写点什么

2020,个人隐私保护的变革之年

2020 年 1 月 07 日

2020,个人隐私保护的变革之年


新的一年,总有些东西会改变,并变得更好,比如隐私保护。


2020 年 1 月 1 日,美国加州《CCPA》正式施行。《CCPA》全称是《2018 年加州消费者隐私法案》,这部法律出台的目的是当科技公司收集和使用数据时,赋予人们更多的信息和数据控制权。


《CCPA》的颁布标志着加州成为美国第一个具有完整用户隐私法律的州。它虽然仅适用于加州公民,但鉴于这部法律的全面性和高覆盖率,其每项条款都对从事个人数据收集和处理的企业有着巨大影响。


如果说欧盟《GDPR》为保护公民隐私开了一个好头,那么加州《CCPA》则继往开来。


众所周知,欧盟《GDPR》(即《通用数据保护条例》)于 2018 年 5 月 25 日正式生效。这部“大法”不仅取代了 1995 年的《数据保护指令》和欧盟成员国各自制定的相关法规,而且在个人隐私保护方面迈出一大步。


一旦违反《GDPR》,后果很严重。



例如,2019 年 7 月 8 日,英国信息监管局发表声明说,英国航空公司因违反《GDPR》被罚 1.8339 亿英镑(约合 15.8 亿元人民币)。


欧盟《GDPR》从步伐上开创了隐私保护的新时代,而加州《CCPA》或许将从影响力上推动隐私保护再前进一步。


硅谷科技公司的态度

鉴于加州的独特地位,我们或许可以看到《CCPA》的潜在影响。


加州经济发达。根据 2018 年美国商务部的数据显示,加州 GDP 高达 2.747 万亿美元。如果把它视为独立经济体,加州经济规模能排到全球第五,对全美、乃至全球经济影响巨大。


更重要的是,加州是硅谷所在地,汇集着谷歌、Facebook、惠普、英特尔、苹果、思科、英伟达、甲骨文和特斯拉等科技大公司和众多创业公司。


目前,有些公司已经采取相关措施,促使平台合规。


Twitter:


2019 年 12 月,Twitter 公司宣布一项新的“隐私中心”,更新其隐私政策。


谷歌:


针对《CCPA》,谷歌则推出一款 Chrome 插件,它可以允许人们禁用 Google Analytics 收集其信息。



Mozilla:


“自我要求”更高的 Mozilla 在 2020 年 1 月 1 日宣布,它计划新的一年里在全球范围遵守《CCPA》,而不仅仅针对美国加州公民。并且,Mozilla 在声明中指出,它收集的用户数据非常少。在即将到来的更新中,Mozilla 计划让用户能从 Mozilla 的服务器上删除他们的遥测数据。


Facebook:


Facebook 称,无需更改政策,因为它表示从技术上讲,自己不会“出售”用户数据,而是将其用于广告定位。


根据加州发布的一份报告表明,预计科技公司将花费约 550 亿美元来实现合规性


虽然不菲的合规成本会暂时影响某些科技公司的发展,但如果能早日实现合规,那么这些科技公司或许会“活得更久”。


加州《CCPA》VS 欧盟《GDPR》

尽管加州《CCPA》吸取了欧盟《GDPR》的一些理念,比如数据访问权、数据删除权和数据可携带权,但是很多方面比欧盟相关条例更具体。


当然,欧盟的条例中有些内容则是加州法案所没有的。我们可以看看两者的相同和差异。


1、哪些企业受到监管?

加州《CCPA》:满足以下条件之一的加州企业,属于本法律的适用范围:


  • 年收入超过 2500 万美元;

  • 拥有超过 50000 个消费者、家庭或设备的商业数据;

  • 消费者个人数据的销售额占年收入一半以上。


本法律也适用于以下企业:上述企业的控股公司或者被控股公司;与上述企业共享品牌的公司,例如,共享企业名称、服务商标或注册商标。


本法律部分条款还适用于:服务供应商和第三方。


欧盟《GDPR》:


  • 对于数据控制者和数据处理者而言:

  • 不管数据处理发生地是否在欧盟范围内,只要是欧盟国家企业,在欧盟机构活动的背景下处理个人数据;

  • 即使是非欧盟国家企业,只要其处理的欧盟数据主体个人数据,与欧盟范围内的产品或服务相关,或与行为监测相关;


都必须遵守本条例。


对比:经过对比,我们发现,欧盟《GDPR》的应用范围和地域范围要大得多。受到监管的企业范围也有较大不同。


2、哪些人受到保护?

加州《CCPA》:本法律所保护的加州居民须满足以下任一条件:


  • 在加州境内且非短暂停留的人;

  • 定居在加州但暂时不在加州境内的人;


本法律所保护的消费者群体包括:


  • 居家用品和居家服务的消费者;

  • 公司员工;

  • 企业对企业的交易(B2B 交易)


欧盟《GDPR》


  • 数据主体,具体指与个人数据相关的已识别或可识别的个人。


对比:两部法律在定义方式上差异大,但影响同样广泛;虽然两部法律聚焦的数据都与可识别的自然人有关,但对数据的定义不同;两部法律对地域之外的对象都有潜在影响,管辖范围之外的企业也受影响。


3、哪些信息受保护?

加州《CCPA》


  • 特定消费者或家庭的个人信息,信息类型主要包括可识别、可描述、能产生联系、或直接间接产生关联的信息;

  • 法律定义包括一系列特定种类的个人信息;

  • 个人信息不包括公开的政府记录。


另外本法律同样不包括其他法规所覆盖的个人信息。


欧盟《GDPR》


  • 与已识别或可识别数据主体相关的所有个人数据;

  • 除非有合法理由,否则欧盟《GDPR》禁止处理任何特殊类型的个人数据。


对比:两部法律在信息的定义上基本相似,唯一不同的是加州《CCPA》还覆盖家庭和设备层面的信息。


4、隐私声明或知情权的规定

加州《CCPA》:企业必须告知消费者以下内容:


  • 企业采集的个人信息种类;

  • 每个种类拟定的使用目的;


如果企业有以下操作,还需进一步告知:


  • 企业要采集附加的个人信息种类;

  • 采集个人信息用于其他不相关的目的;


《CCPA》要求企业向消费者提供特定信息,建立交付需求;第三方在从其他企业获取数据时,也必须给予消费者明确的通知,让消费者在转售个人信息之前有机会选择退出。


欧盟《GDPR》


  • 数据控制者必须对其个人数据采集和处理提供细节信息。不论信息采集是直接来自数据主体还是来自第三方,都必须让消费者知情。


对比:


两部法律在信息披露规定方面比较类似,只是特定信息的获取方式和交付方式有所不同;《CCPA》规定:如果消费者提出请求,企业必须向消费者出示个人信息披露或转卖给第三方的相关信息,但内容只涵盖到消费者提出请求前的 12 个月。


5、数据安全

加州《CCPA》


《CCPA》没有强制规定数据安全的条款,但针对企业不顾现存加州法律风险,违反数据安全操作规则所引发的数据泄露,本法律规定了诉讼权。


欧盟《GDPR》


《GDPR》要求数据控制者和数据处理者采取合理的方式和组织措施,确保与风险相匹配的安全水平。


对比:在司法方式上基本相同,但随着组织环境和监管机构的理解不同,合理的安全措施一定程度上也不尽相同。


6、关于儿童的权利规定

加州《CCPA》


《CCPA》规定,企业未经允许,禁止出售 16 周岁以下消费者的个人信息;年龄 13-16 周岁的儿童可以直接给予企业同意。13 周岁以下的儿童须经父母同意。需要明确的是,本法律遵从《联邦儿童在线隐私保护法》提供的保护条款。


欧盟《GDPR》


《GDPR》默认年满 16 周岁的儿童才有决定自己个人信息如何处理的权利,但欧盟成员国法律的年龄规定是 13-16 周岁。13 周岁以下的儿童须由其监护人提供同意的权利;儿童必须要收到一份与其年龄相适应的隐私说明;儿童的个人数据必须受到更高层级的安全要求监管。


对比:


除了年龄区间的规定相似之外,两部法律的区别很大。《CCPA》只在个人数据出售方面需要父母同意,而《GDPR》规定所有数据处理过程都必须经过父母同意。


7、关于信息的删除权或被遗忘权

加州《CCPA》


  • 除个别例外情况,消费者有权删除企业采集的个人数据;

  • 企业也必须通知其服务供应商删除相应数据。


欧盟《GDPR》


  • 在六种情况下,数据主体有权删除个人数据;

  • 数据控制者必须采取合理措施,告知同样处理数据的其他数据控制者。


对比:两部法律在数据删除权方面的规定类似;欧盟《GDPR》关于数据删除权实施的情况只规定了六种情况,而《CCPA》更宽泛;欧盟《GDPR》规定企业有义务通知下游数据接受者删除个人数据,这一点的适用范围也比较宽泛。


8、反歧视规定

加州《CCPA》


  • 企业处理消费者数据时,不能歧视消费者;

  • 除非消费者提供的数据价值有差异,否则企业的定价不能因歧视而厚此薄彼;

  • 如果财务激励措施在条款中或线上隐私政策有呈现,而且需要消费者的一致应允,企业才能为消费者提供财务激励。


欧盟《GDPR》


  • 类似的反歧视规则在《GDPR》中体现得比较含蓄。关于相关组织不能在数据主体行使其权利时予以歧视,例如禁止对数据主体权利和自由造成影响的数据处理行为,条例没有明确说明。


对比:两部法律在该方面所体现的观念相同,但对义务的规定不同。


9、惩罚措施(私人诉权)

加州《CCPA》


  • 对数据泄露包括信息的部分泄露,《CCPA》的惩罚措施没那么宽泛。

  • 如果发生数据泄露,企业有 30 天时间修复;消费者每人单次事件可以寻求实际赔偿金或法律赔偿金,金额从 100 美元到 750 美元不等。法院也可以指令或公告形式对企业进行减免。


欧盟《GDPR》


  • 《GDPR》可对数据控制者或数据处理者造成物质或非物质的损失进行处罚。


对比:两部法律的适用范围差异比较大,但违规行为都会产生重大经济责任。


10、惩罚措施(民事罚款)

加州《CCPA》


加州总检察长对于每次违规行为判决的民事罚款约 2500 美金,如果是故意行为,最高可达 7500 美金。但本法律规定,企业有 30 天的时间修复数据泄露问题。


欧盟《GDPR》


行政处罚最高可达 2000 万欧元,或该企业全年收入的 4%;根据欧盟《GDPR》第八十三条,欧盟成员国实施罚金处罚应遵照《GDPR》违反章程,而非各国的行政处罚。


对比:虽然罚金的计算方式不同,但是欧盟《GDPR》的处罚显然更重。


回看中国

在个人隐私方面,主要有两种糟糕的现象:一是侵犯用户隐私,比如一些 App 违规收集、使用用户个人信息、不合理索取用户权限等;二是买卖个人数据。



此前,笔者采访一名网络安全行业的技术专家时,他表示,几年前,个人数据或信息买卖非常猖獗,很多都是明码标价,比如手机号多少钱一个、身份证号多少钱一个、银行卡号多少钱一个,这些全部明码标价。


笔者相信,欧盟《GDPR》之后,出现加州《CCPA》,而《CCPA》后,将有中国的相关法律出台。


2019 年底,工信部召开 App 侵害用户权益行为专项整治工作启动部署会,将重点对违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账户注销设置障碍开展规范整治工作。


据悉,在隐私保护方面,中国正在制定《个人信息保护法》和《数据安全法》。


从欧盟、美国到中国,个人隐私保护已经成为互联网时代的重要命题。这个命题的前提是,数据被视为新时代的“石油”,它有着无限价值。经济利益的驱使,加上技术的滥用,个人数据被疯狂掠夺,这一切让个人隐私保护进入“黑暗时期”。而《GDPR》、《CCPA》和中国正在制定的法律或许能成为冲破黑暗的一束光。


(感谢 InfoQ 编辑岳巍对本文的贡献)


附:


美国《2018 年加州消费者隐私法案》 中文译本


2020 年 1 月 07 日 07:502745
用户头像
万佳 InfoQ编辑

发布了 610 篇内容, 共 226.6 次阅读, 收获喜欢 1508 次。

关注

评论

发布
暂无评论
发现更多内容

Rust从0到1-函数式编程-迭代器

rust 函数式编程 Iterator 迭代器

【源码篇】Flutter Provider的另一面(万字图文+插件)

小呆呆666

flutter ios android 前端 大前端

[TcaplusDB]世界青年联欢节, 让世界看到我们的光彩!

数据人er

数据库 nosql tencentdb TcaplusDB

百度关于EMP的探索:落地生产可用的微前端架构

百度Geek说

测量电压调节器输出纹波和开关瞬变的方法

不脱发的程序猿

硬件研发 输出纹波测量 开关瞬变测量 电源测试 测量电压调节器

[TcaplusDB知识库]查看TcaplusDB集群状态

TcaplusDB

nosql tencentdb TcaplusDB database

一个小坑

IT蜗壳-Tango

6 月日更

毕业论文被不小心删除了,有什么方法可以恢复?

淋雨

EasyRecovery 文件恢复 硬盘数据恢复

浪潮云说丨浪潮云智能对话,想你所想,无限畅聊

浪潮云

内蒙古公安重点人员管控研判平台建设方案

13823153121

密码学系列之:twofish对称密钥分组算法

程序那些事

加密解密 密码学 程序那些事

react native实践总结与思考

碗盆

android 跨平台 React Native

【TcaplusDB】世界青年联欢节| 让世界看到我们的光彩!

TcaplusDB

nosql tencentdb TcaplusDB

Test

bobcatzoo

如果非要在多线程中使用 ArrayList 会发生什么?(第二篇)

看山

Java 并发编程

研发管理工具 ONES 完成3亿人民币 B1 B2 轮融资,继续领跑研发管理赛道

万事ONES

项目管理 融资 研发管理工具 ONES

[译] R8 优化: Lambda Groups

Antway

6 月日更

数据结构——顺序栈

若尘

数据结构 六月日更

【全球软件大会】华为前端工程师分享:华为云官网的智能化实践

华为云开发者社区

算法 智能化 华为云官网 全球软件大会 内容分发

OnlyOffice基本组成及工作原理

一个需求

onlyoffice

AI框架中图层IR的分析

华为云开发者社区

mindspore IR

成为你想要看到的改变,首先就是让正确的事情持续的发生。

叶小鍵

【源码篇】Flutter Bloc背后的思想,一篇纠结的文章

小呆呆666

flutter ios android 前端 大前端

项目案例--吃货联盟

加百利

Java 项目 案例 6 月日更

我看 JAVA 之 线程同步(下)

awen

Java synchronized JOL 锁升级

扩展ADO.net实现对象化CRUD(.net core/framework)

Spook

.net ORM ado

推荐一个MySQL宝藏网站

Simon

MySQL 网站

Dapr:我不是Service Mesh!我只是长得很像

中原银行

Service Mesh istio Multi-Architecture 云原生架构 dapr

趣谈Java类加载器

程序猿阿星

Java ClassLoader 类加载器

基于 BDD 理论的 Nebula 集成测试框架重构(下篇)

Nebula Graph

分布式数据库 测试 图数据库 BDD

anyRTC视频连麦demo上线啦!

anyRTC开发者

音视频 WebRTC 直播 视频直播 直播连麦

低代码的认知误区与落地实践

低代码的认知误区与落地实践

2020,个人隐私保护的变革之年-InfoQ