常见问题（FAQ）

加州隐私保护局的任务是保护加州人的消费者隐私。作为这项任务的一部分，该机构寻求提高公众对消费者权利和企业根据加州里程碑式的消费者隐私法（2018年加州消费者隐私法）（“CCPA”）承担的义务的认识。

这些常见问题解答提供了有关机构和CCPA、消费者在CCPA下享有的权利以及如何行使这些权利的信息。这些常见问题解答还提供了有关该机构当前制定规则以实施经2020年《加利福尼亚州隐私权法》（“CPRA”）修订的CCPA的信息，以及公众如何就这些拟议法规提交意见。

这些常见问题不是法律建议、监管指南或加州隐私保护局的意见。我们将定期更新此信息。

关于CCPA的一般信息

什么是加州消费者隐私法？

《加州消费者隐私法》赋予消费者对企业收集的个人信息的更多控制权。CCPA目前为消费者提供有关其个人信息的某些权利，包括：

• 删除从他们那里收集的个人信息的权利；
• 了解企业收集了哪些个人信息以及如何使用和共享这些信息的权利；
• 有权选择不出售其个人信息；和
• 在行使其《公民权利和政治权利法》权利时不受歧视的权利。

2020年11月，加利福尼亚州选民批准了第24号提案，即《消费者权利保护法》，该提案修订了《消费者保护法》，并增加了从2023年1月1日开始的新的隐私保护。自2023年起，消费者将拥有除上述权利外的新权利，例如：

• 纠正企业拥有的不准确个人信息的权利；和
• 限制使用和披露所收集的有关他们的敏感个人信息的权利。

受CCPA约束的企业有几项责任，包括响应消费者行使这些权利的请求，并向消费者披露其隐私做法，如发布隐私政策。

什么是加州隐私保护局？

加州隐私保护局的成立是为了保护加州人的消费者隐私。该机构成立于2020年，由一个由五名成员组成的委员会管理，该委员会由隐私、技术和消费者权利方面的专家组成。该机构实施和执行CCPA，并承担多项责任，例如：

• 提高公众对消费者权利和企业在《消费者保护法》下的责任的认识。这些常见问题解答旨在向消费者和企业提供有关CCPA及其在2023年即将发生的变化的信息。
• 通过法规促进CCPA。机构可发布法规以实现CCPA的目标，包括实施CCPA要求的规则，更新现有法规，并整合要求，以使法规更易于遵循和理解。有关该机构当前规则制定的更多信息，以及如何在线或亲自提交意见或出席听证会，请参见此处。
• CCPA的执行。该机构的任务是通过行政执法行动强制执行《共同产品保护法》。它有能力调查可能的违规行为，为企业提供补救机会，并采取执法行动。

谁拥有CCPA下的隐私权？

CCPA为加州居民提供隐私权。加州居民是居住在加州的自然人（与公司或其他商业实体相对），即使该人暂时不在该州。

CCPA下的“业务”是什么？

CCPA目前适用于在加利福尼亚州开展业务、收集消费者个人信息（或让他人为其收集个人信息）、确定信息处理原因和方式并满足以下任何阈值的营利性企业：

• 年总收入超过2500万美元；
• 购买、接收或出售50000或更多加利福尼亚居民、家庭或设备的个人信息；或
• 通过出售加州居民的个人信息获得50%或更多的年收入。

这些阈值将从2023年1月1日起改变。从2023开始，为了达到第二个阈值，企业必须每年购买、出售或共享100000或更多消费者或家庭的个人信息。此外，最后一个门槛将包括通过销售或共享消费者个人信息获得50%或更多年收入的企业。

• CCPA还对服务提供商（代表企业处理个人信息）和其他企业个人信息接收者规定了单独的义务。
• CCPA不适用于非营利组织或政府机构。

什么是CCPA下的个人信息和敏感个人信息？

个人信息是识别特定消费者或家庭、与之相关或可能合理关联的信息。例如，它可以包括消费者的姓名、电子邮件地址、购买的产品记录、互联网浏览历史、地理位置数据、指纹以及对消费者偏好和特征的推断。

敏感个人信息是个人信息的特定子集，包括某些政府标识符（如社会安全号码）；账户登录、金融账户、借记卡或信用卡号码，以及允许访问账户的任何所需安全代码、密码或凭据；精确地理定位；邮件、电子邮件和短信的内容；遗传数据；经处理以识别消费者的生物测定信息；有关消费者健康、性生活或性取向的信息；或有关种族或族裔出身、宗教或哲学信仰或工会成员的信息。从2023年开始，消费者将有额外的权利限制企业对该部分个人信息的使用和收集。

个人信息和敏感个人信息不包括公开信息，即从政府记录中合法获得的信息。2023年，公开信息的定义还将包括企业有合理依据相信消费者或广泛传播的媒体合法向公众提供的信息，或消费者披露的某些信息，如果消费者未将信息限制在特定受众，则该信息将被提供。

我在哪里可以找到有关CCPA的信息？

您可以在此处找到由第24号提案（加州隐私权法）修订的《加州消费者隐私法》。现行《消费者保护法》条例为《消费者保护法案》的实施提供了指导，总检察长办公室的常见问题解答提供了有关《消费者保护协议》的信息，以及消费者今天如何行使其权利。该机构还提出了实施CPRA对CCPA修正案的条例。

我是一家小企业。CCPA适用于我吗？

请参见“业务”的定义。

加州居民

我今天在CCPA下有什么权利？

您有权要求企业披露关于您的个人信息以及他们对这些信息的处理方式，删除您的个人资料，并且不得出售您的个人资讯：

• 知情权：您可以要求企业向您披露：（1）他们收集的关于您的个人信息的类别和/或特定部分，（2）该个人信息的来源类别，（3）企业使用该信息的目的，（4）企业披露信息的第三方的类别，（5）企业向第三方出售或披露的信息类别。你可以免费提出一年两次的知情请求。
• 删除权：您可以要求企业删除他们从您那里收集的个人信息，并告诉他们的服务提供商也这样做，但有某些例外情况（如法律要求企业保留这些信息）。
• 选择退出销售的权利：您可以要求企业停止销售您的个人信息（“选择退出”）。企业在收到您的退出请求后不能出售您的个人信息，除非您稍后提供授权，允许他们再次这样做。

行使这些权利时，请注意：

如何提交您的请求

• 了解或删除：查看企业的隐私政策，其中必须包括如何提交请求的说明。企业通常必须为您指定至少两种方法来提交了解或删除个人信息的请求-例如，电子邮件地址、网站表单或硬拷贝表单。但是，如果企业仅在网上运营，则只需要提供用于提交请求的电子邮件地址。确保您通过企业指定的方法之一提交了解或删除请求，这可能不同于其正常的客户服务联系信息。
• 选择退出出售：出售个人信息的企业应遵守CCPA的要求，在其网站上提供清晰、显眼的“请勿出售我的个人信息”链接，允许您提交选择退出请求。您还可以通过用户启用的全局隐私控制提交退出请求，并可以在此处找到有关该控制的更多信息。如果您找不到企业的“请勿出售我的个人信息”链接，请查看其隐私政策，以查看其是否出售个人信息。如果企业这样做，它还必须在其隐私政策中包含该链接。如果难以找到或使用企业的“请勿出售我的个人信息”链接或其他提交选择退出请求的指定方法，您可以使用总检察长的消费者隐私工具通知企业。

在哪里可以找到企业的隐私政策

大多数企业在其网站上发布隐私政策。通常可以在主页和其他网页的底部找到链接。该链接的标题可能包括“隐私”或“加利福尼亚隐私权”。对于移动应用，应在应用的下载页面或应用的设置菜单中提供隐私政策的链接。

如何行使与数据代理相关的CCPA权利

另一项加利福尼亚州法律《民法典》第1798.99.80节将数据代理定义为“有意收集并向第三方出售与该企业没有直接关系的消费者的个人信息的企业”。“加利福尼亚州关于数据代理的法律要求数据代理向司法部长注册，并提供有关其业务实践的某些信息。数据代理注册处可在总检察长的网站上找到。在Data Broker Registry网站上，您将找到每个注册数据代理的联系信息和网站链接，以及帮助您行使CCPA权利的其他信息。

企业需要多长时间来响应您的请求

• 了解或删除：企业必须在45个日历日内响应您的请求，了解或删除您的个人信息。如果他们通知你，他们可以将截止日期再延长45天（总共90天）。
• 选择退出销售：企业必须尽快响应您的请求，从收到您的选择退出请求之日起最多15个工作日。

为什么企业可能会拒绝您的请求

在某些情况下，企业可能会拒绝您了解、删除或选择退出销售的请求：

了解：企业拒绝披露您个人信息的常见原因包括：

• 企业无法验证您的身份以完成您的请求
• 该请求明显没有根据或过多，或者业务部门在12个月内已经向您提供了两次以上的个人信息
• 企业不能披露某些敏感信息，如您的社会安全号码、金融账户号码或账户密码，但他们必须告诉您是否正在收集此类信息
• 披露将限制企业遵守法律义务、行使法律主张或权利或捍卫法律主张的能力
• 个人信息是公开信息、某些医疗信息、消费者信用报告信息或其他类型的不受CCPA约束的信息

删除：企业可能拒绝删除您的个人信息的常见原因包括：

• 企业无法验证您的身份以完成您的请求
• 业务部门需要您的信息来完成您的交易，提供合理预期的产品或服务，或出于某些保修和产品召回目的
• 对于某些业务安全实践
• 业务部门需要您的信息用于某些内部用途，这些用途符合合理的消费者期望或提供信息的环境
• 遵守法律义务，行使法律要求或权利，或捍卫法律要求
• 个人信息是公开信息、某些医疗信息、消费者信用报告信息或其他类型的不受CCPA约束的信息

选择不出售：企业可能拒绝停止出售您的个人信息的常见原因包括：

• 出售是企业遵守法律义务、行使法律主张或权利或捍卫法律主张的必要条件
• 个人信息是公开信息、某些医疗信息、消费者信用报告信息或其他类型的不受CCPA约束的信息。

如果您不知道企业拒绝您的退出请求的原因，请与该企业联系，询问其原因。

最后，您还有权在企业收集您的个人信息之前或之时获得通知，告知他们正在收集的个人信息类型以及他们可能会对这些信息做什么。一般而言，企业不得因您行使CCPA项下的权利而歧视您。企业不能让您放弃这些权利，任何表示您放弃这些权力的合同条款都是不可执行的。

您可以在此处找到有关如何行使权利的更多信息。

从2023年开始，我将在CCPA下拥有哪些新权利？

除了您的知情权、删除权、选择不出售您的个人信息权和不歧视权之外，您还将从明年起享有新的权利。这些权利是根据加利福尼亚州选民于2020年11月通过的第24号提案，作为CCPA修正案的一部分而设立的。

从明年开始，你可能会要求企业纠正关于你的不准确信息。此外，您可以指示企业仅将您的敏感个人信息（例如，您的社会保障号码、金融账户信息、您的精确地理位置数据或您的基因数据）用于有限的目的，例如为您提供您请求的服务。

企业需要通知您如何在其隐私政策中行使这些权利。

我认为一家企业目前正在违反CCPA。我能做什么？

你不能就大多数违反CCPA的行为起诉企业。在有限的情况下，如果存在数据泄露，您可以根据CCPA起诉企业。有关您目前可以根据CCPA起诉企业的数据泄露类型的更多信息，请参见此处。

对于所有其他违反CCPA的行为，您可以向总检察长办公室提出消费者投诉。如果您选择向总检察长提出投诉，请准确解释该企业是如何违反CCPA的，并描述违反行为发生的时间和方式。请注意，总检察长不能代表您或就如何解决您的个人投诉向您提供法律建议。此外，从2023年开始，您还可以向该机构提出投诉。在消费者投诉和其他信息中发现的不当行为模式可能导致调查，并随后代表加利福尼亚州人民的集体合法利益执行《消费者保护法》。

规定

加州隐私保护局目前正在进行正式的规则制定活动。2021秋季，该机构征求了公众的初步书面意见。2022年春，它举行了信息和利益相关者会议，并在其网站上发布了所有材料。2022年5月27日，董事会发布了2022年6月8日会议的会议通知和议程，其中包括“关于拟议条例的讨论和可能行动，第7000至7304节，以实施、解释和具体化经2020年《加利福尼亚隐私权法》修订的2018年《加利福尼亚消费者隐私法》，包括可能的拟议行动通知”。“拟议条例草案已作为6月8日会议材料的一部分向公众公布。2022年6月8日，董事会批准了正式规则制定过程的拟议条例草案，并授权执行董事采取必要步骤开始规则制定过程。2022年7月8日，该机构在《加利福尼亚州监管通知登记册》上发布了其拟议行动通知，开始了正式的规则制定过程。以下是问答，以提供有关拟议法规和法规流程的更多信息。

为什么该机构向公众提供拟议条例草案作为公开董事会会议的材料？

当第24号提案创建了新的州政府机构加利福尼亚隐私保护局时，该机构由五名成员组成的董事会进行管理。委员会拥有制定规则的权力，这意味着它必须决定根据加利福尼亚州的《行政程序法》（APA）开始正式的规则制定过程，以起草拟议的法规。董事会决定在符合《巴格利·基恩公开会议法》的公开会议上开始正式规则制定。该法要求管理局至少提前10天在互联网上发布任何董事会会议通知，通知中应包括会议的具体议程和待讨论项目的简要说明。此外，与将在公开会议上讨论的项目有关的任何已分发或将分发给董事会的书面材料也必须向公众提供。拟议条例草案是一份书面文件。

正式规则制定过程是什么样的？

为了开始《行政程序法》中规定的正式规则制定过程，该机构提交了一份拟议规则制定行动通知，称为“NOPA”，即拟议条例的文本，以及一份说明拟议条例草案原因的初步理由陈述（ISOR）。NOPA发布在该机构的网站上，并在加利福尼亚州监管公告登记册上公布，这标志着正式规则制定开始的第一天。

在正式规则制定过程中，公众将有机会多次对拟议条例草案发表意见。提交NOPA开启了最初的公开评论期，该期至少持续45天，并提供了向该机构提交书面公开评论的机会。该机构还将举行公开听证会。在NOPA中，该机构提供了具体指示，说明公众可以如何就拟议的法规发送书面意见，并参加公开听证会以提供口头意见。有关撰写有效公共评论的提示，请参见此处。

根据《行政程序法》，如果行政机关在初始评论期之后提出与拟议条例原始文本相关的任何实质性修改，它将开放至少15天的额外公众评论期，并考虑收到的关于这些拟议修改的任何评论。该机构必须在其最终理由陈述（FSOR）中总结并回应每一条公众意见，并将最终条例文本附在提交给行政法办公室（OAL）的文件包中。有关正式规则制定过程的更多信息，请参见此处。如果您希望收到有关规则制定活动的通知，请在此处订阅我们的电子邮件列表。

这一规则制定过程与总检察长的规则制定过程有何不同？

2022年4月21日，CCPA下的规则制定权正式从总检察长移交给该机构。正如总检察长的规则制定程序一样，该机构的规则制定过程将遵守《行政程序法》。该机构的规则制定权之间的一个主要区别是，总检察长不必遵守巴格利·基恩的规定，因为司法部由总检察长领导，而不是由董事会控制的国家机构。这就是为什么，例如，公众第一次看到总检察长提出的CCPA条例是在司法部提交NOPA并开始正式规则制定时。在整个正式规则制定过程中，董事会也将遵守巴格利·基恩的规定。这意味着，董事会每次讨论拟议条例时，都将举行公开会议，包括提前10天向公众发出通知，并向公众提供向董事会分发的任何书面材料。

为什么提议的法规被称为“CCPA法规”而不是“CPRA法规”？

第24号提案，也称为“2020年加利福尼亚州隐私权法案”或“CPRA”，修订或重新修订了2018年加利福尼亚州消费者隐私法或“CCPA”。法律赋予该机构“执行和执行2018年加利福尼亚消费者隐私法的全部行政权力、权限和管辖权”。这是因为CPRA修订了CCPA；它没有单独制定新的法律。拟议条例旨在更新现有条例，并添加新规则，以实施和解释经CPRA修订的CCPA文本中的语言。此外，许多条例重新组织和重申了现有的法规和条例，以便于作为独立文件阅读。

我如何就拟议的CCPA法规提交意见？

该机构目前正在征求公众对拟议规则的意见，该规则包括：（1）更新现有CCPA法规，使其与CCPA的CPRA修正案相协调；（2） 落实《公民权利和政治权利法》提出的新权利和概念；（3）重新组织和整合法律规定的要求，以使条例更易于遵循和理解。如果您愿意参加，您可以通过电子邮件向代理商提交书面意见，网址为：regulations@cppa.ca.gov或通过邮件发送至：加利福尼亚州隐私保护局，收件人：布莱恩·索布莱特，加利福尼亚州萨克拉门托竞技场大道2101号，邮编95834。您也可以参加2022年8月24日和25日举行的公开听证会或在听证会上发言。

有关规则草案的更多信息，以及如何在线或亲自提交意见或出席听证会，请参见此处。

本文：https://cioctocdo.com/cppa-frequently-asked-questions-faqs