เจตนารมณ์ของรัฐบัญญัติฉบับนี้คือการมอบสิทธิ์ดังต่อไปนี้ให้กับผู้พำนักอยู่ในรัฐแคลิฟอร์เนีย:

1. สิทธิ์ที่จะทราบว่ามีข้อมูลส่วนตัวใดบ้างที่ถูกเก็บรวบรวม
2. สิทธิ์ที่จะทราบว่าข้อมูลส่วนตัวถูกขายหรือเปิดเผยหรือไม่ และข้อมูลดังกล่าวถูกขายหรือเปิดเผยให้ใคร
3. สิทธิ์ที่จะปฏิเสธไม่ให้ข้อมูลส่วนตัวถูกขาย
4. สิทธิ์ที่จะเข้าถึงข้อมูลส่วนตัวของตนเอง
5. สิทธิ์ที่จะขอให้ธุรกิจลบข้อมูลส่วนตัวใดๆ เกี่ยวกับผู้บริโภคที่ถูกเก็บรวบรวมจากผู้บริโภคคนนั้น[9]
6. สิทธิ์ที่จะไม่ถูกเลือกปฏิบัติเมื่อใช้สิทธิ์ในความเป็นส่วนตัวของตนเอง

เงื่อนไขในการปฏิบัติตาม

กฎหมาย CCPA มีผลบังคับใช้กับธุรกิจใดๆ รวมถึงองค์กรที่แสวงหากำไรใดๆ ที่เก็บรวบรวมข้อมูลส่วนตัวของผู้บริโภค ที่ประกอบธุรกิจในรัฐแคลิฟอร์เนีย และมีลักษณะตรงกับหลักเกณฑ์ข้อใดข้อหนึ่งดังต่อไปนี้:

• มีรายได้สุทธิต่อปีเกิน 25 ล้านดอลลาร์
• ซื้อหรือขายข้อมูลส่วนตัวของผู้บริโภคหรือครัวเรือน ตั้งแต่ 50,000 หน่วยขึ้นไป
• ได้รับรายได้จากการขายข้อมูลส่วนตัวของผู้บริโภค มากกว่ากึ่งหนึ่งจากรายได้ต่อปี

องค์กรจะต้องมีการจัดเตรียมและคงไว้ซึ่งขั้นตอนและวิธีปฏิบัติในการรักษาความปลอดภัยอย่างเหมาะสม[10]เพื่อคุ้มครองข้อมูลของผู้บริโภค

ความรับผิดชอบ

• จัดเตรียมขั้นตอนในการได้มาซึ่งความยินยอมที่จะแบ่งปันข้อมูลเพื่อวัตถุประสงค์ต่างๆ โดยต้องได้รับความยินยอมจากบิดามารดาหรือผู้ปกครองสำหรับเยาวชนที่มีอายุน้อยกว่า 13 ปี และความยินยอมจากตัวเยาวชนเองในกรณีที่มีอายุระหว่าง 13 ถึง 16 ปี
• หน้าแรกในเว็บไซต์ของธุรกิจจะต้องมีลิงก์ “ห้ามขายข้อมูลส่วนตัวของข้าพเจ้า” (Do Not Sell My Personal Information) ซึ่งเมื่อคลิกแล้วจะนำผู้ใช้ไปสู่เว็บเพจที่ทำให้ตัวผู้ใช้เอง หรือผู้ได้รับมอบอำนาจ สามารถขอถอนความยินยอมจากการขายข้อมูลส่วนตัวของตนเอง[11]
• กำหนดให้มีวิธีในการยื่นคำขอในการเข้าถึงข้อมูล อย่างน้อยหนึ่งในวิธีนั้นคือ การยื่นคำขอผ่านหมายเลขโทรศัพท์ที่ไม่เสียค่าใช้จ่าย[12]
• ปรับปรุงนโยบายความเป็นส่วนตัวให้ระบุข้อมูลใหม่ตามกฎหมาย รวมถึงคำอธิบายสิทธิ์ของผู้พำนักในรัฐแคลิฟอร์เนีย[13]
• หลีกเลี่ยงการขอความยินยอมอีกครั้ง ภายใน 12 เดือนหลังจากที่ผู้พำนักในรัฐแคลิฟอร์เนียขอถอนความยินยอม[14]

วิธีการบังคับ

• บริษัท นักรณรงค์ องค์กร และอื่นๆ สามารถได้รับอนุญาตให้ใช้สิทธิ์ในการถอนความยินยอม ในนามของผู้พำนักในรัฐแคลิฟอร์เนีย[5]
• บริษัทที่ตกเป็นเหยื่อของการโจรกรรมข้อมูล หรือการรั่วไหลทางข้อมูลอื่นๆ สามารถถูกสั่งโดยศาลในคำพิพากษาจากคดีที่ฟ้องในนามกลุ่มบุคคล ให้ชดใช้ค่าเสียหายเป็นมูลค่าตั้งแต่ 100 ดอลลาร์ถึง 750 ดอลลาร์ต่อผู้พำนักในรัฐแคลิฟอร์เนียและต่อกรณี หรือค่าเสียหายตามจริง อย่างใดก็ตามที่มีมูลค่ามากกว่า รวมถึงมาตรการเยียวยาอื่นใดที่ศาลเห็นสมควร โดยสำนักงานอัยการรัฐแคลิฟอร์เนียสามารถเลือกที่จะดำเนินคดีกับบริษัทโดยไม่ต้องรอให้มีผู้ใดฟ้องคดีแพ่งเสียก่อน[5]
• ค่าปรับไม่เกิน 7,500 ดอลลาร์ต่อการละเมิดกฎหมายโดยเจตนาในแต่ละกรณี และไม่เกิน 2,500 ดอลลาร์ต่อการละเมิดกฎหมายโดยไม่เจตนาในแต่ละกรณี[5]
• ประกาศเกี่ยวกับความเป็นส่วนตัวจะต้องเข้าถึงได้ และมีรูปแบบอื่นเป็นทางเลือกเสริมพร้อมชี้แจงอย่างชัดเจน[15]