1.征信pdf如何修改

CCPA法案（California Consumer Privacy Act）于2020年1月1日正式生效并投入使用，该法案被形容为美国史上最严格的信息保护法律条例该法案赋予了加州人民更多消费者权利的同时也给相关企业带来了更高的合规成本和违规风险。

2.征信pdf修改能看得出来吗

值得注意的是，CCPA不仅仅在加州具有影响力，其对美国其他州来说也具有非常高的立法借鉴意义，甚至有可能成为联邦统一立法的规定，因其最终立法目的是为了更好的保障人民的个人信息、隐私、及生活自由，防止企业对个人数据的非法采集与过度滥用

3.征信报告pdf修改要密码

。本文将着重分析CCPA新增权利义务内容以及受CCPA法案规制的企业合规工作的具体展开方式。

4.个人征信pdf文档编辑密码是多少

CCPA新消费者权2018年6月28日，美国颁布《美国加利福尼亚州消费者隐私法案California Consumer Privacy Act》（CCPA），该法案于2020年1月1日正式生效首先，CCPA为了消费者新增了多项个人信息保护权利，主要与企业收集的个人信息访问权限、删除和共享相关，。

5.个人征信pdf怎么修改

[1]具体权利内容如下：

6.个人征信报告pdf权限密码是什么

根据美国加州司法部公布的新CCPA情况说明书（fact sheet），加州消费者新增四项权利：1）知情权：消费者有权知道被收集、使用、共享或出售的个人信息内容和类别;2）删除权：消费者可要求企业及其服务提供商删除所持有的个人信息；

7.个人征信报告pdf加密了

3）选择退出权：消费者可选择退出或拒绝出售个人信息，必须为16岁以下的儿童提供选择加入同意条款，13岁以下儿童则额外需要父母或监护人同意许可；4）不受歧视权：消费者行使隐私权时，有权利在价格或服务方面不受歧视。

8.2020个人征信pdf文档修改

[2]从以上内容我们可以较为直观地体会到新CCPA对消费者保护力度的加大，而不像过去消费者向企业提供了数据，企业就能随意、永久、且不加限制地使用该数据在2019年10月10日，加州总检察长Xavier Becerra根据CCPA的要求正式发布了第一版的《实施条例》。

9.pdf征信报告怎么用手机修改

2020年2月10日，加州总检察长办公室发布了有关CCPA的拟议《实施条例》文本的修正通知，这次修正对象的正是第一版《实施条例》修正后的《实施条例》对CCPA一般定义和六个新增消费者权利进一步做了修订和详细说明。

10.征信报告pdf被加密

《实施条例》共有七个条文组成，分别为：一般性条款（针对命名、适用范围、定义、个人信息的范围进行了进一步规定说明）；消费者知情权（要求企业针对以下内容对消费者进行提示和披露：数据的收集、选择性加入或退出、数据商业使用目的、隐私政策）；消费者权利行使（企业保障消费者行使以下权利：知情权、选择性退出/加入权，删除权）；消费者权利行使的验证（Verification of Requests）；未成年人的个人信息保护；消费者不受歧视权（如何界定“歧视”及如何计算消费者个人数据价值）；法律效力层级规定。

需要注意的是，CCPA虽然于2020年1月1日公布，但加州总检察长将在2020年7月1日起对不满足法律要求的企业进行追责，企业有6个月的时间依据CCPA进行数据合规自查。

CCPA规制范围01适用主体范围6个月的合规时间对于某些企业来说异常紧迫，那么什么企业将会受到CCPA的规制？根据情况说明书，CCPA主要针对满足以下条件之一的企业：

1）拥有加利福尼亚居民信息并产生至少2500万美元年收入的任何公司；2）具有有关50,000或更多加利福尼亚消费者的个人数据；3）从销售个人数据中获得一半以上的收入根据规定，处理消费者个人信息超过400万的企业将承担额外的义务。

与此同时，以下几种企业不受CCPA约束：受《健康保险流通与责任法案》（Health Insurance Portability and Accountability Act）规制的医疗与保险企业，受《金融服务现代化法案》（Gramm-Leach-Bliley Act）规制的金融机构与企业，受《公平信赖报告法案》（Fair Credit Reporting Act）规制的征信机构。

[3]02CCPA保护对象CCPA保护的是消费者的个人信息，其定义依据加州Civil Code 1798.140(o)中“个人信息”的规定：“个人信息”系指直接或间接地识别、关系到、描述、能够相关联或可合理地连结到特定消费者或家庭的信息

，包括但不限于以下内容：(A)诸如真实姓名、别名、邮政地址、唯一的个人标识符、在线标识符、互联网协议地址、电子邮件地址、帐户名称、社会安全号码、驾驶证号码、护照号码的标识符或其他类似标识符(B)第1798.80节（e）条中描述的任何类型的个人信息。

(C)加州或联邦法律下受保护的分类的特征(D)商业信息，包括购买、获得或考虑过的个人财产，产品或服务的记录，或其他采购或消费的历史或倾向(E)生物信息(F)因特网或其他电子网络活动信息，包括但不限于浏览历史、搜索历史和关于消费者与因特网网站、应用程序或广告交互的信息。

(G)地理位置数据(H)音频、电子、视觉、热量、嗅觉或类似信息(I)职业或就业相关信息(J)教育信息界定为《家庭教育权利和隐私法案》（20 U.S.C. 1232g，34 C.F.R.第99部分）中所定义的非公开的个人可识别信息。

(K)从本条中已识别的任何信息中得出的推论，以创建反映消费者偏好、特征、心理倾向、偏好、倾向、行为、态度、智力、能力和资质的画像[4]除以上规定之外，《实施条例》§999.302对“个人信息”进一步明确并举例：如果企业收集其网站访问者的 IP 地址，但不将 IP 地址与任何特定的消费者或家庭相联系，并且不能将 IP 地址与特定消费者或家庭合理相联系，那么 IP 地址不是“个人信息”。

03排除“非个人信息”根据CCPA第1798.140节，“个人信息”不包含集合的消费者信息（指涉及个体消费者身份被删除的且无法（包括使用设备在内）与任何消费者或其家庭进行连结或合理关联的消费者群体或类型的信息。

“集合的消费者信息”并不意味着一个或多个已被去标识化的个体消费者记录）、公开可得信息（指从联邦、州或地方政府记录中可合法获取到的信息，如果符合与此类信息相关的任何条件“公开可用”并包括企业在消费者不知情的情况下收集的消费者的生物信息）、概率标识（指对消费者或设备的识别能达到一定的确定性，这种识别更可能不是基于个人信息定义所列举的类型中包含的或与之类似的任何类型的个人信息）。

等不能直接或间接地识别、关系到、描述、能够相关联或可合理地连结到特定消费者或家庭的信息。

企业CCPA合规步骤CCPA法案于2020年1月1日正式生效，对于受到CCPA规制的企业来说，目前最紧迫的任务便是做好与其相关的合规工作早在去年十月，数据安全方案提供商Egress就表示其将在19年底完成CCPA企业合规。

然而并不是所有企业都做好了迎接CCPA法案正式生效的工作Egress于同年11月发布了一项调查报告，该调查由Osterman Research研究公司开展，主要为了了解CCPA法案正式发布前企业安全团队的准备状态以及企业有无重大违反该法案的做法

报告显示，截止到2019年11月，仅有15%的企业具备完善的数据安全解决方案，59%的企业尚未就CCPA颁布后的相关工作提前做出预算，58%的企业着手或打算利用机器学习型系统来接替数据安全人工流程[5]。

进入“CCPA时代”企业应当如何开展数据合规工作？01准备工作首先，企业应对其所有的个人信息进行全面排查，存档或剔除一些老旧无价值信息上文我们对CCPA法案1.5（O）条款解读后推知，该法案保护的客体为“个人可识别信息。

”由此企业应对其拥有的有价值信息进行分类，将其中“个人可识别信息”提取出来，按照CCPA法案施加给企业的义务进行保护前期工作充分，既能节约合规成本，又可以做到精准保护02根据CCPA法案赋予消费者权利展开合规工作

CCPA法案赋予消费者知情权、删除权、选择退出权、不受歧视权，下文将依据这四项权利给出合规解决方案1. 充分保证消费者知情权在向新用户收集信息时，企业应当有效提示消费者其正在被收集，并告知其被收集、使用、共享或出售的个人信息内容及类别；针对此前。

未经消费者许可收集的个人可识别信息，企业应当积极征得信息主体的同意，并告知其被收集、使用、共享或出售的个人信息内容及类别；针对此前收集的已征得消费者同意的信息，企业可以根据此前向消费者收集信息时告知工作充分与否来选择是否进行二次告知。

另外当消费者请求查阅留存于企业的个人信息时，企业应当在规定时限、以合理的方式和内容将相关信息交予请求人，对此CCPA6.1（a）(1)进行了详尽规定, “企业在收到消费者（已核实身份）请求后的45天内，应免费向消费者披露并提供所需信息。

企业应当在收到消费者请求后立即着手核实其身份，核实身份所消耗的时间包含在45天内只有在合理且必要的情况下，企业提供消费者所需信息的时间段可再延长45天，但前提是第一个45天期限内企业向消费者发出了延期通知。

披露内容应涵盖企业收到消费者请求前的12个月，并以书面形式提交，如果消费者持有该企业的用户账户，则应通过消费者的用户账户交付，如果消费者未开设该企业的用户账户，则可通过邮件或其他消费者自行选择的电子方式来交付。

但不论利用哪种方式，都应允许消费者在不受阻碍的情况下将这些信息从一个实体传输到另一个实体企业可根据消费者所请求的个人信息性质在合理范围内对消费者进行身份验证，但不得为核验身份要求消费者创建该企业的用户账户。

如果消费者持有该企业的用户账户，则企业可要求消费者通过用户账户提交请求”2. 辅助消费者行使删除权法案表示，消费者可要求企业及其服务提供商删除其个人可识别信息那么此时，企业如有余力便可以提前做好相关工作来辅助消费者行使其删除权。

例如：利用网络收集信息的企业，可以在个人信息设置中添加信息删除项，但在消费者行使其删除权利前应当对其身份信息进行验证企业自然也可以选择被动等待消费者提出删除请求，并在规定时限内给出反馈，但这难免会浪费人力、财力。

3. 保障消费者选择退出权消费者有权选择退出或拒绝企业出售其个人信息针对选择退出权，企业必须在其网站或者移动客户端上添加“拒绝出售个人信息”选项, “For requests to opt-out, businesses must providea ‘Do Not Sell My Info’ link on their website or mobile app.” [6]。

值得注意的是，当用户主动启用隐私设置，即应视为用户在行使选择退出权“As proposed by the draft regulations, businessesmust treat user-enabled privacy settings that signal a consumer’s choice toopt-out as a validly submitted opt-out request.” [7]。

如果先前客户行使选择退出权拒绝企业售卖其个人信息后，想要参与另外需要出售披露其个人信息的交易或者服务，企业应当告知本次交易服务将要出售披露其个人信息，并指导消费者如何选择加入4. 不歧视消费者企业应在价格或服务等方面平等对待行使过隐私权和未行使过隐私权的消费者，否则将存在触犯CCPA法案的风险。

CCPA法案修改稿对消费者的不受歧视权进行了举例阐释Example: Amusic streaming business offers a free service as well as a premium servicethat costs $5-per-month. If only the consumers who pay for the music streamingservice are allowed to opt out of the sale of their personal information, thenthe practice is discriminatory, unless the $5 per month payment is reasonablyrelated to the value of the consumer’s data to the business.[8]。

该案例提及：一家音乐媒体公司不仅提供免费服务，还提供每月5美元的付费服务如果只允许付费用户选择不出售其个人信息，那么这种做法是带有歧视性的，除非每月5美元的费用与消费者数据对企业的价值有合理相关性03其他工作

1. 披露工作根据法案规定，企业须披露为保留或出售消费者个人信息而提供的财务激励，并说明如何计算个人信息的价值企业还应向客户解释其财务激励的合规性；2. 记录留存 企业必须留存24个月内消费者行使CCPA法案下权利的记录和其自身对请求的响应记录，以证明合规性；此外，对于收集、购买或出售超过400万消费者个人信息的企业，CCPA法案施加了额外的记录义务和培训义务。

3. 引入个人可识别信息安保系统 企业可以尝试建立信息安保系统来维护个人资料的安全，防止其所有的个人信息遭受外来威胁及未经授权的查阅，并不断检阅个人信息及企业对其所有的权限4. 尝试建立专业的CCPA合规团队。

新用户的加入会带来新的信息数据，同时也将带来新的法律问题，如果企业想要做到万无一失，可以组建专门的CCPA合规团队对该问题进行长久系统的研究。

CCPA与GDPR双重合规加州消费者隐私法(CCPA)和欧盟一般数据保护法规(GDPR)是两个不同的法律框架，规制不同的范围、拥有不同的定义和要求但是CCPA法案的配套施行措施中提及CCPA施行后企业应当如何同时做好CCPA与GDPR两项法案的合规工作，其原因大概率是同时受这两项法案规制的企业数量较大。

比如，美国加州企业要做数据出境到欧洲，那么必须满足CCPA和GDPR的双重合规要求因此，同时受GDPR和CCPA两法规制的企业，将在CCPA法案下承担额外的义务：1. 在GDPR下，公司必须进行数据清查和数据映射工作，以进一步创建记录来证明合规。

而额外的数据映射对于反映CCPA下的不同需求可能很重要；2. 根据GDPR法案，公司必须开发流程和/或系统，来响应消费者获取个人信息和删除个人信息的请求而这些流程和/或系统可以用于处理CCPA消费者请求，尽管企业可能需要审查和协调个人信息的不同定义和验证消费者请求的适用规则；。

3. GDPR法案提及，公司必须在隐私政策中披露数据隐私实践而CCPA则更进一步要求公司在全面的隐私政策中披露具体的商业行为许多经营商业网站和在线服务的加州公司必须根据《加州在线隐私保护政策》发布隐私政策，同时还需要为CCPA更新其隐私政策；。

4. 根据GDPR法案，公司必须起草并与服务提供商(“处理商”)签署书面合同。而在CCPA法案下，公司可能还需要审查这些合同，以反映法案的要求。[9]

不满足CCPA合规要求的处罚CCPA存在两种惩罚机制：一是来自加州总检察长以加利福尼亚州公民的名义提起的民事诉讼；二是来自消费者个人的损害赔偿诉讼01总检察长起诉及限制如前文提到，加州总检察长将于2020年7月1日正式开始对不满足CCPA合规要求的企业展开调查追责。

对于总检察长的起诉，根据SB 1121规定：“本法案将规定在总检察长提起的诉讼中，每次违规行为的民事罚款不超过$ 2,500，每次故意违规行为的民事罚款不超过$ 7,500，并将提供禁制令作为救济措施” 此外，为了防止罚款的滥用，CCPA对罚款进行了限制，其中最重要的是改正期（cureperiod）制度。

根据Section 1798.155(b)：“如果一家企业在接到被指控的违规通知（being notified of alleged noncompliance）后 30 天内未能纠正任何被指控的违规行为

，则该企业将违反本标题规定任何企业、服务提供商或其他违反本标题的人应受到禁令的约束，并就每次违规承担不超过 2500 美元的民事罚款，或者每次故意违规民事罚款不超过 7500 美元，前述民事罚款将由总检察长以加利福尼亚州公民的名义提起的民事诉讼中予以评估和追偿。

”CCPA针对罚款规定了30天的改正期，且罚款启动的前提条件是，企业在收到总检察长发出的不合法通知（notice of noncompliance）后的30天，仍然没有改正，就要承担相应惩罚后果02消费者个人损害赔偿起诉及限制

除了公诉权，根据SB 1121, Dodd. California Consumer Privacy Act of2018（3），CCPA也赋予个人一定情形下（仅限未经授权的访问和泄露、盗窃或披露消费者未加密或未编辑个人信息等特定行为）的损害赔偿请求权。

首先，CCPA限制了私人诉讼中未经授权的访问和泄露、盗窃或披露消费者未加密或未编辑个人信息的范围根据1798.81.5(d)(1)(A)“未加密和未经授权的个人信息”范围如下：“社会保险号；在通常用来验证特定个人身份的政府文件上发布的驾驶执照号码、加利福尼亚身份证号码、税号、护照号码、军事身份证号码或其他唯一的身份证号码；帐号或信用卡或借记卡号，以及允许访问个人金融账号的任何必需的安全码、访问码或密码；医疗信息健康保险信息；从人体特征的测量或技术分析（例如指纹，视网膜或虹膜图像）生成的独特生物统计数据，用于对特定个人进行身份验证。

除非用于面部识别目的，否则唯一的生物识别数据不包括实体或数字照片” 只有针对这几类特定极为敏感的个人信息，公民个人才有资格提起诉讼其次，对于来自个人的起诉，根据Civil Code 1798.150规定：“

为每个消费者每次事件赔偿不少于一百美元（100美元）且不超过七百五十美元（750美元）的损害赔偿金或实际损害赔偿金，以数额较大者为准”这里存在两种赔偿方式：1）法定损害赔偿金；2）实际损害赔偿金对于第一种法定赔偿金，CCPA规定存在治愈期间，根据1798.150(b)：“在基于个人或全类别的法定损害发起针对企业的任何诉讼之前，。

消费者提前30天提供书面通知，表明消费者声称企业已经或正在违反本标题之具体规定在可以改正的情形下，如果在30天内企业实际上改正了被通知到的违规行为，并向消费者提供明确的书面声明，表明违规行为已经改正，并且不会再发生违规行为，。

则不会发生基于个人或全类别的法定损害赔偿诉讼”对于第二种实际损害赔偿金，则没有治愈期间：“对于在个人消费者仅为因企业涉嫌违反本标题而针对其遭受的实际金钱损失而提起诉讼之前，不需要发出通知”因此，CCPA对公司法务及咨询律师来说是个非常重要的合规条例，除了防范来自国家公权力的追责，也需要格外警惕来自个人的集体诉讼可能。

CCPA对中资企业及中国立法趋势的影响01对中资企业影响就中国国内企业而言，当符合CCPA规制主体范围的则需要届时做好数据合规的准备：除了结合CCPA及其修正案规定进行数据地图摸排、更新隐私政策、加强数据安全保护、制定数据安全事件流程、采用合同等手段控制销售个人信息环节的风险等常规数据隐私合规事项外，还需要全面落实和应对CCPA新增的消费者权利，防范被诉风险。

[10]02对中国立法趋势的影响各个国家的个人信息保护立法无疑是在个人数据权利保护和数据自由流通之间做平衡取舍欧盟的《一般数据保护条例》（GDPR）更侧重于保护个人数据的权利，而美国则更为关注信息数据的自由流通所带来的巨大经济价值，那么中国的未来的立法将会如何取舍是很值得研究探讨的。

通过以往的学习研究，GDPR对中国的《个人信息保护法（专家草案）》和正在制定的《数据安全法》有非常大的影响，甚至国家标准《个人信息安全规范》也全面借鉴了GDPR的精髓[11]但是如此“粗暴”的法律移植真的符合中国数据安全保护和数据自由流通的双重要求吗？答案是否定的。

根据上海交通大学数据法律研究中心执行主任何渊副教授的观点，GDPR并不符合中国数据立法的目的和整体利益要求，并总结其原因有以下四点：“一是，历史原因由于希特勒德国通过个人信息的收集实施对犹太人的全面迫害，这让欧洲人民心有余悸，对隐私权利格外珍惜，并将其上升为宪法上的基本权利，即信息自决权；。

二是，作为通用数据立法的GDPR是统一欧盟数字市场的最佳工具；三是，通过输出严格的数据保护规则，以便在与美国和中国的贸易谈判中占据法律优势和道德制高点比如欧盟和美国之间先后形成了“避风港”原则和“隐私盾”原则。

四是，GDPR制定严格的个人数据保护规则也与欧盟缺少世界领先（前20强没有一席）的互联网公司也有关系”[12]根据何教授总结的上述原因，可以看出GDPR对数据分外严格的保护并不符合中国的国情和现实要求，也不符合中国的整体利益和未来数字经济的长远发展。

因此，何教授认为CCPA才是中国数据立法的借鉴对象，并给出以下几点理由：其一，美国CCPA模式更加强调“数据的自由流动”和“数字经济的发展”，更符合中国的整体利益和长远利益。

*图片来源：王融、吴怡：“美欧隐私立法是否走向趋同？加州消费者隐私法CCPA给出答案”，腾讯研究院公众号根据上图，我们重点看一下GDPR和CCPA对于被遗忘权（删除权）的态度GDPR关于被遗忘权的规定可谓非常超前，赋予公民极大的自由删除自己的信息，且除非是出于为公共利益、科学或者历史研究目的、数据统计目的，或者为了法律辩护需要时可以不被删除。

相比欧盟的GDPR，美国的CCPA对被遗忘权的行使设置了非常多的限制，这也侧面体现了CCPA对数据自由流动及其经济价值的看重除此之外，美国对隐私权利的保护事实上是很严格的事实上，美国对个人数据及权利保护并不像想象中的那么宽松。

[13]如前文提到，美国在不同领域都有特殊立法对信息数据进行保护  因此，结合我国的现实国情，从个人数据权利保护和数据自由流通之间做平衡相对于欧洲出于历史、政治、特殊国情等原因出台GDPR对数据流通做出严格规制，我国更有可能遵从CCPA立法目的及立法方式，有紧有松，在保护个人信息数据的权益同时促进数据流通所带来的经济利益，也给予企业足够的时间喘息，调整数据收集、利用、共享、出境、删除的合规操作。

[1]California Consumer Privacy Act (CCPA) | State of California – Department ofJustice – Office of the Attorney General：https://www.oag.ca.gov/privacy/ccpa

[2]图片来自Microsoft Word – CCPA Fact Sheet.docx：https://www.oag.ca.gov/system/files/attachments/press_releases/CCPA%20Fact%20Sheet%20%2800000002%29.pdf

[3]California Consumer Privacy Act (CCPA) Compliance Guidehttps://www.varonis.com/blog/california-consumer-privacy-act-ccpa/#preparation

[4]《 美国加利福尼亚州消费者隐私法案（CCPA）修正案汇总（中译文）》，数据保护官沙龙（DPO Salon）公益出品[5]New ReportReveals Less Than Half of Businesses Are Prepared to Comply with the CaliforniaConsumer Protection Act (CCPA)，Information Technology, 2019.11.20.。

[6]CCPA Fact Sheet, P1.[7]同上[8] CCPA Text of Mod Clean, P27.[9]同前注[2][10]同前注[4]，第4页[11]何渊：“为何CCPA比GDPR更适合供中国正在进行中的数据立法借鉴？！| DataLaws”，数据法盟公众号。

[12]同上注[13]同上注本文作者曹雪娇、赵星宇，系北京市京师（深圳）律师事务所数据合规项目组成员本项目组致力于数据合规、网络安全以及互联网新经济领域研究，聚焦于企业系统性合规体系构建，注重法律风险识别及管理、企业数据合规体系构建及内控制度建设、企业投融资及资本运作、新经济领域刑民交叉、刑行交叉风险防范等领域的研究，并提供上述领域的专业性法律服务。

项目组邮箱：jingshfansq@163.com，欢迎与我们联系。