指消费者系“加州永久居民”）

此外，如果与上述企业有业务往来或是为其提供服务的，则那些原本不直接适用于该法案的企业也可能会受到该法案的约束。

CCPA的一大亮点是赋予了个人追究该法案项下损害赔偿的权利，规定了某些数据泄漏的私人诉讼权，并使得民事集体诉讼成为了可能。

二、初步提示建议

CCPA赋予了加州消费者更多的权利并给予了受管辖企业更多的义务，如同GDPR一样，CCPA将无疑对中国企业在加州的经营业务造成更多合规性方面的挑战。而中国跨国企业本身在合规把控方面的经验已相对较为欠缺，在此时期更应当对CCPA所涉要求予以尽早地关注，结合外部律师的建议做好相应的合规工作。

尽管CCPA的部分条款目前仍存在被修改的不确定性，具体的调整还有待进一步观察，但是这块的政府监管趋严是全球趋势。除加州之外，美国内达华州、纽约州、缅因州等各州亦将相继出台有关个人隐私保护的法案。随着CCPA的出现以及其他各州相关立法的跟进，昭示着美国对消费者数据隐私的保护正日趋严格与全面。当此之际，相关中资企业只有采取积极的应对措施，方能在个人隐私信息保护的浪潮下合规地开展业务，持续稳健地发展。