加利福尼亚州消费者隐私法案(CCPA保护用户数据,制定严格的商业规则。了解如何遵守这些规则:
- 适用范围: 年收入超过 2.5 亿美元、拥有 5 万名用户以上、或销售数据收入占总收入 50% 以上的企业。
- 用户权利:
- 访问: 用户可以要求获取他们的数据。响应时间为 45 天。
- 删除: 用户可以要求删除他们的数据。响应时间为 45 天。
- opt-out: 用户可以停止数据销售。必须立即响应。
- 非歧视: 不论用户的隐私偏好如何,服务都应平等。
- Key Steps for Compliance:
- 创建一个安全的数据请求系统(网页表单、电子邮件或应用内)。
- 在处理请求之前,验证用户身份。
- 使用清晰的 隐私政策 并提供一个简单的“不出售我的个人信息”选项。
- 使用加密和安全存储保护数据。
快速提示:使用 Capgo 来实时更新您的应用的隐私功能,确保快速适应不断变化的法规。
如何遵守加利福尼亚州消费者隐私法案...
了解 CCPA 用户权利
开发者需要创建安全和用户友好的流程来处理每个用户数据权利的CCPA。
数据访问权利
当用户要求访问他们的数据时,提供以下详细信息:
| 数据类别 | 披露的信息 | 推荐格式 |
|---|---|---|
| 数据类型和来源 | 收集的数据类型及其来源 | 机器可读 (e.g., JSON, CSV) |
| 数据使用 | 数据处理和使用的说明 | 简明文本摘要 |
| 第三方访问 | 数据访问的第三方列表 | 结构化列表 |
| 保留时间框架 | 数据存储的时间 | 具体时间框架 |
一旦数据访问被授权,确保您有一个清晰可靠的数据删除流程以保持合规
数据删除流程
- 确认范围: 确认删除覆盖所有相关系统,包括主数据库、缓存、分析工具、第三方系统和备份。可能有例外情况,例如安全、法律义务、bug修复或正在进行的交易。
- 执行删除: 从所有适用的系统中删除数据并立即通知用户。包括删除时间戳和任何在例外情况下保留的数据详细信息。
处理访问和删除权限后,确保数据销售退出流程同样简单。
数据销售退出
提供一个易于找到且位于应用主屏幕或设置菜单的“不出售我的个人信息”选项。这个偏好应该快速生效并在所有应用版本中保持一致。
如果您的应用使用第三方分析或广告 SDK,确保这些服务与您的退出机制集成并及时尊重用户偏好。这确保了遵守法律并建立了与用户的信任。
处理 CCPA 数据请求
以下是如何安全地处理 CCPA 数据请求并保持合规:
设置请求系统
为用户提供安全的方式提交请求。选项包括:
- 使用 SSL 和验证码保护的网页表单
- 一个专注于隐私的电子邮件服务,具有自动回复功能
- 使用安全的 API 的应用内界面
确保记录并时间戳每个提交。根据类型组织请求以简化处理。
验证用户身份
使用以下两步过程来确认用户身份:
- 首先,通过注册电子邮件或帐户 ID 验证他们的身份。
- 然后,执行第二次检查,例如发送一次性短信 code 或询问安全问题。
对于移动应用程序,您可以依赖设备特定的标识符或身份验证令牌来增加安全性。
管理响应截止日期
一旦用户身份验证通过,就按照以下步骤来满足 CCPA 截止日期:
- 使用中央跟踪器记录每个请求,监控截止日期并跟踪进度。
- 记录所有详细信息,包括时间戳、验证方法、处理步骤和用户通信,以确保遵守法规并维护清晰的审计记录。
CCPA 合规指南
隐私政策更新
__CAPGO_KEEP_0__ __CAPGO_KEEP_1__ 确保隐私政策与CCPA要求保持同步。清晰地说明:
- 您收集的个人信息类型
- 您如何使用和共享此信息
- CCPA 下的用户权利
- 用户如何提交数据请求
使用简单明了的语言编写。例如,使用“根据”而不是“依据”。这使您的政策更容易理解并支持您的合规努力。
更新后,简化用户控制其数据的方式,包括退出数据共享
Opt-Out Implementation
在您的应用程序中包含一个“不出售或共享我的个人信息”选项。将其放置在用户可以轻松找到的地方,例如:
- 应用程序设置菜单
- 账户偏好
- 专门的隐私控制部分
支持 全局隐私控制(GPC)信号,以自动尊严用户隐私偏好。 功能
| 实现要求 | 用户体验 | Opt-Out 按钮 |
|---|---|---|
| __CAPGO_KEEP_0__ | 在应用设置中可见 | 一键激活 |
| GPC 信号支持 | 自动检测 | 后台处理 |
| 状态指示器 | 清除切换状态 | 视觉确认 |
| 偏好存储 | 安全本地存储 | 会话持续 |
此放弃追踪过程简单透明,帮助建立信任同时满足CCPA指南。将这些控制与强大的安全实践结合起来,以保护用户数据
数据保护方法
在所有阶段都使用严格的安全措施来保护数据。特别是敏感信息,所有数据传输都应加密。
为了安全的数据存储:
- 使用加密数据库
- 采用安全的密钥管理实践
- 定期进行安全审计
- 设置自动备份系统
当删除数据时,请按照数据删除部分中的步骤,确保从所有系统中完全删除。这些方法有助于保护用户信息并保持合规。
移动应用CCPA要求
应用权限控制
使用户能够以清晰易懂的方式管理其隐私设置的权限控制变得简单。
考虑创建一个专门的隐私设置界面,包括:
| 控制类型 | 实现 | 用户操作 |
|---|---|---|
| 数据收集 | 粒度开关 | 启用或禁用特定数据类型 |
| 位置服务 | 多级选项 | 选择数据精度(精确或近似) |
| 营销通讯 | 分类式 | 选择偏好联系方式 |
| 第三方分享 | 个人控制 | 每个数据合作伙伴的opt out |
将这些控制放在一个容易在应用程序设置菜单中找到的地方。要透明 - 清楚地解释收集的数据、为什么需要它、如何使用它以及与谁共享它。这一方法确保用户可以快速更新他们的偏好任何时候都需要。
使用 Capgo 更新
一旦你建立了强大的应用内控制,保持应用程序更新是保持合规的关键。Capgo 就是这样做的。它让你可以立即部署更新 - 不用等待应用商店批准。事实上,95% 的活跃用户在发布 24 小时内就接收到了更新 [1].
以下是 Capgo 的功能:
- 即时更新: 立即推送关键的隐私和权限更改
- 安全实施: 使用端到端加密,确保只有用户才能解密更新。
- 版本控制: 如果必要,可以回滚更新以保持一致性。
“We practice agile development and @Capgo is mission-critical in delivering continuously to our users!” - Rodrigo Mantica [1]
Capgo’s channel system also lets you test privacy updates with specific user groups before rolling them out to everyone. Currently, 750 apps rely on Capgo in production environments [1].
- 罗德里戈·曼蒂卡
__CAPGO_KEEP_0__ 的频道系统还允许您在测试特定用户组的隐私更新之前将它们推送到所有用户。
目前,750 个应用程序依赖于 __CAPGO_KEEP_1__ 在生产环境中
| 概要 | 主要点 |
|---|---|
| 处理 CCPA 数据请求涉及平衡用户隐私权与技术执行。以下是开发人员应优先考虑的主要重点: | 安全门户 |
| 隐私控制 | 详细权限设置 |
| 数据出售退回 | 清晰的流程 |
| 数据保护 | 端到端加密 |
对于移动应用,强大的权限控制是必不可少的。 Capgo __CAPGO_KEEP_0__ 简化了遵守法规的过程,通过实时更新支持 750 个生产应用 [1].
“Capgo is a must-have tool for developers who want to be more productive. Avoiding review for bug fixes is golden.” - Bessie Cooper [1]
速度很重要:95% 的用户在 24 小时内通过 __CAPGO_KEEP_0__ 接收更新 Capgo [1],确保快速遵守法规。
加州消费者隐私法(CCPA)遵守并不是一次性任务。需要定期进行审计和更新,以适应不断变化的规则并保护用户隐私。
