CCPA là gì? Tuân thủ Đạo luật Quyền riêng tư của Người tiêu dùng California

CCPA là một trong những đạo luật về lĩnh vực bảo mật an toàn thông tin nổi bật trên thế giới. Ra đời và có hiệu lực từ năm 2020. Đạo luật Bảo vệ Quyền riêng tư Người tiêu dùng California (CCPA) nhằm bảo vệ quyền riêng tư và dữ liệu cá nhân của khách hàng. Bài viết này, SQC Certification sẽ chia sẻ cho bạn CCPA là gì? Mục tiêu của đạo luật này? Đối tượng cần tuân thủ CCPA?

---

Đạo luật CCPA là gì? 

CCPA được viết tắt bởi California Consumer Privacy Act  – (Đạo luật quyền riêng tư người tiêu dùng California) có quy định quyền của người tiêu dùng California đối với dữ liệu cá nhân mà doanh nghiệp thu thập, lưu trữ, sử dụng hoặc chia sẻ, đồng thời nghĩa vụ pháp lý của doanh nghiệp trong việc bảo vệ và minh bạch thông tin đó. Luật này quy định về quyền được biết, quyền xóa, quyền từ chối chia sẻ dữ liệu và quyền không bị phân biệt đối xử khi thực hiện quyền riêng tư.

Ví dụ: Một công ty thương mại điện tử tại Mỹ triển khai quy trình cho phép khách hàng yêu cầu xóa dữ liệu cá nhân theo CCPA

Mục tiêu chính:

• Tăng quyền kiểm soát dữ liệu cá nhân cho người tiêu dùng
• Yêu cầu doanh nghiệp minh bạch về thu thập & sử dụng dữ liệu
• Giảm rủi ro lạm dụng, mua bán dữ liệu cá nhân
• Tạo dựng niềm tin đối với khách hàng và đối tác.
• Đảm bảo doanh nghiệp tuân thủ pháp luật, tránh bị phạt.

Việc tuân thủ CCPA (CCPA Compliance) là việc doanh nghiệp thực hiện đầy đủ các yêu cầu của Đạo luật quyền riêng tư người tiêu dùng California nhằm bảo vệ quyền riêng tư và dữ liệu cá nhân của khách hàng.

---

Đối tượng cần phải tuân thủ CCPA?

Hiện nay với mọi tổ chức có hoạt động thu thập, xử lý hoặc khai thác dữ liệu cá nhân của cư dân bang California đều cần xem xét nghiêm túc việc tuân thủ Đạo luật CCPA. Theo đó thì CCPA không chỉ tác động trong phạm vi California mà còn đóng vai trò tiền đề cho các đạo luật bảo vệ dữ liệu tương tự sẽ được ban hành tại nhiều bang khác của Hoa Kỳ, nhằm tăng cường quyền kiểm soát thông tin cá nhân cho người dùng.

Cụ thể, Đạo luật CCPA hiện nay có tiến hành áp dụng đối với các tổ chức đáp ứng ít nhất một trong các điều kiện sau:

• Doanh thu gộp hằng năm từ 25 triệu USD trở lên
• Thực hiện mua, bán hoặc chia sẻ dữ liệu cá nhân của tối thiểu 100.000 cư dân, hộ gia đình hoặc thiết bị tại California
• Từ 50% doanh thu hằng năm trở lên đến từ hoạt động mua bán thông tin cá nhân của cư dân California

Trong một số trường hợp, tổ chức phi lợi nhuận và cơ quan nhà nước có thể được miễn trừ khỏi một số nghĩa vụ cụ thể của CCPA. Tuy nhiên, phạm vi áp dụng của đạo luật này nhìn chung khá rộng, bao trùm hầu hết các tổ chức có liên quan đến việc thu thập, khai thác hoặc tiết lộ thông tin cá nhân cho mục đích hoạt động của mình.

Ngay cả những tổ chức hiện chưa xử lý dữ liệu của cư dân California cũng nên theo dõi và tìm hiểu CCPA, bởi các quy định tương tự hoàn toàn có thể được áp dụng tại các bang khác trong tương lai, ảnh hưởng trực tiếp đến chiến lược tuân thủ và mở rộng thị trường.

---

Đạo luật CCPA trao cho người tiêu dùng những quyền gì?

Đạo luật CCPA trao cho người tiêu dùng những quyền quan trọng sau:

• Quyền được biết: Người tiêu dùng cần được thông báo về những thông tin cá nhân nào mà một tổ chức thu thập về họ và thông tin đó được sử dụng như thế nào.
• Quyền xóa bỏ: Ngoại trừ một số trường hợp, người tiêu dùng có thể xóa thông tin được thu thập về họ.
• Quyền từ chối: Người tiêu dùng có thể ngăn chặn việc bán thông tin của họ cho bên thứ ba.

Quyền không bị phân biệt đối xử: Một tổ chức không được đối xử khác biệt với người dùng thực hiện các quyền theo CCPA của họ — chẳng hạn như tính phí cao hơn cho các dịch vụ thông thường. Tuy nhiên, có những lúc việc thực hiện các quyền theo CCPA ảnh hưởng đến các dịch vụ mà tổ chức có thể cung cấp; ví dụ, nếu người dùng của một trang web thương mại điện tử thực hiện “quyền xóa” và xóa tài khoản của họ, họ có thể không còn lưu được địa chỉ giao hàng hoặc thông tin thẻ tín dụng trên trang web đó nữa.

Giả sử ông A truy cập một trang web: “news.example.com” và trang web đó sử dụng cookie trình duyệt và theo dõi vị trí người dùng. Ông A đang tải trang web này trên máy tính xách tay của mình tại căn hộ ở San Jose, California. Vì ông ấy đang ở California, một biểu ngữ sẽ hiện lên khi ông A tải news.example.com, và biểu ngữ này thông báo cho Ông A về việc trang web sử dụng cookie và dữ liệu vị trí. Điều này xảy ra vì Ông A có quyền được biết .

Biểu ngữ cũng đưa ra cho Ông A một sự lựa chọn: Ông ấy có thể chọn không cho phép news.example.com bán thông tin về vị trí của mình cho các mạng quảng cáo bằng cách nhấp vào nút có nội dung “Không bán thông tin cá nhân của tôi“. Hoặc, Ông A có thể nhấp vào “Chấp nhận và tiếp tục” để cho phép việc bán dữ liệu này. Ông A có quyền lựa chọn vì cô ấy có quyền từ chối .

Hãy tưởng tượng Ông A nhấp vào “Không bán thông tin cá nhân của tôi” vì cô ấy muốn giữ kín vị trí của mình. Ngay lập tức, tất cả nội dung trên news.example.com bị khóa và Ông A không thể xem video hoặc đọc bài viết trên trang web nữa. Điều này sẽ vi phạm CCPA, bởi vì Ông A có quyền không bị phân biệt đối xử — news.example.com phải cung cấp các dịch vụ giống nhau với cùng mức giá cho Ông A như họ cung cấp cho những người dùng khác cho phép bán dữ liệu của họ.

---

Dữ liệu cá nhân theo CCPA gồm những gì?

CCPA định nghĩa rất rộng, bao gồm:

• Thông tin định danh: tên, email, số điện thoại, IP

• Dữ liệu trực tuyến: cookies, lịch sử duyệt web

• Dữ liệu vị trí

• Thông tin tài chính

• Dữ liệu sinh trắc học

• Dữ liệu suy luận (hồ sơ hành vi, sở thích…)

---

Nội dung của việc tuân thủ đạo luật CCPA

Đạo luật CCPA (California Consumer Privacy Act) hiện nay chính là đạo luật về bảo vệ quyền riêng tư dữ liệu cá nhân của người tiêu dùng tại bang California (Hoa Kỳ). Hiện tại thì đạo luật này có đưa ra những nội dung chính của CCPA thường sẽ tập trung vào quyền của người tiêu dùng cũng như những nghĩa vụ của doanh nghiệp một khi thu thập, sử dụng cũng như chia sẻ dữ liệu cá nhân.

Dưới đây là tóm tắt nội dung cốt lõi của đạo luật CCPA:

1. Phạm vi áp dụng của CCPA

Hệ thống đạo luật CCPA áp dụng cho các doanh nghiệp vì lợi nhuận thu thập dữ liệu cá nhân của cư dân California và đáp ứng ít nhất một trong các điều kiện: như doanh thu hàng năm từ 25 triệu USD trở lên. Thu thập, mua bán cũng như chia sẻ các dữ liệu cá nhân của từ hơn 100.000 người tiêu dùng hộ gia đình cũng như các thiết bị trở lên.

Hoặc đến từ 50% doanh thu trở lên đến từ việc bán hoặc chia sẻ dữ liệu cá nhân.

2. Dữ liệu cá nhân theo CCPA

Tuân thủ CCPA có đưa ra các định nghĩa về hệ thống dữ liệu cá nhân là mọi thông tin có thể xác định, liên quan hoặc mô tả một cá nhân, bao gồm:

• Thông tin định danh: họ tên, địa chỉ, email, số điện thoại, số CMND/CCCD, IP
• Dữ liệu thương mại: lịch sử mua hàng, thanh toán
• Dữ liệu trực tuyến: cookie, lịch sử truy cập web, định vị

Các dữ liệu sinh trắc học

Các thông tin nghề nghiệp, giáo dục

Suy luận hành vi, sở thích của người tiêu dùng

3. Quyền của người tiêu dùng theo CCPA

Người tiêu dùng California có các quyền sau:

Quyền được biết (Right to Know)

• Biết doanh nghiệp thu thập dữ liệu gì
• Mục đích sử dụng dữ liệu
• Bên thứ ba được chia sẻ dữ liệu

Quyền truy cập dữ liệu (Right of Access)

Yêu cầu doanh nghiệp cung cấp bản sao dữ liệu cá nhân đã thu thập

Quyền xóa dữ liệu (Right to Delete)

Yêu cầu xóa dữ liệu cá nhân (trừ một số trường hợp ngoại lệ)

Quyền từ chối bán/chia sẻ dữ liệu (Right to Opt-out)

Doanh nghiệp phải cung cấp nút “Do Not Sell or Share My Personal Information”

Quyền không bị phân biệt đối xử

Doanh nghiệp không được từ chối dịch vụ, tăng giá vì người dùng thực hiện quyền riêng tư

4. Nghĩa vụ của doanh nghiệp

Doanh nghiệp phải:

• Thông báo minh bạch về chính sách quyền riêng tư
• Cung cấp cơ chế tiếp nhận yêu cầu của người tiêu dùng
• Xác minh danh tính người yêu cầu
• Phản hồi yêu cầu trong 45 ngày
• Áp dụng biện pháp bảo mật hợp lý để bảo vệ dữ liệu cá nhân
• Đào tạo nhân viên về tuân thủ CCPA

5. Trách nhiệm với trẻ em

Dữ liệu của trẻ em dưới 16 tuổi chỉ được bán khi có sự đồng ý rõ ràng và với trẻ em dưới 13 tuổi cần phải có sự đồng ý cả cha mẹ hoặc người giám hộ.

6. Chế tài và xử phạt

Phạt hành chính: 2.500 USD/vi phạm (không cố ý) và phạt 7.500 USD/vi phạm (cố ý)

Người tiêu dùng có quyền khởi kiện nếu dữ liệu bị rò rỉ do doanh nghiệp không đảm bảo an ninh

7. CPRA – Bản mở rộng của CCPA

Từ năm 2023, CPRA (California Privacy Rights Act) mở rộng CCPA:

• Bổ sung khái niệm dữ liệu cá nhân nhạy cảm
• Thành lập Cơ quan Bảo vệ Quyền riêng tư California (CPPA)
• Siết chặt yêu cầu về chia sẻ dữ liệu và quảng cáo hành vi

---

Những lợi ích khi doanh nghiệp tuân thủ Đạo luật CCPA

Hiện nay việc tổ chức của bạn tuân thủ Đạo luật Quyền riêng tư của người tiêu dùng California (CCPA – California Consumer Privacy Act) thực tế không chỉ giúp doanh nghiệp đáp ứng yêu cầu pháp lý mà còn mang lại nhiều lợi ích chiến lược lâu dài trong bối cảnh bảo mật dữ liệu ngày càng được coi trọng.

1. Tránh rủi ro pháp lý và các khoản phạt lớn

Tuân thủ đạo luật CCPA giúp cho tổ chức giảm thiểu tốt các nguy cơ bị xử phạt hành chính, kiện tụng tập thể hoặc bồi thường thiệt hại do vi phạm quyền riêng tư dữ liệu cá nhân. Đây chính là một trong những điều đặc biệt quan trọng với các tổ chức có hoạt động liên quan đến thị trường Hoa Kỳ.

2. Nâng cao uy tín và hình ảnh thương hiệu

Tổ chức của bạn một khi tiến hành tuân thủ CCPA thể hiện cam kết mạnh mẽ đối với việc bảo vệ dữ liệu cá nhân của khách hàng. Việc này giúp cho tổ chức của bạn gia tăng hơn nữa mức độ tin cậy và củng cố được tốt hình ảnh thương hiệu một cách chuyên nghiệp và có trách nhiệm.

3. Tăng niềm tin và sự trung thành của khách hàng

Một khi người tiêu dùng mua sản phẩm của bạn có thể được minh bạch về cách dữ liệu của họ được thu thập, sử dụng và bảo vệ. Từ đó họ sẽ cảm thấy an tâm hơn khi sử dụng sản phẩm, dịch vụ. Từ đó, doanh nghiệp dễ dàng duy trì mối quan hệ lâu dài với khách hàng.

4. Cải thiện quản trị dữ liệu và an ninh thông tin

Đạo luật CCPA hiện tại và trong tương lai giúp thúc đẩy các tổ chức, doanh nghiệp rà soát, chuẩn hóa các quy trình thu thập, lưu trữ và xử lý dữ liệu cá nhân. Kể từ đó mà hệ thống quản trị dữ liệu trở nên khoa học hơn, giảm nguy cơ rò rỉ hoặc mất mát thông tin.

5. Tạo lợi thế cạnh tranh trên thị trường

Trong bối cảnh nhiều doanh nghiệp chưa tuân thủ đầy đủ các quy định về quyền riêng tư, việc đáp ứng CCPA trở thành một điểm cộng lớn, giúp doanh nghiệp nổi bật và dễ dàng được đối tác, khách hàng quốc tế lựa chọn.

6. Nền tảng để tuân thủ các quy định bảo mật khác

Việc tuân thủ đạo luật CCPA có thể giúp doanh nghiệp xây dựng nền tảng vững chắc để tiếp cận và đáp ứng các tiêu chuẩn, quy định bảo mật dữ liệu khác như GDPR, CPRA hay các khung quản lý an toàn thông tin quốc tế.

---

Những câu hỏi thường gặp về tuân thủ đạo luật CCPA

• Việc tuân thủ CCPA có giống với GDPR không?

Mặc dù đều là các khung pháp lý quan trọng về bảo vệ dữ liệu cá nhân và quyền riêng tư, CCPA (California Consumer Privacy Act) và GDPR (General Data Protection Regulation) không hoàn toàn tương đồng. Trước hết, hai đạo luật này áp dụng cho các phạm vi địa lý khác nhau, đồng thời sử dụng khái niệm pháp lý, yêu cầu tuân thủ và cơ chế xử phạt riêng biệt.

Việc doanh nghiệp đã tuân thủ GDPR không đồng nghĩa với việc mặc nhiên đáp ứng các yêu cầu của CCPA, và điều này cũng đúng theo chiều ngược lại. Do đó, các tổ chức cần đánh giá độc lập từng khung pháp lý để đảm bảo tuân thủ đầy đủ theo từng thị trường mục tiêu.

• CCPA có thay thế HIPAA không?

HIPAA (Health Insurance Portability and Accountability Act) là đạo luật liên bang của Hoa Kỳ, điều chỉnh việc bảo vệ quyền riêng tư và an toàn thông tin trong lĩnh vực chăm sóc sức khỏe. CCPA không thay thế và cũng không mở rộng phạm vi điều chỉnh của HIPAA.

Theo quy định, các thông tin sức khỏe cá nhân (PHI) đã được quản lý và bảo vệ theo tuân thủ HIPAA được loại trừ khỏi phạm vi áp dụng của CCPA. Tuy nhiên, các doanh nghiệp hoạt động trong lĩnh vực y tế vẫn cần xác định rõ ranh giới dữ liệu để đảm bảo tuân thủ đúng từng đạo luật liên quan.

• CCPA ảnh hưởng như thế nào đến việc sử dụng cookie?

Việc áp dụng tuân thủ CCPA ảnh hưởng lớn đến việc sử dụng lưu trữ Cookie người dùng. Được biết Cookie là các tệp dữ liệu nhỏ được website lưu trữ trên trình duyệt của người dùng nhằm ghi nhận thông tin như: lịch sử truy cập, hành vi duyệt web, tìm kiếm hoặc tương tác trên trang. Theo CCPA, những dữ liệu này được xếp vào nhóm “thông tin cá nhân” nếu có khả năng liên kết trực tiếp hoặc gián tiếp đến người tiêu dùng.

Dựa trên quyền được biết (Right to Know), CCPA yêu cầu các tổ chức phải minh bạch thông tin về:

• Loại dữ liệu được thu thập thông qua cookie
• Mục đích sử dụng dữ liệu
• Việc chia sẻ hoặc bán dữ liệu (nếu có)

Tuy nhiên, khác với một số khung pháp lý bảo mật khác, CCPA không bắt buộc doanh nghiệp phải xin sự đồng ý trước (opt-in) của người dùng khi sử dụng cookie. Thay vào đó, trọng tâm của CCPA là quyền từ chối (opt-out) và nghĩa vụ công khai, minh bạch thông tin.

---

Dịch vụ tư vấn tuân thủ CCPA tại SQC Certification

---