2018 年美國(guó)加州通過(guò)消費(fèi)者隱私法案(CCPA)，緩沖一年多后，將于 2020 年 1 月生效。屆時(shí)，類似于歐盟的法案，CCPA 將對(duì)所有和美國(guó)加州居民有業(yè)務(wù)的數(shù)據(jù)商業(yè)行為進(jìn)行監(jiān)管。

依然在應(yīng)付歐盟數(shù)據(jù)保護(hù)法案(GDPR)的公司可能需要面臨更多的問(wèn)題了——美國(guó)的數(shù)據(jù)保護(hù)法案很快就要出爐。

加州消費(fèi)者隱私法案(CCPA)即將于明年 1 月生效，現(xiàn)在只有 3 個(gè)月不到的時(shí)間去準(zhǔn)備了。此外，以紐約州為起點(diǎn)，更多的法案正在美國(guó)多個(gè)州陸續(xù)生效。

CCPA 法案和 GDPR 類似，不論公司的地理位置在哪里，只要公司服務(wù)的消費(fèi)者群體有加州和紐約州居民，則公司必須遵守法律，否則會(huì)遭到罰款。

GDPR 在歐洲生效后，互聯(lián)網(wǎng)行業(yè)已經(jīng)被罰款了無(wú)數(shù)次。第一年，超過(guò) 90,000 的商業(yè)公司主動(dòng)報(bào)告了數(shù)據(jù)漏洞，以便符合 GDPR 的要求。同時(shí)，還有超過(guò) 145000 起消費(fèi)者投訴。

在 2019 年 1 月，谷歌向法國(guó)當(dāng)局支付了 5000 萬(wàn)歐元的罰款，因?yàn)樗�在定向廣告投放上沒(méi)有說(shuō)明清楚對(duì)個(gè)人數(shù)據(jù)的收集和使用問(wèn)題。而更早之前，一家葡萄牙醫(yī)院因其糟糕的病歷記錄管理支付了 40 萬(wàn)歐元。這家醫(yī)院貪圖方便，創(chuàng)建了 1000 個(gè)醫(yī)生級(jí)別的管理賬戶。

這還不是全部，GDPR 在線執(zhí)法追蹤工具可以捕捉網(wǎng)上所有的違法行為，包括一個(gè)正在審核的，針對(duì)英國(guó)航空公司的 2.04 億 歐元罰款，因?yàn)楣�司泄露�?50 萬(wàn)旅客的支付信息。

相比「史上最嚴(yán)」的 GDPR，CCPA 是什么?

CCPA，據(jù)其官網(wǎng)介紹，是一個(gè)隱私保護(hù)條例，用于保護(hù)個(gè)人數(shù)據(jù)，是美國(guó)加利福尼亞州出臺(tái)的地方法律。這一法律其實(shí)是 2018 年通過(guò)的，幫助消費(fèi)者在訪問(wèn)、刪除和分享企業(yè)收集到的個(gè)人數(shù)據(jù)上賦予了新的權(quán)利。

具體而言，收集消費(fèi)者數(shù)據(jù)的企業(yè)必須披露收集的信息、收集信息的商業(yè)目的、以及會(huì)共享這些信息的所有第三方組織和機(jī)構(gòu)。而企業(yè)需依據(jù)消費(fèi)者提出的正式要求刪除相關(guān)信息，如果消費(fèi)者有這樣的需求。此外，消費(fèi)者可選擇出售他們的信息，而企業(yè)則不能隨意改變價(jià)格或服務(wù)水平。對(duì)于允許收集其個(gè)人信息的消費(fèi)者，企業(yè)可提供「財(cái)務(wù)激勵(lì)」。

根據(jù) CCPA 的規(guī)定，加州居民可以獲得對(duì)個(gè)人數(shù)據(jù)相關(guān)的很多權(quán)利。主要包括：

1. 數(shù)據(jù)訪問(wèn)權(quán)

2. 數(shù)據(jù)刪除權(quán)

3. 不被歧視的權(quán)利

4. 在產(chǎn)品頁(yè)面掛出明顯的「不出售個(gè)人信息」選項(xiàng)，并紕漏新的隱私政策

5. 未成年人和監(jiān)護(hù)人授權(quán)

6. 私人訴訟權(quán)

除了數(shù)據(jù)隱私保護(hù)這一目的，CCPA 還希望幫助公眾了解他們的什么數(shù)據(jù)會(huì)被收集，而且這些數(shù)據(jù)會(huì)被怎樣出售或公開(kāi)。

和 GDPR 類似，CCPA 要求任何和加州居民發(fā)生業(yè)務(wù)往來(lái)的公司都要遵守這一法律，不存在屬地管轄的原則。這無(wú)疑會(huì)給很多非美國(guó)的海外企業(yè)帶來(lái)影響。

對(duì)比 GDPR

那么，CCPA 和 GDPR 有什么關(guān)系呢?

CCPA 和 GDPR 最大的不同在于，CCPA 在適用監(jiān)管的標(biāo)準(zhǔn)上比 GDPR 更寬松，但是一旦滿足被監(jiān)管的標(biāo)準(zhǔn)，違法企業(yè)收到的懲罰更大。

二者具體有以下不同：

1. GDPR 沒(méi)有對(duì)法案適用的企業(yè)進(jìn)行規(guī)定，因此所有有業(yè)務(wù)的企業(yè)都會(huì)被監(jiān)管。但是 CCPA 不會(huì)對(duì)年?duì)I業(yè)額在 2500 萬(wàn)美元以下、且不涉及的超過(guò) 50000 以上用戶的數(shù)據(jù)處理的商業(yè)行為進(jìn)行監(jiān)管，即使已經(jīng)發(fā)現(xiàn)了數(shù)據(jù)泄露。

2. 但是，一旦滿足了上述條件且發(fā)生了數(shù)據(jù)泄露問(wèn)題，CCPA 的處罰比 GDPR 要嚴(yán)厲得多。即使是無(wú)意中發(fā)生了泄露，CCPA 規(guī)定每位用戶 100 到 750 美元，或者以泄露造成的實(shí)際損失計(jì)算罰款。因此對(duì)于一些公司而言，很可能罰款會(huì)使其直接破產(chǎn)。而 GDPR 的罰款上限是企業(yè)收入的 4%。

僅有 2%的企業(yè)做好了準(zhǔn)備

根據(jù) CCPA 的法律規(guī)定，無(wú)論企業(yè)在美國(guó)以何種方式經(jīng)營(yíng)業(yè)務(wù)或提供服務(wù)，加利福尼亞州和紐約州的強(qiáng)制性隱私保護(hù)法將保障消費(fèi)者自身及客戶的隱私權(quán)。

然而，值得關(guān)注的是，離 2020 年 1 月 1 日正式實(shí)施 CCPA 還有不到三個(gè)月的時(shí)間，那么美國(guó)企業(yè)是否已經(jīng)做好相應(yīng)準(zhǔn)備了呢?

2019 年 8 月份，IAPP/OneTrust 主要對(duì)美國(guó)企業(yè)的員工(各種規(guī)模)進(jìn)行了 CCPA 準(zhǔn)備度(CCPA Readiness)調(diào)查，結(jié)果顯示，74%的受訪者認(rèn)為他們的雇主應(yīng)該遵守加州即將實(shí)施的隱私法，但遺憾的是，只有大約 2%的受訪者認(rèn)為他們的企業(yè)已經(jīng)完全做好了應(yīng)對(duì) CCPA 的準(zhǔn)備。

 

 

IAPP/OneTrust 分別于 2019 年 4 月和 8 月進(jìn)行了兩次調(diào)查，調(diào)查問(wèn)題是：你希望自己所在的企業(yè)什么時(shí)候可以完全遵守 CCPA?在 2019 年 4 月的調(diào)查中，企業(yè)現(xiàn)已或者可于 2020 年 1 月 1 日之前完全遵守 CCPA 的比例占 55%，而奇怪的是，在 8 月的調(diào)查中，這一比例卻降到了 49%。這是否說(shuō)明了企業(yè)對(duì) CCPA 的態(tài)度呢?

所以，即使企業(yè)現(xiàn)在認(rèn)為這些隱私法不適用于自身，但相關(guān)標(biāo)準(zhǔn)的應(yīng)用是不可避免的。此外，雖然存在法律的不適用，但如果企業(yè)違反或損害了相關(guān)標(biāo)準(zhǔn)，也會(huì)追究它們的民事責(zé)任。無(wú)論如何，這些法律在美國(guó)和世界各地的不斷推出，為法官處理企業(yè)與受影響客戶之間的直接糾紛(未經(jīng)法律檢驗(yàn))設(shè)定了一個(gè)標(biāo)準(zhǔn)。歸根結(jié)底，保護(hù)客戶的隱私有助于他們?cè)黾訉?duì)企業(yè)的信任以及企業(yè)自身業(yè)務(wù)和品牌的發(fā)展，而這些的價(jià)值要遠(yuǎn)遠(yuǎn)高于企業(yè)因違反隱私法而要繳納的罰款。

數(shù)據(jù)保護(hù)刻不容緩

隨著大數(shù)據(jù)時(shí)代的不斷發(fā)展，用戶的隱私遭到侵犯甚至用于不當(dāng)牟利的情況層出不窮，并且各國(guó)有關(guān)數(shù)據(jù)隱私的立法往往跟不上互聯(lián)網(wǎng)的發(fā)展速度。所以，為了改變這種用戶數(shù)據(jù)遭濫用和隱私遭侵犯的現(xiàn)象，世界各國(guó)在數(shù)據(jù)立法上不斷地進(jìn)行改善，從而予以企業(yè)更多的監(jiān)管，使用戶數(shù)據(jù)得到更多更全的保障。

以歐盟為例，歐盟早在 2016 年 4 月就提出了 GDPR，但并沒(méi)有立即實(shí)施，而是給予了企業(yè)兩年多的緩沖時(shí)間，最終于 2018 年 5 月 25 日正式實(shí)施，被稱為「史上最嚴(yán)格的的用戶個(gè)人數(shù)據(jù)保護(hù)法案」。GDPR 的處罰之嚴(yán)格令人咂舌，以違反個(gè)人數(shù)據(jù)的罰款額度為例，違法企業(yè)將最高面臨其年?duì)I業(yè)額 4%的罰款，以目前最高者為準(zhǔn)，即 2000 萬(wàn)歐元(約合人民幣 1.56 億)。

在個(gè)人數(shù)據(jù)保護(hù)的全球浪潮中，中國(guó)也無(wú)法置身事外。中國(guó)也在數(shù)據(jù)保護(hù)立法上持續(xù)做出努力。早在 2003 年，國(guó)務(wù)院信息化辦公室就已經(jīng)開(kāi)始展開(kāi)個(gè)人信息保護(hù)法立法研究工作，并于 2005 年形成專家意見(jiàn)稿;2009 年中華人民共和國(guó)刑法修正案(七)對(duì)竊取、出售或非法提供給他人的行為作出「情節(jié)嚴(yán)重的，處三年以下有期徒刑或拘役，并處或單處罰金」的規(guī)定，之后 2015 年的刑法修正案(九)又對(duì)非法獲取公民個(gè)人信息的罪名做了補(bǔ)充;2017 年 12 月 29 日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)正式發(fā)布《信息安全技術(shù)個(gè)人信息安全規(guī)范》，從信息權(quán)利保護(hù)的角度全面規(guī)定了公民個(gè)人信息的收集、保存、使用、委托處理、共享、轉(zhuǎn)讓、公開(kāi)披露以及個(gè)人信息安全的處置等。

參考鏈接：https://venturebeat.com/2019/10/12/are-you-ready-for-americas-data-protection-laws/

https://oag.ca.gov/privacy/ccpa

標(biāo)簽： 數(shù)據(jù)隱私 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。