第1部分第1部分，共3部分：识别您控制的消费者数据

1. 1对收集的数据进行分类，以确定其是否属于CCPA。CCPA保护描述或可能与特定加利福尼亚居民或家庭相关的广泛类别的数据。首先列出你收集的数据类型，并将其分类，包括：个人标识符（姓名、邮政地址、IP地址、电子邮件地址、社会安全号码、驾照号码）、商业信息（个人财产、购买的产品或服务、消费历史或趋势）、互联网活动（浏览和搜索历史、与网站、应用程序或广告的互动）地理位置数据（位置服务）生物特征信息（指纹、面部模式、打字节奏）音频、电子、视觉或其他感官信息（照片、视频、声音文件）专业或就业相关信息（当前工作、持有的执照或证书）教育信息（获得的学位、就读的学校）

2. 2Map数据由您的企业在线和离线收集。映射数据时，需要指定从客户处收集的不同信息集之间的关联方式。通过查找您收集的所有数据之间的关系（包括在线和离线），您可以确定从每个客户收集的每一条数据。例如，假设您在客户在您的唱片店购物时收集客户的姓名和电子邮件地址。如果他们访问你的网站，你也会收集他们喜欢的乐队的名字。为了映射这些数据，你需要将商店中收集的姓名和电子邮件地址与你从网站访问中收集的乐队名称联系起来。然后，您还可以将这些信息中的每一组与他们在您的商店和网站上购买的商品联系起来。与欧盟的一般数据保护条例（GDPR）不同，CCPA适用于您的企业从加利福尼亚州消费者收集的所有消费者数据。如果您在该州有一家实体店，您从访问您商店的客户那里收集的数据也受到CCPA的保护。

3. 3确定系统中必须保存哪些数据。当客户在您的网站上删除其客户帐户时，您的系统中可能会保留有关他们的信息。弄清楚到底保存了什么信息、保存的原因、保存的时间和存储的位置。例如，如果您有30天退货政策，您可能需要保留过去30天内客户订单的信息，以防他们退货。在30天的重现期结束后，这些信息需要删除。如果通过此分析，您发现在客户删除其帐户后，您实际上不需要保留该信息，请调整您的系统，使信息不再保留。提示：根据CCPA，客户有权要求从您的系统中删除其所有个人信息，即使这样做会妨碍其充分利用您现有的产品和服务。

4. 4列出有权访问您收集的数据的供应商。如果您与其他企业或服务共享客户信息，它们必须遵守与您相同的隐私政策。这意味着，如果你被要求遵守CCPA，他们也会遵守，即使他们不会遵守。例如，假设您拥有一个智能手机游戏应用程序，允许您的用户将游戏链接到他们的Facebook个人资料。因为Facebook与你共享信息，所以你需要遵守CCPA（假设Facebook必须遵守），即使你自己从未从用户那里收集过任何数据。

5. 5对收集的数据进行完整的清点。根据《消费者保护法》，消费者有权要求您提供有关他们的所有个人信息的副本。通过给你一份清单，如果消费者要求，你可以向他们提供清单，从而确保你完全遵守法律。在您的数据清单中包括以下信息：您的数据使用是否包括信息销售哪些类别的数据可能会传输给第三方哪些类别的数据因属于其他法律而免于CCPA保护哪些数据是在12个月前收集的（12个月前收集的数据免于CCPA保护）

第2部分第2部分，共3部分：更新网站

1. 1收集客户数据时，为客户创建新的隐私通知。CCPA要求您在收集客户数据之前立即通知客户您正在保存他们的数据。请在通知中详细说明您保留数据的原因、您将如何处理数据、如何存储数据以及谁有权访问数据。包括消费者隐私权的相关信息，这些信息根据CCPA专门适用于加利福尼亚州的消费者，或者提供该法律的链接，以便您的客户可以在需要时了解更多信息。链接到您网站上的页面也会很有帮助，您的客户可以选择退出数据收集，或要求提供您已经拥有的个人信息列表。如果数据在一段时间后会自动删除，请在新的隐私通知中告知客户。例如，您的通知可能会这样写：“您的订单历史记录将保留30天，然后删除。此删除操作不会影响您的任何定期订单或重复交付的订阅。”。

2. 2.在主页上设计一个清晰、显眼的选择退出链接。为客户提供一种无需麻烦的方式来选择退出数据收集，以保护他们的隐私，如果他们愿意的话。你还可以简要描述他们在CCPA下的权利。例如，您的主页上角可能有这样一条文字：“如果您不想让我们保存您的个人信息，请单击此处选择退出。您也可以请求我们删除我们已经拥有的任何信息。谢谢。”当客户点击链接选择退出时，请附上一份关于其选择退出权利的声明，以及对您收集的数据以及您如何使用这些数据的描述，类似于隐私通知中所包含的内容。明确选择退出。你也可以发送一封自动生成的电子邮件，确认他们已选择退出，你将不再存储、使用或共享他们的个人信息。小贴士：对隐私声明进行规划，以便在您更改或更新隐私政策时，已经选择退出的客户不会被要求重新同意。

3. 3提供至少两种客户可以用来提交信息请求的方法。根据CCPA，客户有权要求您提供他们的个人信息，并要求删除这些信息。法律要求你提供至少两种方式让客户联系你的公司。如果你有一个网站，电子邮件联系页面通常是最简单的选择。创建一个文本表单，其中包含客户可以选择的选项，并将这些消息发送到相同的电子邮件地址，以便您能够高效地处理它们。作为第二种选择，您可能还可以使用自动电话线。你也可以提供一个地址，他们可以在那里给你邮寄表格，尽管这是客户访问他们的数据或要求删除数据的最不有效的方式。

4. 4包括为未成年人提供住宿以获得同意。CCPA对未成年人的个人信息有特殊保护。成年人自动选择加入并有权选择退出，而未成年人则自动选择退出。13至16岁的青少年可以同意你收集和使用他们的个人信息，但如果他们未满13岁，他们必须得到父母或监护人的同意。如果你在收集客户的个人信息之前还没有询问他们的年龄，你必须开始这样做，以确保你遵守法律。

第3部分第3部分，共3部分：加强数据安全

1. 1咨询您所在行业的其他人，以确定数据安全的最佳做法。贸易协会或您当地的小型企业协会是寻找能够共享最佳数据安全方法和策略的联系人的好地方。信息技术和安全要求将根据您所在的行业、收集的数据类型以及您对这些数据的处理方式而有所不同。例如，如果你经营一家服装精品店，为每周的时事通讯收集客户的姓名和电子邮件，你会有不同于收集客户健康和身体信息的健身公司的安全要求。认证信息系统安全专业人员（CISSP）还可以帮助您制定强有力的数据安全实践。去https://www.isc2.org/Certifications/CISSP#了解更多有关CISSP认证的信息，或在附近找到一位认证专业人士。

2. 2制定公司范围内的隐私政策。传达公司对保护客户线上和线下个人信息的承诺。包括每个客户在CCPA下的权利声明。该政策为您的客户提供有关您收集的信息类型以及如何使用这些信息的信息。它还描述了您的隐私和数据安全政策如何符合CCPA的法律要求。强烈声明您的客户有权选择退出您的数据收集，确切了解您对他们的信息，并将他们的所有信息从您的系统中删除。提示：虽然网上有一些模板可以用来制定隐私政策，但在与客户分享之前，最好让律师仔细阅读并确保其完全符合CCPA。

3. 3更新您的供应商合同，包括您的隐私政策。根据CCPA，如果你从客户那里收集个人信息，你有责任确保其保密。与您共享该数据的任何供应商或其他组织都需要遵守与您相同的隐私政策。通常，你会通过与这些供应商签订合同来实现这一点。包括一份你的隐私政策，并确保所有其他供应商都在上面签字。您可能还想独立验证他们是否有数据安全性，以提供与您相同级别的安全性。经过认证的信息安全专业人员可以为您评估他们的系统。

4. 4为所有员工提供必要的隐私和数据安全培训。处理客户数据的所有员工都需要了解您的新隐私政策和CCPA要求。此外，所有面向客户的员工都需要知道如何向客户解释CCPA，以及如何处理客户要求审查其数据或选择退出数据收集的请求。该培训是CCPA要求的。如果你在互联网上搜索“CCPA员工培训课程”，你会发现许多数据安全和隐私公司为员工提供CCPA合规培训。评估这些课程以及提供这些课程的公司，然后选择你认为最适合你团队的课程。

5. 5用模拟数据泄露训练你的团队。培训结束后，与负责数据安全的团队成员一起制定计划，以防数据泄露。进行实践演练，以确定并解决计划中的问题，并确保团队中的每个成员都确切地知道他们在违反计划时应承担的责任。进行一些未经宣布的训练也是一个好主意，这样你就知道你的团队已经准备好了。请记住，真正的数据泄露不会提前宣布。您需要确保您的数据安全团队准备好放弃一切，并立即处理漏洞。如果你为数据安全与外部公司合作，你仍然可以进行实践演练。让他们进行一次练习，这样你就可以看到他们的系统是如何工作的，以及一旦出现漏洞会发生什么。

6. 6审查并记录数据安全审计。让经过认证的信息系统安全专业人员或其他数据安全专业人员检查您的系统是否存在缺陷。他们将生成一份报告，你可以查看并计划如何修补系统中的漏洞，消除任何安全漏洞。至少每6个月进行一次审计。将数据安全审计结果存档。在准备运行新的审核之前，请查看上次审核的报告，并记下自那以后所做的所有更改或升级。

7. 7每12个月更新一次隐私政策。CCPA要求您至少每12个月审查一次涉及客户个人信息的所有隐私政策。进行任何反映技术变化或法律要求的更新。通知客户您已更改或更新隐私政策。你可以通过向他们发送电子邮件或在网站上创建一个点击窗口来实现这一点。如果你有实体店，在收银台附近和前门内侧放置带有新隐私政策的标志。

• 如果加利福尼亚居民的个人信息完全在加利福尼亚州以外的地方收集，CCPA不适用于该收集。例如，如果一位加利福尼亚居民参观了你在科罗拉多州的实体店，任何交易或信息交换都不属于CCPA。