时间: 2020-09-03 00:08:26 人气: 2275 评论: 0
新的一年,总有些东西会改变,并变得更好,比如隐私保护。
2020 年 1 月 1 日,美国加州《CCPA》正式施行。《CCPA》全称是《2018 年加州消费者隐私法案》,这部法律出台的目的是当科技公司收集和使用数据时,赋予人们更多的信息和数据控制权。
《CCPA》的颁布标志着加州成为美国第一个具有完整用户隐私法律的州。它虽然仅适用于加州公民,但鉴于这部法律的全面性和高覆盖率,其每项条款都对从事个人数据收集和处理的企业有着巨大影响。
如果说欧盟《GDPR》为保护公民隐私开了一个好头,那么加州《CCPA》则继往开来。
众所周知,欧盟《GDPR》(即《通用数据保护条例》)于 2018 年 5 月 25 日正式生效。这部“大法”不仅取代了 1995 年的《数据保护指令》和欧盟成员国各自制定的相关法规,而且在个人隐私保护方面迈出一大步。
一旦违反《GDPR》,后果很严重。
例如,2019 年 7 月 8 日,英国信息监管局发表声明说,英国航空公司因违反《GDPR》被罚 1.8339 亿英镑(约合 15.8 亿元人民币)。
欧盟《GDPR》从步伐上开创了隐私保护的新时代,而加州《CCPA》或许将从影响力上推动隐私保护再前进一步。
鉴于加州的独特地位,我们或许可以看到《CCPA》的潜在影响。
加州经济发达。根据 2018 年美国商务部的数据显示,加州 GDP 高达 2.747 万亿美元。如果把它视为独立经济体,加州经济规模能排到全球第五,对全美、乃至全球经济影响巨大。
更重要的是,加州是硅谷所在地,汇集着谷歌、Facebook、惠普、英特尔、苹果、思科、英伟达、甲骨文和特斯拉等科技大公司和众多创业公司。
目前,有些公司已经采取相关措施,促使平台合规。
Twitter:
2019年12月,Twitter公司宣布一项新的“隐私中心”,更新其隐私政策。
谷歌:
针对《CCPA》,谷歌则推出一款Chrome插件,它可以允许人们禁用Google Analytics收集其信息。
Mozilla:
“自我要求”更高的 Mozilla 在 2020 年 1 月 1 日宣布,它计划新的一年里在全球范围遵守《CCPA》,而不仅仅针对美国加州公民。并且,Mozilla 在声明中指出,它收集的用户数据非常少。在即将到来的更新中,Mozilla 计划让用户能从 Mozilla 的服务器上删除他们的遥测数据。
Facebook:
Facebook 称,无需更改政策,因为它表示从技术上讲,自己不会“出售”用户数据,而是将其用于广告定位。
根据加州发布的一份报告表明,预计科技公司将花费约 550 亿美元来实现合规性。
虽然不菲的合规成本会暂时影响某些科技公司的发展,但如果能早日实现合规,那么这些科技公司或许会“活得更久”。
尽管加州《CCPA》吸取了欧盟《GDPR》的一些理念,比如数据访问权、数据删除权和数据可携带权,但是很多方面比欧盟相关条例更具体。
当然,欧盟的条例中有些内容则是加州法案所没有的。我们可以看看两者的相同和差异。
加州《CCPA》:满足以下条件之一的加州企业,属于本法律的适用范围:
本法律也适用于以下企业:上述企业的控股公司或者被控股公司;与上述企业共享品牌的公司,例如,共享企业名称、服务商标或注册商标。
本法律部分条款还适用于:服务供应商和第三方。
欧盟《GDPR》:
都必须遵守本条例。
对比:经过对比,我们发现,欧盟《GDPR》的应用范围和地域范围要大得多。受到监管的企业范围也有较大不同。
加州《CCPA》:本法律所保护的加州居民须满足以下任一条件:
本法律所保护的消费者群体包括:
欧盟《GDPR》:
对比:两部法律在定义方式上差异大,但影响同样广泛;虽然两部法律聚焦的数据都与可识别的自然人有关,但对数据的定义不同;两部法律对地域之外的对象都有潜在影响,管辖范围之外的企业也受影响。
加州《CCPA》:
另外本法律同样不包括其他法规所覆盖的个人信息。
欧盟《GDPR》:
对比:两部法律在信息的定义上基本相似,唯一不同的是加州《CCPA》还覆盖家庭和设备层面的信息。
加州《CCPA》:企业必须告知消费者以下内容:
如果企业有以下操作,还需进一步告知:
《CCPA》要求企业向消费者提供特定信息,建立交付需求;第三方在从其他企业获取数据时,也必须给予消费者明确的通知,让消费者在转售个人信息之前有机会选择退出。
欧盟《GDPR》:
对比:
两部法律在信息披露规定方面比较类似,只是特定信息的获取方式和交付方式有所不同;《CCPA》规定:如果消费者提出请求,企业必须向消费者出示个人信息披露或转卖给第三方的相关信息,但内容只涵盖到消费者提出请求前的 12 个月。
加州《CCPA》:
《CCPA》没有强制规定数据安全的条款,但针对企业不顾现存加州法律风险,违反数据安全操作规则所引发的数据泄露,本法律规定了诉讼权。
欧盟《GDPR》:
《GDPR》要求数据控制者和数据处理者采取合理的方式和组织措施,确保与风险相匹配的安全水平。
对比:在司法方式上基本相同,但随着组织环境和监管机构的理解不同,合理的安全措施一定程度上也不尽相同。
加州《CCPA》:
《CCPA》规定,企业未经允许,禁止出售 16 周岁以下消费者的个人信息;年龄13-16 周岁的儿童可以直接给予企业同意。13 周岁以下的儿童须经父母同意。需要明确的是,本法律遵从《联邦儿童在线隐私保护法》提供的保护条款。
欧盟《GDPR》:
《GDPR》默认年满 16 周岁的儿童才有决定自己个人信息如何处理的权利,但欧盟成员国法律的年龄规定是 13-16 周岁。13 周岁以下的儿童须由其监护人提供同意的权利;儿童必须要收到一份与其年龄相适应的隐私说明;儿童的个人数据必须受到更高层级的安全要求监管。
对比:
除了年龄区间的规定相似之外,两部法律的区别很大。《CCPA》只在个人数据出售方面需要父母同意,而《GDPR》规定所有数据处理过程都必须经过父母同意。
加州《CCPA》:
欧盟《GDPR》:
对比:两部法律在数据删除权方面的规定类似;欧盟《GDPR》关于数据删除权实施的情况只规定了六种情况,而《CCPA》更宽泛;欧盟《GDPR》规定企业有义务通知下游数据接受者删除个人数据,这一点的适用范围也比较宽泛。
加州《CCPA》:
欧盟《GDPR》:
对比:两部法律在该方面所体现的观念相同,但对义务的规定不同。
加州《CCPA》:
欧盟《GDPR》:
对比:两部法律的适用范围差异比较大,但违规行为都会产生重大经济责任。
加州《CCPA》:
加州总检察长对于每次违规行为判决的民事罚款约 2500 美金,如果是故意行为,最高可达 7500 美金。但本法律规定,企业有 30 天的时间修复数据泄露问题。
欧盟《GDPR》:
行政处罚最高可达 2000 万欧元,或该企业全年收入的 4%;根据欧盟《GDPR》第八十三条,欧盟成员国实施罚金处罚应遵照《GDPR》违反章程,而非各国的行政处罚。
对比:虽然罚金的计算方式不同,但是欧盟《GDPR》的处罚显然更重。
在个人隐私方面,主要有两种糟糕的现象:一是侵犯用户隐私,比如一些 App 违规收集、使用用户个人信息、不合理索取用户权限等;二是买卖个人数据。
此前,笔者采访一名网络安全行业的技术专家时,他表示,几年前,个人数据或信息买卖非常猖獗,很多都是明码标价,比如手机号多少钱一个、身份证号多少钱一个、银行卡号多少钱一个,这些全部明码标价。
笔者相信,欧盟《GDPR》之后,出现加州《CCPA》,而《CCPA》后,将有中国的相关法律出台。
2019 年底,工信部召开 App 侵害用户权益行为专项整治工作启动部署会,将重点对违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账户注销设置障碍开展规范整治工作。
据悉,在隐私保护方面,中国正在制定《个人信息保护法》和《数据安全法》。
从欧盟、美国到中国,个人隐私保护已经成为互联网时代的重要命题。这个命题的前提是,数据被视为新时代的“石油”,它有着无限价值。经济利益的驱使,加上技术的滥用,个人数据被疯狂掠夺,这一切让个人隐私保护进入“黑暗时期”。而《GDPR》、《CCPA》和中国正在制定的法律或许能成为冲破黑暗的一束光。
(感谢InfoQ编辑岳巍对本文的贡献)
附:
-深蓝源码网-www.69shenlan.com