如何使您的 WordPress 网站符合 CCPA

已发表: 2020-04-29

在 2018 年引入 GDPR 之后,现在有另一项法律将进一步影响 WordPress 网站管理员,以使其遵守当地的数据隐私法规。

它的名字? 加州消费者保护法(简称 CCPA)。

这项新立法旨在为加利福尼亚人提供有关使用其个人信息的增强保护。 它于 2020 年初生效。

本指南将引导您了解 CCPA 网站合规性要求。 它还解释了它在实践中对您的网站意味着什么,以及如何实施必要的更改。 因此,事不宜迟,让我们从讨论 CCPA 的主要主题开始。

什么是加州消费者隐私法 (CCPA)?

CCPA 于 2018 年通过。最初是作为一项自愿倡议引入的,该法律仅用了 7 天就通过了加利福尼亚州立法机构的各个机构。

在政客们注意到选民们日益强烈的担忧之后,立法机构迅速通过了这项法律,他们认为加州法律没有跟上客户在不知不觉中与企业共享的个人数据的数量。

其次,笼罩 Facebook 的剑桥分析公司丑闻,以及在欧盟引入的通用数据保护条例 (GDPR) 法律,提高了推动这项立法的重要性。

自 2018 年 6 月发生这些事件以来,该法律已被再次修改两次。 加利福尼亚州总检察长已发布指南,以帮助公司更好地了解如何对其运营进行必要的调整。 该法于 2020 年 1 月 1 日正式生效。

关于 CCPA 的细节,该法律大多遵循其 GDPR 前身提供的指导。 它赋予加州公民以下权利:

  • 了解正在收集有关他们的哪些个人信息
  • 了解他们的个人信息是否被出售或披露以及向谁披露
  • 拒绝出售他们的个人信息
  • 要求删除他们的个人信息
  • 访问他们的个人信息
  • 平等的服务和价格,即使他们行使其隐私权

了解法律后,您可能想知道这些法律是否适用于您,尤其是您的网站或企业是否在加利福尼亚州以外的地方注册。

CCPA 是否适用于您的业务?

揭开任何隐私法的含义可能是最困难的部分。 但现在尘埃落定的时间已经足够了。 关于如何以及何时应用该法律有一些明确的指导方针。

首先要注意的是,该法律涉及保护加利福尼亚州公民和居民的个人信息。 这意味着与上述公民打交道的公司或组织将适用于他们的法律,无论他们身在何处。

作为加州总检察长发布的指南的一部分,该法律适用于符合以下标准的营利性组织:

  1. 年总收入超过 25,000,000 美元
  2. 每年出于商业或商业目的购买或接收、出售或共享 50,000 名或更多加州消费者的个人信息
  3. 其 50% 或更多的年收入来自出售加州消费者的个人信息。

如果你坐在那里想,“太好了,我的业务不符合任何这些标准,我不需要做任何改变,”你只​​是部分正确。 这项新法律可能仍适用于您。 如果您与必须遵守 CCPA 的公司进行交易,那么您可能仍需要进行必要的更改才能遵守。

例如,如果您出于营销目的从拥有数百万条记录的加利福尼亚提供商处购买了电子邮件列表,则您必须通过扩展来进行 CCPA 规定的调整。 同样,如果您为大型公司提供 WordPress 网页设计服务,则需要注意确保您提供合规的网站。

CCPA 与 GDPR

CCPA 和 GDPR 立法虽然非常相似,但确实存在一些关键差异。 首先,GDPR 比 CCPA 影响深远得多。

GDPR 包含任命数据保护官员的义务、维护处理活动登记册以及在特定情况下需要进行数据保护影响评估。 尽管有类似的规定,但 CCPA 没有此类法律义务。

其次,GDPR 的基本原则是处理个人数据的任何方面都应该有法律依据。 但是,CCPA 甚至不适用于某些个人数据集。 例如,出于信用报告目的而记录的医疗记录和个人信息不受 CCPA 的约束,因为它们被视为由单独的现有立法所涵盖。

最后,不同的法律在一个最终的法律原则上有所不同,即事先同意的问题。 CCPA 不要求公司在处理个人信息时事先征得同意,这是 GDPR 的核心法律支柱。

事实上,根据 CCPA,企业在处理其数据之前不需要用户的事先同意,网站在将其数据出售给第三方之前也不需要用户的事先许可。 但是,加利福尼亚公民有权“选择退出”该处理并请求查看和请求删除其数据。

换言之,CCPA 旨在提供数据透明度和事后保护。 相比之下,GDPR 侧重于为欧盟公民提供个人数据处理的事先同意权。

如何使您的网站符合 CCPA

如果您的 WordPress 网站需要更新以满足 CCPA 网站合规性要求,那么以下步骤应该可以帮助您确保您不会违反新的隐私法。

更新您的隐私政策

您可能已经制定了隐私政策以使您的网站符合 GDPR,但您需要对其进行更新以反映 CCPA 要求的更改。 首先,您需要包括 CCPA 规定的网站访问者的新权利。

然后,您需要包括几种联系方式,以便消费者可以提交他们的请求,以根据法律行使他们的权利。 如果自 GDPR 引入以来任何信息发生变化,更新您收集的数据、获取数据的方式以及数据的用途也是一个好主意。

请记住阐明客户如何访问和请求删除其数据的透明分步流程。 最后,更改您的隐私政策的日期,以表明这些更新是在新法律出台之后进行的。

(注意:如果您每年出售 4,000,000 或更多加利福尼亚消费者的个人信息,您可能需要包括额外的披露)

告诉客户他们可以在哪里找到有关您的隐私政策和 CCPA 的更多信息

在收集数据的过程中,要求客户了解隐私政策及其在 CCPA 下的权利。 请注意,您不需要同意(根据 GDPR); 相反,您需要告知他们在哪里可以更多地了解您正在收集的内容以及原因。

告诉客户的一个很好的方法是通过隐私声明或 cookie 栏,就像您已经为 GDPR 目的所做的那样。

通过 cookie 栏或页脚发送的合规/隐私通知

此通知将与您为遵守 GDPR 而提供的通知非常相似。 这些合规/隐私声明基本上是您的隐私政策的极其精简的版本。

确保包括您从消费者那里收集的个人信息类别的列表,并为每个类别列出其将用于的商业目的。

如果通过页脚或 cookie 栏显示,您的空间有限,因此在包含指向您的隐私政策和“请勿出售我的个人信息”页面的链接之前,请尽可能直截了当。

确保选择加入/选择退出可用

如前所述,您不必为了 CCPA 的目的而获得同意。 但是,您需要为消费者提供选择退出个人数据收集的选项。 考虑到这一点,如果您已经拥有这些参数,则将此权限与 GDPR 所需的事先同意捆绑在一起是有意义的。

鉴于 CCPA 的公司规模标准,您可能已经部署了类似的网站架构,因此进行必要的调整以同时满足 CCPA 要求是有意义的。

添加“请勿出售我的信息”页面并在您的主页上放置指向该页面的链接

如果您出售加州居民的个人信息,则新法律要求您拥有一个标题为“请勿出售我的个人信息”或“请勿出售我的信息”的网页。

在新创建的网页上,您需要包含以下信息:

  • 有关消费者选择不出售其个人数据的权利的详细信息
  • 用于提交所述退出请求的联系表
  • 有关选择退出的其他联系方式的信息
  • 指向您的隐私政策的链接
  • 当消费者选择让授权代理人代表他们提交退出请求时所需的举证责任

您应该在您的网站页脚中放置一个指向此页面的链接,这样它就不会超过一次点击。

在出售数据之前获得 13 至 16 岁未成年人的事先同意

再次重申,如果您从事出售加利福尼亚州居民个人数据的业务,未经事先同意,您不得为 13 至 16 岁的人这样做。 您可以选择使用您的 cookie 栏来包含这样的消息,并附带一个同意框。

或者,如果您对收集该年龄段个人的数据不感兴趣,您可以制定一项政策,销毁与符合此标准的人相关的所有数据,这应在您的隐私政策中详细说明。

概括

虽然毫无疑问,CCPA 没有 GDPR 那样影响深远,但同样应该认真对待。 它可能只是将于 2020 年在美国生效的几项州级隐私法中的一项。

许多人会将 CCPA 用作与其各自州相关的法律的剪切和粘贴模板。 因此,现在调整您的 WordPress 网站以遵守 CCPA 网站合规性要求是有意义的,这样您就可以继续在欧盟 (GDPR) 和北美市场 (CCPA 等) 保持合规性。 有关 CCPA 的更多详细信息,请参阅加利福尼亚州司法部网站。

在 WP White Security,我们认真对待合规性和安全性。 我们开发高质量的利基安全和管理实用程序插件,帮助管理员更好地管理和保护他们的 WordPress 网站。 为什么不看看我们的插件组合,看看我们如何帮助您更好地保护您的网站并管理其用户?