《加州消费者隐私法》(以下简称“CCPA”或“Act”)是加州州长杰里·布朗于2018年6月28日签署的消费者隐私法,将于2020年1月1日生效。行为,是最强的隐私立法颁布目前在美国(尽管有很多荣誉的竞争者),给消费者更多的权力来控制他们的私人数据的收集和使用,并对数据隐私将产生深远的影响。
据估计,超过50万家公司直接受CCPA的约束,其中许多是中小型企业,该法的详细要求——披露和通知程序、选择退出权、更新隐私政策和修订供应商协议——令人生畏。正如下面所讨论的,许多酒店和酒店公司将直接受到该法的影响,要么因为它们符合CCPA中定义的“业务”资格,要么因为它们与受该法约束的公司(品牌和管理公司)有关。酒店业主、经理和品牌如果没有及时满足CCPA的要求,就必须迅速采取行动,否则根据该法的处罚条款,将承担潜在的责任。
2018年初,加州房地产开发商阿利斯泰尔
tvb侦探片
·麦克塔格特(Alistair McTaggart)牵头将一项新的隐私法——《2018年消费者隐私权法案》(Consumer rights to privacy Act of 2018)——纳入了2018年11月的加州投票。到2018年6月,该倡议的支持者已经收集了足够多的签名,在11月的投票中获得了一个席位。作为回应,加州立法者与加州企业和其他利益集团合作,谈判并通过了一项替代法案——CCPA——以换取一项协议,将11月份的投票中对《消费者隐私权法案》(Consumer rights to Privacy Act)中限制性更强的部分删除。该法案是激进的,并引用了2018年3月披露的剑桥分析(Cambridge Analytica)滥用个人数据的事件,以及随后的国会听证会,后者强调了一个事实,即在互联网上共享的任何个人信息都可能遭到大量滥用和盗窃。这促使加州立法机构迅速采取行动,通过给予消费者更多的个人信息控制权来保护加州人的隐私权。
因为法案通过得如此之快,也因为它是由最初的主张推动的,所以法案,作为法律,并没有那种帮助我们理解如何实施法案中的概念的指导。根据该法案的要求,加州总检察长已经提交了有助于遵守该法案的拟议法规,但为了让企业能够安心地策划一种合规手段,还有很多工作要做。未来几年,我们对该法案的理解,以及企业如何遵守该法案,很可能会发生变化。
为了了解该法案的影响,以及如何应对其诸多变化,企业需要了解它如何反映消费者对个人信息所有权和使用态度的演变。
在美国,收集或使用个人资料的限制很少。但也有一些例外——金融信息受《格雷姆-里奇-比利利法案》(Gramm-Leach-Bliley Act)的监管,健康信息受《健康保险可携性与责任法案》(health Insurance便携性与责任法案)的监管,儿童信息受《儿童在线个人隐私法案》(children's online Personal Privacy Act)的保护。但是一般来说,个人信息——姓名、地址和其他识别信息——可以在没有重大限制的情况下收集和使用,而且消费者通常不会反对。
计算机的出现和信息收集、存储、处理和货币化能力的增强改变了消费者的态度。公司越来越多地将他们的商业模式建立在收集和利用信息的能力上。这并不局限于像Facebook和谷歌这样的公司;各种各样的公司通过直接营销和向他人分享或出售数据,将他们收集的信息货币化。随着“合法”的使用,出现了不那么令人讨厌的形式,如信用卡欺诈和身份盗窃。因此,个人消费者越来越关心他们的个人数据是如何共享的。
酒店应该特别注意这一转变,因为酒店是最容易被坏人盯上的行业之一,数据盗窃的报告也经常被报道。
这些变化的背后是对个人信息处理的重大转变。越来越多的人认为,一个人应该控制他或她的身份数据,而不仅仅是有限的金融数据选择,而是广泛的信息——本质上,任何可以用来识别一个人的信息。这不仅包括姓名、地址和其他明显的数据点,还包括生物特征数据和位置数据,我们许多人都不知道这些数据正在被收集。
该法案适用于加州内外的许多企业。该法适用于收集和处理加利福尼亚州居民的个人信息(如该法所定义的)并在加利福尼亚州开展业务的营利性实体。此外,业务必须满足以下至少一个标准:
- 每年总收益超过2500万美元
- 每年接收或分享超过5万名加州居民的个人信息
- 每年至少有50%的收入来自出售加州居民的个人信息。
此外,该法将业务定义为具有共享控制的实体,这些实体使用公共商标或标识符。因此,很可能会有各种各样的酒店、酒店经理和酒店品牌不得不遵守该法案。
此外,该法案要求受保护的企业对其供应商和服务提供商承担义务,而被要求遵守该法案的企业在没有其业务伙伴积极参与的情况下不能这样做。正如品牌和管理公司,成为受到欧盟的总体数据保护规定(“GDPR”)需要GDPR下酒店业主承担负担,他们将要求主人遵守CCPA——即使酒店本身不可能的范围之内。
除了直接适用法律,酒店业还需要解决其隐私和安全问题。这是一项艰巨的任务——每家大型酒店公司都曾是重大信息泄露事件的受害者,许多公司还曾多次成为受害者。与此同时,酒店公司严重依赖客人的信任和忠诚。的负面宣传关于酒店的能力保持客人的安全和隐私信息对个人的声誉产生负面影响酒店和酒店行业一般来说,即使在酒店销售的主要商品之一是信任,如果客人不相信他们,或者他们的个人信息,与酒店是安全的,他们只会不会光顾。这个问题超出了单个房产——这是行业的当务之急。
个人信息。该法对个人信息的定义非常宽泛,包括任何可用于识别个人身份的信息,无论是单独的,还是与其他信息一起使用的,或者是可以合理地从现有信息中获得的。它具体包括以下信息:
- 典型的个人标识符,如姓名、地址、电子邮件地址、社会保险号等
- 该法案定义的“唯一个人标识符”为“可用于识别消费者、家庭或设备的持久标识符”。随着时间的推移和不同的服务”;包括,例如,一个互联网协议地址,cookies,用户别名,或其他“概率标识”
- “个人信息”在加州被定义为违反通知法律
- 与受保护分类相关的特征(如种族、性别、性取向)
- 购买或消费历史等商业信息
- 生物识别信息
- 网络活动,如浏览历史、搜索历史等。
- 地理位置数据
- 声音、电子、视觉、热、嗅觉或类似的信息
- 专业或与雇佣有关的信息
- 教育信息
- 从上述任何信息中得出的推论,以创建用户配置文件
CCPA对消费者的保护。CCPA为消费者提供了四项关键权利:
- 知情权:消费者有权在收集点或之前知道公司收集了哪些个人信息,以及这些信息的目的是什么——这些信息通常是通过面向公众的隐私政策提供的。
- 选择退出的权利:消费者有权在任何时候指导企业不向第三方出售他们的个人信息。对于年龄在13- 16岁之间的消费者,如果没有消费者(年龄在13- 16岁之间的消费者)或消费者的父母或监护人的肯定选择,企业不得出售其个人信息。
- 删除权:除某些例外情况外,消费者有权要求企业删除其收集的任何个人信息。
- 非歧视权:企业不得因为消费者行使了本权利而歧视消费者。例如,该法规定对货物或服务收取不同的价格或费率,或提供不同水平或质量的货物或服务。对于酒店来说,这意味着忠诚度计划将受到审查,为了通过审查,他们的赞助商必须识别与使用个人信息的权利相关的价值,以及如何确定这些价值。
该法案授权加州总检察长对被发现违反CCPA任何条款的企业提起民事诉讼,并在接到被指控的违规通知后30天内未予纠正。企业可能会受到禁令和罚款2500美元的每一个违反,或7500美元的每一个故意违反。
除了检察长法案赋予消费者有限的行动CCPA下,如果消费者的非加密或nonredacted个人信息(术语定义的行为,这是一个更窄、更典型的定义个人信息发现在加州的预先存在的违约通知法律)受到未经授权的访问和漏出,盗窃,或因违反业务执行和维护合理安全程序的义务而被披露。在这种情况下,消费者可就每宗意外索取不少于100元及不多于750元的损害赔偿,或实际的损害赔偿,以较大者为准。
符合CCPA要求的酒店将需要实施新的陆虎沙发系统和程序来遵守法规。这些步骤如下:
数据映射:企业需要识别所有与他们收集的加州居民和家庭有关的个人信息,他们在哪里获得它,它位于哪里,谁使用它,用于什么目的。数据映射是一个重要的组成部分,允许业务来确定所需的信息添加新要求披露其隐私政策,准备数据访问、删除、和可移植性的请求,获得同意从父母或未成年人数据共享,并遵守从消费者选择退出请求。
隐私政策:《个人资料(私隐)条例》就适用的公众私隐政策订定具体规定,包括:
- 通知消费者个人信息将被收集和/或出售的类别、信息应使用的用途,以及个人信息将被披露或出售给第三方的身份
- 提供出售任何加州消费者个人信息意向的通知
- 描述加州消费者的权利,包括访问和删除的权利,以及选择退出的权利
- 提供“不出售”网页的独立链接
建筑安装企业
不出售:该法案要求每个业务提供一个清晰和明显的“不卖我的个人信息”链接业务的互联网主页,以及它的隐私声明,无论它收集数据,指导用户web页面使他们选择出售其个人信息。如果一个企业不出售个人信息,它必须明确地说出来。
访问请求:该法案要求每家企业至少为消费者指定两种提交数据访问请求的方法,其中之一必须是免费电话号码。业务必须在45天内对数据访问、删除和可移植性请求做出响应,因此将需要开发用于跟踪和响应请求的流程,以及应用可接受的验证流程。
验证:企业只能对经过验证的请求作出响应,因此它必须建立适当的程序来验证那些请求数据访问、删除或可移植性的人的身份和授权,以及对数据货币化的选择退出或选择返回。
受CCPA约束且尚未开始实施合规程序的酒店和酒店公司应立即开始合规流程。有谣言说联邦隐私立法会先发制人,但很明北京展销会显,在2020年CCPA生效之前,什么都不会通过。此外,即使联邦立法实施,它将不可避免地包含许多CCPA相同的基本条款,如要求透明度,权利访问和删除,退出销售和/或营销消费者数据的使用,和潜在的某种形式的不歧视条款。
酒店应考虑寻找使用CCPA的方法,并遵循CCPA,以使自己受益。隐私,尤其是当法律强加于人的时候,通常被视为一种费用,一种做生意的成本。酒店可以将隐私作为一种将自己与竞争对手区分开来的方式。在一个隐私日益被视为重要资产的环境中,酒店可以强调他们对与客人相同价值观的承诺。
山东海龙吧
经www.HotelExecutive.com许可,转载自《酒店业务评论》
