如何使您的 WordPress 網站符合 CCPA

已發表: 2020-04-29

在 2018 年引入 GDPR 之後,現在有另一項法律將進一步影響 WordPress 網站管理員,以使其遵守當地的數據隱私法規。

它的名字? 加州消費者保護法(簡稱 CCPA)。

這項新立法旨在為加利福尼亞人提供有關使用其個人信息的增強保護。 它於 2020 年初生效。

本指南將引導您了解 CCPA 網站合規性要求。 它還解釋了它在實踐中對您的網站意味著什麼,以及如何實施必要的更改。 因此,事不宜遲,讓我們從討論 CCPA 的主要主題開始。

什麼是加州消費者隱私法 (CCPA)?

CCPA 於 2018 年通過。最初是作為一項自願倡議引入的,該法律僅用了 7 天就通過了加利福尼亞州立法機構的各個機構。

在政客們注意到選民們日益強烈的擔憂之後,立法機構迅速通過了這項法律,他們認為加州法律沒有跟上客戶在不知不覺中與企業共享的個人數據的數量。

其次,籠罩 Facebook 的劍橋分析公司醜聞,以及在歐盟引入的通用數據保護條例 (GDPR) 法律,提高了推動這項立法的重要性。

自 2018 年 6 月發生這些事件以來,該法律已被再次修改兩次。 加利福尼亞州總檢察長已發布指南,以幫助公司更好地了解如何對其運營進行必要的調整。 該法於 2020 年 1 月 1 日正式生效。

關於 CCPA 的細節,該法律大多遵循其 GDPR 前身提供的指導。 它賦予加州公民以下權利:

  • 了解正在收集有關他們的哪些個人信息
  • 了解他們的個人信息是否被出售或披露以及向誰披露
  • 拒絕出售他們的個人信息
  • 要求刪除他們的個人信息
  • 訪問他們的個人信息
  • 平等的服務和價格,即使他們行使其隱私權

了解法律後,您可能想知道這些法律是否適用於您,尤其是您的網站或企業是否在加利福尼亞州以外的地方註冊。

CCPA 是否適用於您的業務?

揭開任何隱私法的含義可能是最困難的部分。 但現在塵埃落定的時間已經足夠了。 關於如何以及何時應用該法律有一些明確的指導方針。

首先要注意的是,該法律涉及保護加利福尼亞州公民和居民的個人信息。 這意味著與上述公民打交道的公司或組織將適用於他們的法律,無論他們身在何處。

作為加州總檢察長發布的指南的一部分,該法律適用於符合以下標準的營利性組織:

  1. 年總收入超過 25,000,000 美元
  2. 每年出於商業或商業目的購買或接收、出售或共享 50,000 名或更多加州消費者的個人信息
  3. 其 50% 或更多的年收入來自出售加州消費者的個人信息。

如果你坐在那裡想,“太好了,我的業務不符合任何這些標準,我不需要做任何改變,”你只是部分正確。 這項新法律可能仍適用於您。 如果您與必須遵守 CCPA 的公司進行交易,那麼您可能仍需要進行必要的更改才能遵守。

例如,如果您出於營銷目的從擁有數百萬條記錄的加利福尼亞提供商處購買了電子郵件列表,則您必須通過擴展來進行 CCPA 規定的調整。 同樣,如果您為大型公司提供 WordPress 網頁設計服務,則需要注意確保您提供合規的網站。

CCPA 與 GDPR

CCPA 和 GDPR 立法雖然非常相似,但確實存在一些關鍵差異。 首先,GDPR 比 CCPA 影響深遠得多。

GDPR 包含任命數據保護官員的義務、維護處理活動登記冊以及在特定情況下需要進行數據保護影響評估。 儘管有類似的規定,但 CCPA 沒有此類法律義務。

其次,GDPR 的基本原則是處理個人數據的任何方面都應該有法律依據。 但是,CCPA 甚至不適用於某些個人數據集。 例如,出於信用報告目的而記錄的醫療記錄和個人信息不受 CCPA 的約束,因為它們被視為由單獨的現有立法​​所涵蓋。

最後,不同的法律在一個最終的法律原則上有所不同,即事先同意的問題。 CCPA 不要求公司在處理個人信息時事先徵得同意,這是 GDPR 的核心法律支柱。

事實上,根據 CCPA,企業在處理其數據之前不需要用戶的事先同意,網站在將其數據出售給第三方之前也不需要用戶的事先許可。 但是,加利福尼亞公民有權“選擇退出”該處理並請求查看和請求刪除其數據。

換言之,CCPA 旨在提供數據透明度和事後保護。 相比之下,GDPR 側重於為歐盟公民提供個人數據處理的事先同意權。

如何使您的網站符合 CCPA

如果您的 WordPress 網站需要更新以滿足 CCPA 網站合規性要求,那麼以下步驟應該可以幫助您確保您不會違反新的隱私法。

更新您的隱私政策

您可能已經制定了隱私政策以使您的網站符合 GDPR,但您需要對其進行更新以反映 CCPA 要求的更改。 首先,您需要包括 CCPA 規定的網站訪問者的新權利。

然後,您需要包括幾種聯繫方式,以便消費者可以提交他們的請求,以根據法律行使他們的權利。 如果自 GDPR 引入以來任何信息發生變化,更新您收集的數據、獲取數據的方式以及數據的用途也是一個好主意。

請記住闡明客戶如何訪問和請求刪除其數據的透明分步流程。 最後,更改您的隱私政策的日期,以表明這些更新是在新法律出台之後進行的。

(注意:如果您每年出售 4,000,000 或更多加利福尼亞消費者的個人信息,您可能需要包括額外的披露)

告訴客戶他們可以在哪裡找到有關您的隱私政策和 CCPA 的更多信息

在收集數據的過程中,要求客戶了解隱私政策及其在 CCPA 下的權利。 請注意,您不需要同意(根據 GDPR); 相反,您需要告知他們在哪裡可以更多地了解您正在收集的內容以及原因。

告訴客戶的一個很好的方法是通過隱私聲明或 cookie 欄,就像您已經為 GDPR 目的所做的那樣。

通過 cookie 欄或頁腳發送的合規/隱私通知

此通知將與您為遵守 GDPR 而提供的通知非常相似。 這些合規/隱私聲明基本上是您的隱私政策的極其精簡的版本。

確保包括您從消費者那裡收集的個人信息類別的列表,並為每個類別列出其將用於的商業目的。

如果通過頁腳或 cookie 欄顯示,您的空間有限,因此在包含指向您的隱私政策和“請勿出售我的個人信息”頁面的鏈接之前,請盡可能直截了當。

確保選擇加入/選擇退出可用

如前所述,您不必為了 CCPA 的目的而獲得同意。 但是,您需要為消費者提供選擇退出個人數據收集的選項。 考慮到這一點,如果您已經擁有這些參數,則將此權限與 GDPR 所需的事先同意捆綁在一起是有意義的。

鑑於 CCPA 的公司規模標準,您可能已經部署了類似的網站架構,因此進行必要的調整以同時滿足 CCPA 要求是有意義的。

添加“請勿出售我的信息”頁面並在您的主頁上放置指向該頁面的鏈接

如果您出售加州居民的個人信息,則新法律要求您擁有一個標題為“請勿出售我的個人信息”或“請勿出售我的信息”的網頁。

在新創建的網頁上,您需要包含以下信息:

  • 有關消費者選擇不出售其個人數據的權利的詳細信息
  • 用於提交所述退出請求的聯繫表
  • 有關選擇退出的其他聯繫方式的信息
  • 指向您的隱私政策的鏈接
  • 當消費者選擇讓授權代理人代表他們提交退出請求時所需的舉證責任

您應該在您的網站頁腳中放置一個指向此頁面的鏈接,這樣它就不會超過一次點擊。

在出售數據之前獲得 13 至 16 歲未成年人的事先同意

再次重申,如果您從事出售加利福尼亞州居民個人數據的業務,未經事先同意,您不得為 13 至 16 歲的人這樣做。 您可以選擇使用您的 cookie 欄來包含這樣的消息,並附帶一個同意框。

或者,如果您對收集該年齡段個人的數據不感興趣,您可以製定一項政策,銷毀與符合此標準的人相關的所有數據,這應在您的隱私政策中詳細說明。

概括

雖然毫無疑問,CCPA 沒有 GDPR 那樣影響深遠,但同樣應該認真對待。 它可能只是將於 2020 年在美國生效的幾項州級隱私法中的一項。

許多人會將 CCPA 用作與其各自州相關的法律的剪切和粘貼模板。 因此,現在調整您的 WordPress 網站以遵守 CCPA 網站合規性要求是有意義的,這樣您就可以繼續在歐盟 (GDPR) 和北美市場 (CCPA 等) 保持合規性。 有關 CCPA 的更多詳細信息,請參閱加利福尼亞州司法部網站。

在 WP White Security,我們認真對待合規性和安全性。 我們開發高質量的利基安全和管理實用程序插件,幫助管理員更好地管理和保護他們的 WordPress 網站。 為什麼不看看我們的插件組合,看看我們如何幫助您更好地保護您的網站並管理其用戶?