一個用戶至少“值”100美元，美國最“貴”數據法案CCPA明年初實行！

作者：文摘菌 2019-10-24 09:00:58

安全

還在急于應對歐洲GDPR（General Data Protection Regulation，通用數據保護條例）？那你就OUT了！

[[280054]]

大數據文摘出品

作者：劉俊寰

還在急于應對歐洲GDPR(General Data Protection Regulation，通用數據保護條例)?

那你就OUT了!

因為從2020年1月1日開始，美國相關數據保護法——CCPA(California Consumer Privacy Act，加州消費者隱私法案)也將正式實行，算算時間，只剩下不到三個月了!

[[280055]]

以為這樣就完了嗎?遠遠不止!從紐約開始，更多法案將在美國多個州陸續生效。

這意味著，不管企業總部位于何處，如果企業的服務對象是居住在加州和紐約的客戶，就必須遵守相關規定，否則就會被罰款。

針對CCPA的議論尚未停息

CCPA自去年6月宣布出臺，經過一年多的修訂和準備，終于在今年的10月13日，州長對該法案做出最后簽署。

在漫長的一年時間內，外界對CCPA的討論從未停止過。

GoBestVPN的創始人Jamie Cambell還對CCPA及其保護消費者數據方面做出預測，他指出，如果公司還沒準備好相應的代碼庫，至少應該考慮修改現有系統，相關法律的提出無疑是有利于個人對自身隱私數據的保護的。

但不是所有人都對CCPA的實行抱以積極態度，美國Uvietech Software Solutions Inc.的軟件工程師兼首席執行官Bryan Osima就認為，CCPA的實行可能不會有任何改變，甚至對消費者而言，這并不是一件好事，因為他們再也無法下到免費的應用程序了。

對于還未通過GDPR的英國企業，挑戰會更艱巨

英國自脫歐以來一直備受關注，英國不少公司同樣深受GDPR的影響，CCPA的實行對現在處境有點尷尬的英國企業來說又意味著什么呢?

國際律師事務所Dorsey&Whitney的合伙人Robert Cattanach指出，將信息治理的基本要素整合到所有運營活動中之前，推進CCPA是一個緩慢漸進的過程。

盡管CCPA對大多數英國企業的影響可能不如GDPR那樣直接，但CCPA的某些看似寬松的規定實際上潛藏了挑戰和危機。

許多公司會想當然地認為，為遵守GDPR而采取的信息治理措施也能滿足CCPA的要求。但是他說，在幾乎所有情況下，這都是一個錯誤的假設。

“對于那些尚未通過GDPR遵從流程的公司，挑戰似乎更加艱巨。”他說道。

同時，他也就英國應該如何面對CCPA提出自己的看法。

傳統而言，更提倡“自下而上”的數據映射，這在理論上很不錯，但在實踐中極具挑戰性。相較而言他更傾向于“更務實”的做法：對CCPA主要功能組件進行自我評估。

目前中國還缺少相關數據隱私保護法

美國加州聚集了眾多互聯網公司，包括微軟、Uber等，對于任何謀求發展的跨國企業而言，可以說加州用戶是兵家必爭之地了。

本次CCPA的要求對象規定為居住在加州的用戶，對于中國企業而言，只要有加州用戶的市場需求，就必須遵守CCPA的相關規定。

而考慮到目前國內還缺少相關的信息保護法，相關企業針對這方面的準備或許還并不充分，CCPA的實行對于中國企業而言或是一項不小的挑戰。

北京安理律師事務所高級合伙人王欣銳表示，中國個人信息保護的立法現在一方面需要“補課”，借鑒各國立法中的有效部分，另一方面又要針對中國特色的數據形式進行針對性應答，尤其是互聯網高速發展所帶來的問題。

GDPR有多嚴?

歐洲在18個月前推出GDPR，這是具有里程碑意義的數據隱私條例。

1. 互聯網企業屢遭罰款

互聯網行業盡管有兩年的時間去準備，但還是因為違規遭受重創。GDPR實行的第一年，因為難以達到合規要求，超過90,000家企業自愿報告違規行為，超過145,000家企業遭到消費者投訴。

和大多數法律一樣，對法律的無知不是借口，同樣，犯罪者的意圖也無法提供安全庇護。監管機構并不會在意企業是出于何種原因違規。不過他們確實會對明顯、蓄意或有意違法的相關行為處以更高的罰款。

2019年1月，谷歌被法國當局處以5000萬歐元的罰款，因為谷歌在法國收集和使用用戶個人數據進行廣告定位時缺乏透明度。
幾個月前，一家葡萄牙醫院因沒能很好管理患者病歷，支付了40萬歐元罰款。這家醫院創建了1,000個醫生左右的訪問帳戶，當實際工作的醫生少于300人時，這1,000個用戶帳戶可以不受限制地訪問患者數據。
一家丹麥的出租車公司因收集超過900萬條包含個人身份信息的客戶記錄被罰款120萬克朗，因為這違反了GDPR相關規定。
波蘭當局對本國的垃圾郵件行動進行了猛烈抨擊，他們從公共網頁上抓取了電子郵件地址，將這些地址匯總起來，用以發送“垃圾郵件”。90,000人的分發名單中的12,000名收件人投訴，本次行為共遭罰款22萬歐元。

這還不是全部，在線GDPR執法跟蹤器正試圖捕獲所有基于互聯網的隱私濫用行為，包括對英國航空公司(British Airways)懸而未決的2.04億歐元罰款，該公司此前泄露了50萬客戶的付款信息。

谷歌、Facebook等改進對用戶數據的管理模式

GDPR于去年5月正式實施，在此之前，谷歌、Facebook等互聯網公司紛紛改進了對用戶數據的管理模式。

去年三月，Facebook宣布做出以下調整：簡化設置菜單，添加新的隱私快捷方式信息中心，更新用戶的數據下載和編輯權限。

在新的隱私快捷方式信息中心，用戶可以訪問“更清晰，更直觀”的系統，該系統使他們有權利控制投放廣告、控制誰能看到自己個人資料和個人信息、添加額外的保護機制。

緊隨Facebook的腳步，谷歌在5月份對數據政策做出相應整改，通過向人們提供更明確的工具來管理數據，提高“用戶透明度”。

對于消費者而言，控制投入廣告或完全屏蔽廣告的過程會更加簡化，Google表示，計劃“未來幾個月內進一步簡化這些工具的外觀和使用” 。

谷歌在歐洲、中東和非洲地區隱私和法律總監馬爾科姆(Malcolm)表示，谷歌改進了策略引導和組織結構，不僅查找內容會更容易，也能更輕松地管理、導出和刪除隱私數據。

GDPR VS CCPA：到底誰能嚴?

CCPA和GDPR之間存在一些關鍵差異。總的來說，CCPA在適用監管標準的制定上會比GDPR更寬松，即使在舉報違規情況下，除非有大量用戶報告，每次事件罰款不會特別重。

CCPA的最低標準。GDPR沒有設置最低標準，因此企業的所有業務都會被監管;但是CCPA不會監管年營業額低于2500萬美元，業務范圍不超過50,000用戶的公司，即使是發現了該公司存在數據泄露的行為。
罰款額度。GDPR設有上限，確保罰款不超過違法者收入的很大部分，但是對CCPA違法者而言，罰款金額的唯一限制是受影響的用戶數量，根據規定，罰款金額范圍定在100美元至750美元/受影響用戶，因此，如果一個擁有100萬用戶帳戶的網絡服務因違規罰款，這家公司很可能會倒閉。
用戶的加入與退出。根據CCPA，用戶如果選擇退出必須與第三方進行信息共享，GDPR則強烈建議用戶選擇加入。一般而言，CCPA在主動公開和處理未成年人方面更為寬大。

總的來說，如果企業能符合GDPR的要求，那很大概率上也能符合CCPA的要求。

只有2%的企業做好準備了

根據GDPR的規定，如果公司是為歐洲客戶提供服務，則無論公司位于何處，都必須符合GDPR相關要求。同樣，如果是為美國客戶提供相應服務，則需符合紐約和加州的相關法律要求。

根據IAPP和OneTrust于2019年8月對大多數美國企業進行的調查，雖然74%的受訪者認為公司需要遵守即將頒發的CCPA，但只有約2%的受訪者表示他們的公司已經做了充分準備。

考慮到GDPR已經讓許多公司遭受重創，但只有47%的調查受訪者希望在1月1日前為CCPA做好準備，對于仍未符合GDPR要求的公司尤其如此。