加州律法是否会保护你的企业？

目前，CPRA已经生效，企业关注的问题之一是“什么是企业的CCPA阈值测试的修改”，以及根据企业对企业和员工个人信息的新合规要求，该修改对小企业（例如年收入低于2500万美元的小企业）的影响。

与欧盟或英国通用数据保护条例不同，并非所有企业都必须遵守CCPA。非营利组织是从CCPA中分离出来的，它们在GDPR中被涵盖。界定小企业的界限并不明确。

CCPA由三部分阈值测试构成，用于确定是否需要合规性。如果一个企业符合这三个部分中的任何一个，那么它必须遵守法规。

似乎更容易解决的部分是收入和数据代理阈值。如果一家企业的年收入超过2500万美元，或从个人信息销售中获得50%及以上的收入，通常这些被称为数据经纪人，则其由CCPA负责。

第三个阈值涉及与业务相关的个人信息记录的数量或“计数”。这是分析更复杂的地方。

以下是此阈值的两个版本：

1月1日前生效的原始CCPA版本为：“（B）根据《加利福尼亚州民法典》1798.140，单独或联合，每年为商业目的购买、接收、出售或分享50,000或更多消费者、家庭或设备的个人信息”。

1月1日生效的CPRA修订版CCPA中写道：“（B）每年单独或联合购买、出售或分享100,000或以上消费者或家庭的个人信息”。代码1798.140。

2019年10月，我与人合着了《CCPA神话破坏者：并非所有记录都算数》一文，该文分析了最初的CCPA门槛，并质疑商业目的是否与商业目的同时存在。评论者将“商业”和“商业目的”混为一谈，以至于大多数营利性网站都被视为CCPA所涵盖。我和我的合着者对这个定义的看法比大多数评论家都狭隘。

CPRA修改版的CCPA删除了任何商业或商业目的的引用，以及基于个人信息记录计数的业务阈值测试中“接收”的引用。修订后的测试是企业是否购买、出售或共享个人信息。

“什么是企业”的新定义引发了一个问题：如果一个小企业不符合2500万美元的收入门槛，不是法规中定义的数据经纪人，也不是法规中规定的目标广告，那么该小企业是否会采取CPRA修改版CCPA不适用于其业务的立场？

自1月1日起，企业对企业和员工个人信息被纳入修订版CCPA，这大大提高了合规要求，尤其是对小公司。

总结如下

加利福尼亚州是美国的一个例外，因为弗吉尼亚州、科罗拉多州、康涅狄格州和犹他州的四项新隐私法豁免了这些类型的个人信息。

对于年收入低于2500万美元的小企业，这一解释可能意味着成本和资源的大幅减少。当然，企业必须进行适当的分析，以确定其不符合CPRA规定的“什么是企业”三个阈值中的任何一个，然后才能决定经CPRA修改的CCPA不适用于其业务。

*文章来源：iapp官网

*原标题：CPRA 修改后的 CCPA 是否适用于您的企业？

*整理编辑：A隐小私(yinxiaosi00)