2020，个人隐私保护的变革之年

新的一年，总有些东西会改变，并变得更好，比如隐私保护。

2020 年 1 月 1 日，美国加州《CCPA》正式施行。《CCPA》全称是《2018 年加州消费者隐私法案》，这部法律出台的目的是当科技公司收集和使用数据时，赋予人们更多的信息和数据控制权。

《CCPA》的颁布标志着加州成为美国第一个具有完整用户隐私法律的州。它虽然仅适用于加州公民，但鉴于这部法律的全面性和高覆盖率，其每项条款都对从事个人数据收集和处理的企业有着巨大影响。

如果说欧盟《GDPR》为保护公民隐私开了一个好头，那么加州《CCPA》则继往开来。

众所周知，欧盟《GDPR》（即《通用数据保护条例》）于 2018 年 5 月 25 日正式生效。这部“大法”不仅取代了 1995 年的《数据保护指令》和欧盟成员国各自制定的相关法规，而且在个人隐私保护方面迈出一大步。

一旦违反《GDPR》，后果很严重。

例如，2019 年 7 月 8 日，英国信息监管局发表声明说，英国航空公司因违反《GDPR》被罚 1.8339 亿英镑（约合 15.8 亿元人民币）。

欧盟《GDPR》从步伐上开创了隐私保护的新时代，而加州《CCPA》或许将从影响力上推动隐私保护再前进一步。

硅谷科技公司的态度

鉴于加州的独特地位，我们或许可以看到《CCPA》的潜在影响。

加州经济发达。根据 2018 年美国商务部的数据显示，加州 GDP 高达 2.747 万亿美元。如果把它视为独立经济体，加州经济规模能排到全球第五，对全美、乃至全球经济影响巨大。

更重要的是，加州是硅谷所在地，汇集着谷歌、Facebook、惠普、英特尔、苹果、思科、英伟达、甲骨文和特斯拉等科技大公司和众多创业公司。

目前，有些公司已经采取相关措施，促使平台合规。

Twitter：

2019 年 12 月，Twitter 公司宣布一项新的“隐私中心”，更新其隐私政策。

谷歌：

针对《CCPA》，谷歌则推出一款 Chrome 插件，它可以允许人们禁用 Google Analytics 收集其信息。

Mozilla：

“自我要求”更高的 Mozilla 在 2020 年 1 月 1 日宣布，它计划新的一年里在全球范围遵守《CCPA》，而不仅仅针对美国加州公民。并且，Mozilla 在声明中指出，它收集的用户数据非常少。在即将到来的更新中，Mozilla 计划让用户能从 Mozilla 的服务器上删除他们的遥测数据。

Facebook:

Facebook 称，无需更改政策，因为它表示从技术上讲，自己不会“出售”用户数据，而是将其用于广告定位。

根据加州发布的一份报告表明，预计科技公司将花费约 550 亿美元来实现合规性。

虽然不菲的合规成本会暂时影响某些科技公司的发展，但如果能早日实现合规，那么这些科技公司或许会“活得更久”。

加州《CCPA》VS 欧盟《GDPR》

尽管加州《CCPA》吸取了欧盟《GDPR》的一些理念，比如数据访问权、数据删除权和数据可携带权，但是很多方面比欧盟相关条例更具体。

当然，欧盟的条例中有些内容则是加州法案所没有的。我们可以看看两者的相同和差异。

1、哪些企业受到监管？

加州《CCPA》：满足以下条件之一的加州企业，属于本法律的适用范围：

• 年收入超过 2500 万美元；

• 拥有超过 50000 个消费者、家庭或设备的商业数据；

• 消费者个人数据的销售额占年收入一半以上。

本法律也适用于以下企业：上述企业的控股公司或者被控股公司；与上述企业共享品牌的公司，例如，共享企业名称、服务商标或注册商标。

本法律部分条款还适用于：服务供应商和第三方。

欧盟《GDPR》：

• 对于数据控制者和数据处理者而言：

• 不管数据处理发生地是否在欧盟范围内，只要是欧盟国家企业，在欧盟机构活动的背景下处理个人数据；

• 即使是非欧盟国家企业，只要其处理的欧盟数据主体个人数据，与欧盟范围内的产品或服务相关，或与行为监测相关；

都必须遵守本条例。

对比：经过对比，我们发现，欧盟《GDPR》的应用范围和地域范围要大得多。受到监管的企业范围也有较大不同。

2、哪些人受到保护？

加州《CCPA》：本法律所保护的加州居民须满足以下任一条件：

• 在加州境内且非短暂停留的人；

• 定居在加州但暂时不在加州境内的人；

本法律所保护的消费者群体包括：

• 居家用品和居家服务的消费者；

• 公司员工；

• 企业对企业的交易（B2B 交易）

欧盟《GDPR》：

• 数据主体，具体指与个人数据相关的已识别或可识别的个人。

对比：两部法律在定义方式上差异大，但影响同样广泛；虽然两部法律聚焦的数据都与可识别的自然人有关，但对数据的定义不同；两部法律对地域之外的对象都有潜在影响，管辖范围之外的企业也受影响。

3、哪些信息受保护？

加州《CCPA》：

• 特定消费者或家庭的个人信息，信息类型主要包括可识别、可描述、能产生联系、或直接间接产生关联的信息；

• 法律定义包括一系列特定种类的个人信息；

• 个人信息不包括公开的政府记录。

另外本法律同样不包括其他法规所覆盖的个人信息。

欧盟《GDPR》：

• 与已识别或可识别数据主体相关的所有个人数据；

• 除非有合法理由，否则欧盟《GDPR》禁止处理任何特殊类型的个人数据。

对比：两部法律在信息的定义上基本相似，唯一不同的是加州《CCPA》还覆盖家庭和设备层面的信息。

4、隐私声明或知情权的规定

加州《CCPA》：企业必须告知消费者以下内容：

• 企业采集的个人信息种类；

• 每个种类拟定的使用目的；

如果企业有以下操作，还需进一步告知：

• 企业要采集附加的个人信息种类；

• 采集个人信息用于其他不相关的目的；

《CCPA》要求企业向消费者提供特定信息，建立交付需求；第三方在从其他企业获取数据时，也必须给予消费者明确的通知，让消费者在转售个人信息之前有机会选择退出。

欧盟《GDPR》：

• 数据控制者必须对其个人数据采集和处理提供细节信息。不论信息采集是直接来自数据主体还是来自第三方，都必须让消费者知情。

对比：

两部法律在信息披露规定方面比较类似，只是特定信息的获取方式和交付方式有所不同；《CCPA》规定：如果消费者提出请求，企业必须向消费者出示个人信息披露或转卖给第三方的相关信息，但内容只涵盖到消费者提出请求前的 12 个月。

5、数据安全

加州《CCPA》：

《CCPA》没有强制规定数据安全的条款，但针对企业不顾现存加州法律风险，违反数据安全操作规则所引发的数据泄露，本法律规定了诉讼权。

欧盟《GDPR》：

《GDPR》要求数据控制者和数据处理者采取合理的方式和组织措施，确保与风险相匹配的安全水平。

对比：在司法方式上基本相同，但随着组织环境和监管机构的理解不同，合理的安全措施一定程度上也不尽相同。

6、关于儿童的权利规定

加州《CCPA》：

《CCPA》规定，企业未经允许，禁止出售 16 周岁以下消费者的个人信息；年龄 13-16 周岁的儿童可以直接给予企业同意。13 周岁以下的儿童须经父母同意。需要明确的是，本法律遵从《联邦儿童在线隐私保护法》提供的保护条款。

欧盟《GDPR》：

《GDPR》默认年满 16 周岁的儿童才有决定自己个人信息如何处理的权利，但欧盟成员国法律的年龄规定是 13-16 周岁。13 周岁以下的儿童须由其监护人提供同意的权利；儿童必须要收到一份与其年龄相适应的隐私说明；儿童的个人数据必须受到更高层级的安全要求监管。

对比：

除了年龄区间的规定相似之外，两部法律的区别很大。《CCPA》只在个人数据出售方面需要父母同意，而《GDPR》规定所有数据处理过程都必须经过父母同意。

7、关于信息的删除权或被遗忘权

加州《CCPA》：

• 除个别例外情况，消费者有权删除企业采集的个人数据；

• 企业也必须通知其服务供应商删除相应数据。

欧盟《GDPR》：

• 在六种情况下，数据主体有权删除个人数据；

• 数据控制者必须采取合理措施，告知同样处理数据的其他数据控制者。

对比：两部法律在数据删除权方面的规定类似；欧盟《GDPR》关于数据删除权实施的情况只规定了六种情况，而《CCPA》更宽泛；欧盟《GDPR》规定企业有义务通知下游数据接受者删除个人数据，这一点的适用范围也比较宽泛。

8、反歧视规定

加州《CCPA》：

• 企业处理消费者数据时，不能歧视消费者；

• 除非消费者提供的数据价值有差异，否则企业的定价不能因歧视而厚此薄彼；

• 如果财务激励措施在条款中或线上隐私政策有呈现，而且需要消费者的一致应允，企业才能为消费者提供财务激励。

欧盟《GDPR》：

• 类似的反歧视规则在《GDPR》中体现得比较含蓄。关于相关组织不能在数据主体行使其权利时予以歧视，例如禁止对数据主体权利和自由造成影响的数据处理行为，条例没有明确说明。

对比：两部法律在该方面所体现的观念相同，但对义务的规定不同。

9、惩罚措施（私人诉权）

加州《CCPA》：

• 对数据泄露包括信息的部分泄露，《CCPA》的惩罚措施没那么宽泛。

• 如果发生数据泄露，企业有 30 天时间修复；消费者每人单次事件可以寻求实际赔偿金或法律赔偿金，金额从 100 美元到 750 美元不等。法院也可以指令或公告形式对企业进行减免。

欧盟《GDPR》：

• 《GDPR》可对数据控制者或数据处理者造成物质或非物质的损失进行处罚。

对比：两部法律的适用范围差异比较大，但违规行为都会产生重大经济责任。

10、惩罚措施（民事罚款）

加州《CCPA》：

加州总检察长对于每次违规行为判决的民事罚款约 2500 美金，如果是故意行为，最高可达 7500 美金。但本法律规定，企业有 30 天的时间修复数据泄露问题。

欧盟《GDPR》：

行政处罚最高可达 2000 万欧元，或该企业全年收入的 4%；根据欧盟《GDPR》第八十三条，欧盟成员国实施罚金处罚应遵照《GDPR》违反章程，而非各国的行政处罚。

对比：虽然罚金的计算方式不同，但是欧盟《GDPR》的处罚显然更重。

回看中国

在个人隐私方面，主要有两种糟糕的现象：一是侵犯用户隐私，比如一些 App 违规收集、使用用户个人信息、不合理索取用户权限等；二是买卖个人数据。

此前，笔者采访一名网络安全行业的技术专家时，他表示，几年前，个人数据或信息买卖非常猖獗，很多都是明码标价，比如手机号多少钱一个、身份证号多少钱一个、银行卡号多少钱一个，这些全部明码标价。

笔者相信，欧盟《GDPR》之后，出现加州《CCPA》，而《CCPA》后，将有中国的相关法律出台。

2019 年底，工信部召开 App 侵害用户权益行为专项整治工作启动部署会，将重点对违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账户注销设置障碍开展规范整治工作。

据悉，在隐私保护方面，中国正在制定《个人信息保护法》和《数据安全法》。

从欧盟、美国到中国，个人隐私保护已经成为互联网时代的重要命题。这个命题的前提是，数据被视为新时代的“石油”，它有着无限价值。经济利益的驱使，加上技术的滥用，个人数据被疯狂掠夺，这一切让个人隐私保护进入“黑暗时期”。而《GDPR》、《CCPA》和中国正在制定的法律或许能成为冲破黑暗的一束光。

（感谢 InfoQ 编辑岳巍对本文的贡献）

附：

美国《2018 年加州消费者隐私法案》 中文译本