新的一年,总有些东西会改变,并变得更好,比如隐私保护。
2020 年 1 月 1 日,美国加州《CCPA》正式施行。《CCPA》全称是《2018 年加州消费者隐私法案》,这部法律出台的目的是当科技公司收集和使用数据时,赋予人们更多的信息和数据控制权。
《CCPA》的颁布标志着加州成为美国第一个具有完整用户隐私法律的州。它虽然仅适用于加州公民,但鉴于这部法律的全面性和高覆盖率,其每项条款都对从事个人数据收集和处理的企业有着巨大影响。
如果说欧盟《GDPR》为保护公民隐私开了一个好头,那么加州《CCPA》则继往开来。
众所周知,欧盟《GDPR》(即《通用数据保护条例》)于 2018 年 5 月 25 日正式生效。这部“大法”不仅取代了 1995 年的《数据保护指令》和欧盟成员国各自制定的相关法规,而且在个人隐私保护方面迈出一大步。
一旦违反《GDPR》,后果很严重。
例如,2019 年 7 月 8 日,英国信息监管局发表声明说,英国航空公司因违反《GDPR》被罚 1.8339 亿英镑(约合 15.8 亿元人民币)。
欧盟《GDPR》从步伐上开创了隐私保护的新时代,而加州《CCPA》或许将从影响力上推动隐私保护再前进一步。
硅谷科技公司的态度
鉴于加州的独特地位,我们或许可以看到《CCPA》的潜在影响。
加州经济发达。根据 2018 年美国商务部的数据显示,加州 GDP 高达 2.747 万亿美元。如果把它视为独立经济体,加州经济规模能排到全球第五,对全美、乃至全球经济影响巨大。
更重要的是,加州是硅谷所在地,汇集着谷歌、Facebook、惠普、英特尔、苹果、思科、英伟达、甲骨文和特斯拉等科技大公司和众多创业公司。
目前,有些公司已经采取相关措施,促使平台合规。
Twitter:
2019 年 12 月,Twitter 公司宣布一项新的“隐私中心”,更新其隐私政策。
谷歌:
针对《CCPA》,谷歌则推出一款 Chrome 插件,它可以允许人们禁用 Google Analytics 收集其信息。
Mozilla:
“自我要求”更高的 Mozilla 在 2020 年 1 月 1 日宣布,它计划新的一年里在全球范围遵守《CCPA》,而不仅仅针对美国加州公民。并且,Mozilla 在声明中指出,它收集的用户数据非常少。在即将到来的更新中,Mozilla 计划让用户能从 Mozilla 的服务器上删除他们的遥测数据。
Facebook:
Facebook 称,无需更改政策,因为它表示从技术上讲,自己不会“出售”用户数据,而是将其用于广告定位。
根据加州发布的一份报告表明,预计科技公司将花费约 550 亿美元来实现合规性。
虽然不菲的合规成本会暂时影响某些科技公司的发展,但如果能早日实现合规,那么这些科技公司或许会“活得更久”。
加州《CCPA》VS 欧盟《GDPR》
尽管加州《CCPA》吸取了欧盟《GDPR》的一些理念,比如数据访问权、数据删除权和数据可携带权,但是很多方面比欧盟相关条例更具体。
当然,欧盟的条例中有些内容则是加州法案所没有的。我们可以看看两者的相同和差异。
1、哪些企业受到监管?
加州《CCPA》:满足以下条件之一的加州企业,属于本法律的适用范围:
年收入超过 2500 万美元;
拥有超过 50000 个消费者、家庭或设备的商业数据;
消费者个人数据的销售额占年收入一半以上。
本法律也适用于以下企业:上述企业的控股公司或者被控股公司;与上述企业共享品牌的公司,例如,共享企业名称、服务商标或注册商标。
本法律部分条款还适用于:服务供应商和第三方。
欧盟《GDPR》:
对于数据控制者和数据处理者而言:
不管数据处理发生地是否在欧盟范围内,只要是欧盟国家企业,在欧盟机构活动的背景下处理个人数据;
即使是非欧盟国家企业,只要其处理的欧盟数据主体个人数据,与欧盟范围内的产品或服务相关,或与行为监测相关;
都必须遵守本条例。
对比:经过对比,我们发现,欧盟《GDPR》的应用范围和地域范围要大得多。受到监管的企业范围也有较大不同。
2、哪些人受到保护?
加州《CCPA》:本法律所保护的加州居民须满足以下任一条件:
在加州境内且非短暂停留的人;
定居在加州但暂时不在加州境内的人;
本法律所保护的消费者群体包括:
居家用品和居家服务的消费者;
公司员工;
企业对企业的交易(B2B 交易)
欧盟《GDPR》:
数据主体,具体指与个人数据相关的已识别或可识别的个人。
对比:两部法律在定义方式上差异大,但影响同样广泛;虽然两部法律聚焦的数据都与可识别的自然人有关,但对数据的定义不同;两部法律对地域之外的对象都有潜在影响,管辖范围之外的企业也受影响。
3、哪些信息受保护?
加州《CCPA》:
特定消费者或家庭的个人信息,信息类型主要包括可识别、可描述、能产生联系、或直接间接产生关联的信息;
法律定义包括一系列特定种类的个人信息;
个人信息不包括公开的政府记录。
另外本法律同样不包括其他法规所覆盖的个人信息。
欧盟《GDPR》:
与已识别或可识别数据主体相关的所有个人数据;
除非有合法理由,否则欧盟《GDPR》禁止处理任何特殊类型的个人数据。
对比:两部法律在信息的定义上基本相似,唯一不同的是加州《CCPA》还覆盖家庭和设备层面的信息。
4、隐私声明或知情权的规定
加州《CCPA》:企业必须告知消费者以下内容:
企业采集的个人信息种类;
每个种类拟定的使用目的;
如果企业有以下操作,还需进一步告知:
企业要采集附加的个人信息种类;
采集个人信息用于其他不相关的目的;
《CCPA》要求企业向消费者提供特定信息,建立交付需求;第三方在从其他企业获取数据时,也必须给予消费者明确的通知,让消费者在转售个人信息之前有机会选择退出。
欧盟《GDPR》:
数据控制者必须对其个人数据采集和处理提供细节信息。不论信息采集是直接来自数据主体还是来自第三方,都必须让消费者知情。
对比:
两部法律在信息披露规定方面比较类似,只是特定信息的获取方式和交付方式有所不同;《CCPA》规定:如果消费者提出请求,企业必须向消费者出示个人信息披露或转卖给第三方的相关信息,但内容只涵盖到消费者提出请求前的 12 个月。
5、数据安全
加州《CCPA》:
《CCPA》没有强制规定数据安全的条款,但针对企业不顾现存加州法律风险,违反数据安全操作规则所引发的数据泄露,本法律规定了诉讼权。
欧盟《GDPR》:
《GDPR》要求数据控制者和数据处理者采取合理的方式和组织措施,确保与风险相匹配的安全水平。
对比:在司法方式上基本相同,但随着组织环境和监管机构的理解不同,合理的安全措施一定程度上也不尽相同。
6、关于儿童的权利规定
加州《CCPA》:
《CCPA》规定,企业未经允许,禁止出售 16 周岁以下消费者的个人信息;年龄 13-16 周岁的儿童可以直接给予企业同意。13 周岁以下的儿童须经父母同意。需要明确的是,本法律遵从《联邦儿童在线隐私保护法》提供的保护条款。
欧盟《GDPR》:
《GDPR》默认年满 16 周岁的儿童才有决定自己个人信息如何处理的权利,但欧盟成员国法律的年龄规定是 13-16 周岁。13 周岁以下的儿童须由其监护人提供同意的权利;儿童必须要收到一份与其年龄相适应的隐私说明;儿童的个人数据必须受到更高层级的安全要求监管。
对比:
除了年龄区间的规定相似之外,两部法律的区别很大。《CCPA》只在个人数据出售方面需要父母同意,而《GDPR》规定所有数据处理过程都必须经过父母同意。
7、关于信息的删除权或被遗忘权
加州《CCPA》:
除个别例外情况,消费者有权删除企业采集的个人数据;
企业也必须通知其服务供应商删除相应数据。
欧盟《GDPR》:
在六种情况下,数据主体有权删除个人数据;
数据控制者必须采取合理措施,告知同样处理数据的其他数据控制者。
对比:两部法律在数据删除权方面的规定类似;欧盟《GDPR》关于数据删除权实施的情况只规定了六种情况,而《CCPA》更宽泛;欧盟《GDPR》规定企业有义务通知下游数据接受者删除个人数据,这一点的适用范围也比较宽泛。
8、反歧视规定
加州《CCPA》:
企业处理消费者数据时,不能歧视消费者;
除非消费者提供的数据价值有差异,否则企业的定价不能因歧视而厚此薄彼;
如果财务激励措施在条款中或线上隐私政策有呈现,而且需要消费者的一致应允,企业才能为消费者提供财务激励。
欧盟《GDPR》:
类似的反歧视规则在《GDPR》中体现得比较含蓄。关于相关组织不能在数据主体行使其权利时予以歧视,例如禁止对数据主体权利和自由造成影响的数据处理行为,条例没有明确说明。
对比:两部法律在该方面所体现的观念相同,但对义务的规定不同。
9、惩罚措施(私人诉权)
加州《CCPA》:
对数据泄露包括信息的部分泄露,《CCPA》的惩罚措施没那么宽泛。
如果发生数据泄露,企业有 30 天时间修复;消费者每人单次事件可以寻求实际赔偿金或法律赔偿金,金额从 100 美元到 750 美元不等。法院也可以指令或公告形式对企业进行减免。
欧盟《GDPR》:
《GDPR》可对数据控制者或数据处理者造成物质或非物质的损失进行处罚。
对比:两部法律的适用范围差异比较大,但违规行为都会产生重大经济责任。
10、惩罚措施(民事罚款)
加州《CCPA》:
加州总检察长对于每次违规行为判决的民事罚款约 2500 美金,如果是故意行为,最高可达 7500 美金。但本法律规定,企业有 30 天的时间修复数据泄露问题。
欧盟《GDPR》:
行政处罚最高可达 2000 万欧元,或该企业全年收入的 4%;根据欧盟《GDPR》第八十三条,欧盟成员国实施罚金处罚应遵照《GDPR》违反章程,而非各国的行政处罚。
对比:虽然罚金的计算方式不同,但是欧盟《GDPR》的处罚显然更重。
回看中国
在个人隐私方面,主要有两种糟糕的现象:一是侵犯用户隐私,比如一些 App 违规收集、使用用户个人信息、不合理索取用户权限等;二是买卖个人数据。
此前,笔者采访一名网络安全行业的技术专家时,他表示,几年前,个人数据或信息买卖非常猖獗,很多都是明码标价,比如手机号多少钱一个、身份证号多少钱一个、银行卡号多少钱一个,这些全部明码标价。
笔者相信,欧盟《GDPR》之后,出现加州《CCPA》,而《CCPA》后,将有中国的相关法律出台。
2019 年底,工信部召开 App 侵害用户权益行为专项整治工作启动部署会,将重点对违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账户注销设置障碍开展规范整治工作。
据悉,在隐私保护方面,中国正在制定《个人信息保护法》和《数据安全法》。
从欧盟、美国到中国,个人隐私保护已经成为互联网时代的重要命题。这个命题的前提是,数据被视为新时代的“石油”,它有着无限价值。经济利益的驱使,加上技术的滥用,个人数据被疯狂掠夺,这一切让个人隐私保护进入“黑暗时期”。而《GDPR》、《CCPA》和中国正在制定的法律或许能成为冲破黑暗的一束光。
(感谢 InfoQ 编辑岳巍对本文的贡献)
附:
评论