CCPA专题-学习一点数据安全隐私

前言：笔者持有CISA、CIPM等多项认证，目前安全咨询总监，开展多项数据安全隐私项目，经验丰富。

开此专题的初衷为，近年来数据安全、安全运营专题火热，但数据隐私仍然为行业市场关注的热点，存在有大的商机机会，笔者希望通过自己的经验，给到大家最好的数据安全隐私建设的指导，避免绕弯路，毕竟学习过程曲折，所以大家如果感兴趣这个板块，请持续关注！创作不易，在熬夜学了无数的知识、项目积累过程中，希望能够成体系对大家的隐私建设工作起到帮助。

而隐私重中之重是还是要懂法，法条还是要看的，安全也要研究的，如果法条不看直接去提供服务，势必又会回到行业目前现状“忽悠专家”，我之前也写过，希望这个市场不是“忽悠”为佳。

CCPA-篇章大致的规划详述

CCPA介绍上就不详述了，篇章1、2部分重点围绕第一步法条研究，这部分工作很多安全公司会委托律所进行，但涉及到安全的板块，及法条部分，其实安全公司完全可以尝试下，那篇章1废话不多说，第一步基于法条来看，CCPA重点强调消费者权利，因此我们需要对法条以及分布，有非常清晰的认识，而法条为全英，对于很多小伙伴读起来不友好，那我就把这部分，给大家归纳总结好，主打一个“保姆式”服务，所以也希望大家多多加更。

因此第一章聊聊：个人信息主体权益保护的要点在大范围的立法篇章中包含哪些模块？他们之间的关系如何，具体的法条要求的部分在哪里？（这部分笔者看了大量的素材，综合专业知识，尽可能用最通俗的划分给到大家明确，此部分有助于后期拆解跟隐私安全相关的要点的基础，尤为重要）。

CCPA-基于个人信息主体权益保护的要点

第一步研究应当为对法条所涵盖部分的信息检索及收集，因此，我们需要对法条进行细致梳理研读，网络上非常多版本概括，我做了一些总结，比较靠谱的大家可以看以下部分：

根据CCPA法案具体要求，通篇围绕来看，拆解研究所有的法条，可概述为以下几项部分

知情权： 个人有权知道其个人信息被收集、使用、披露的目的。

访问权： 个人有权请求访问其被收集的个人信息。

删除权： 个人有权请求删除其被收集的个人信息。

拒绝销售权： 个人有权拒绝其个人信息被出售。

平等服务权： 个人有权享有平等的服务和价格，不因行使其CCPA权利而受到歧视。

未成年人数据保护： 针对未满16岁的未成年人，需获得明确的授权同意。

CCPA-基于个人信息主体权益保护的法条（位置对应）

知情权：CCPA法案第1798.100至1798.199章节，重点在1798.110（a）和1798.130

访问权：CCPA法案第1798.100至1798.199章节，以1798.110（a）和1798.130中涉及到的访问为依据，分散在法条各个部分。

1798.110（a）

例如1798.199.15（e）,

1798.140(q)(2)中，针对涉及教育系统数据收集访问规定（request以1798.110为依据）：

Regulations Issue1798.185（14）中“maximizing最大限度提升消费者访问个人数据的权利”

1798.145 Exemptions-Maintaining免除声明（j）（3），（a）（4）

（a）（4）紧急访问说明

1798.140-Definitions（f）：基于1798.110篇章的“collects”部分强调访问权。

删除权：CCPA法案第1798.100至1798.199章节，重点在1798.105

1798.105整章，对删除权约束

1798.145Exemptions免除声明部分

1798.130定义

拒绝销售权：CCPA法案第1798.120章节

1798.120整章（其他为补充强调）

1798.145（o）（1）

平等服务权：CCPA法案第1798.125章节

未成年人数据保护权：CCPA法案第1798.120章节

1798.120章节，通常要求为监护人授权

CCPA-法条+研读后的实际使用用法

这个部分的使用方法非常多，首先省掉了大家查阅的时间，大家可以使用起来，变更后形成以下的几个方向：

（1）相关规则解读

（2）咨询工作对标依据

（3）立法研究的第一步

（4）知晓了解CCPA涉及个人信息权益保护部分的要点

CCPA-下一篇章介绍

下篇会围绕数据隐私安全及实施要点，给大家开展进行方法的详细说明，大家可以蹲一波！后续这个话题会做成一个具体的输出专栏，请大家持续关注，感谢。