一个用户至少“值”100美元:美国最“贵”数据法案CCPA明年初实行

?

还渴望响应欧洲的GDPR(通用数据保护条例)吗?

那你就出局了!

因为从2020年1月1日起,美国数据保护法CCPA(加利福尼亚消费者隐私法)也将正式实施,计算时间只有不到三个月!

这完成了吗?远远超过!从纽约开始,更多的法案将在美国的多个州生效。

这意味着无论公司总部位于何处,如果公司的客户是居住在加利福尼亚和纽约的客户,则他们必须遵守规定,否则将被罚款。

关于CCPA的讨论尚未停止

CCPA于去年6月宣布。经过一年多的修改和准备,州长终于在今年10月13日签署了该法案。

在漫长的一年里,CCPA的讨论从未停止过。

GoBestVPN的创始人詹比坎贝尔(Jambie Cambell)也对CCPA及其消费者数据保护做出了预测。他指出,如果公司尚未准备好相应的代码库,至少应该考虑修改现有系统。对个人而言,保护自己的私人数据是有益的。

但并非所有人都对美国Uvietech Software Solutions Inc.实施CCPA持积极态度。软件工程师兼首席执行官Bryan Osima认为,CCPA的实施可能不会改变,即使对于消费者而言,这也不是一件好事,因为他们不再能够使用免费的应用程序。

对于还未通过GDPR的英国企业,挑战会更艰巨

英国自脱欧以来一直备受关注,英国不少公司同样深受GDPR的影响,CCPA的实行对现在处境有点尴尬的英国企业来说又意味着什么呢?

国际律师事务所Dorsey&Whitney的合伙人Robert Cattanach指出,将信息治理的基本要素整合到所有运营活动中之前,推进CCPA是一个缓慢渐进的过程。

尽管CCPA对大多数英国企业的影响可能不如GDPR那样直接,但CCPA的某些看似宽松的规定实际上潜藏了挑战和危机。

许多公司会想当然地认为,为遵守GDPR而采取的信息治理措施也能满足CCPA的要求。但是他说,在几乎所有情况下,这都是一个错误的假设。

“对于那些尚未通过GDPR遵从流程的公司,挑战似乎更加艰巨。”他说道。

同时,他也就英国应该如何面对CCPA提出自己的看法。

传统而言,更提倡“自下而上”的数据映射,这在理论上很不错,但在实践中极具挑战性。相较而言他更倾向于“更务实”的做法:对CCPA主要功能组件进行自我评估。

目前中国还缺少相关数据隐私保护法

美国加州聚集了众多互联网公司,包括微软、Uber等,对于任何谋求发展的跨国企业而言,可以说加州用户是兵家必争之地了。

此CCPA的要求指定为居住在加利福尼亚的用户。对于中国公司,只要加利福尼亚用户有市场需求,他们就必须遵守CCPA的相关规定。

考虑到中国目前没有相关的信息保护法,相关公司可能对此没有充分准备。 CCPA的实施对中国公司来说是一个巨大的挑战。

北京安立律师事务所高级合伙人王新瑞表示,中国的个人信息保护立法现在一方面需要“补救”,要借鉴国家立法的有效内容,并针对具有中国特色的数据格式。反应灵敏,尤其是互联网快速发展引起的问题。

GDPR有多严格?

欧洲在18个月前启动了GDPR,这是数据隐私法规中的一个里程碑。

互联网公司屡次被罚款

尽管进行了两年的准备,但互联网行业仍然受到侵权行为的严重打击。在GDPR实施的第一年,有90,000多家公司由于难以满足合规性要求而自愿举报违规行为,有145,000多家公司受到消费者投诉。

与大多数法律一样,对法律的无知不是借口。同样,犯罪者的意图也不能提供避风港。监管机构不在乎公司违规的原因。但是,它们确实对明显,故意或故意的相关行为处以更高的罚款。

2019年1月,谷歌被法国当局处以5000万欧元的罚款,因为谷歌在法国收集和使用用户个人数据进行广告定位时缺乏透明度。

几个月前,一家葡萄牙医院因没能很好管理患者病历,支付了40万欧元罚款。这家医院创建了1,000个医生左右的访问帐户,当实际工作的医生少于300人时,这1,000个用户帐户可以不受限制地访问患者数据。

一家丹麦的出租车公司因收集超过900万条包含个人身份信息的客户记录被罚款120万克朗,因为这违反了GDPR相关规定。

波兰当局对本国的垃圾邮件行动进行了猛烈抨击,他们从公共网页上抓取了电子邮件地址,将这些地址汇总起来,用以发送“垃圾邮件”。90,000人的分发名单中的12,000名收件人投诉,本次行为共遭罚款22万欧元。

这还不是全部,在线GDPR执法跟踪器正试图捕获所有基于互联网的隐私滥用行为,包括对英国航空公司(British Airways)悬而未决的2.04亿欧元罚款,该公司此前泄露了50万客户的付款信息。

谷歌、Facebook等改进对用户数据的管理模式

GDPR于去年5月正式实施,在此之前,谷歌、Facebook等互联网公司纷纷改进了对用户数据的管理模式。

去年三月,Facebook宣布做出以下调整:简化设置菜单,添加新的隐私快捷方式信息中心,更新用户的数据下载和编辑权限。

在新的隐私快捷方式信息中心,用户可以访问“更清晰,更直观”的系统,该系统使他们有权利控制投放广告、控制谁能看到自己个人资料和个人信息、添加额外的保护机制。

紧随Facebook的脚步,谷歌在5月份对数据政策做出相应整改,通过向人们提供更明确的工具来管理数据,提高“用户透明度”。

对于消费者而言,控制投入广告或完全屏蔽广告的过程会更加简化,Google表示,计划未来几个月内进一步简化这些工具的外观和使用 。

谷歌在欧洲、中东和非洲地区隐私和法律总监马尔科姆(Malcolm)表示,谷歌改进了策略引导和组织结构,不仅查找内容会更容易,也能更轻松地管理、导出和删除隐私数据。

CCPA和GDPR之间存在一些关键差异。总的来说,CCPA在适用监管标准的制定上会比GDPR更宽松,即使在举报违规情况下,除非有大量用户报告,每次事件罚款不会特别重。

CCPA的最低标准。GDPR没有设置最低标准,因此企业的所有业务都会被监管;但是CCPA不会监管年营业额低于2500万美元,业务范围不超过50,000用户的公司,即使是发现了该公司存在数据泄露的行为。

罚款额度。GDPR设有上限,确保罚款不超过违法者收入的很大部分,但是对CCPA违法者而言,罚款金额的唯一限制是受影响的用户数量,根据规定,罚款金额范围定在100美元至750美元/受影响用户,因此,如果一个拥有100万用户帐户的网络服务因违规罚款,这家公司很可能会倒闭。

用户的加入与退出。根据CCPA,用户如果选择退出必须与第三方进行信息共享,GDPR则强烈建议用户选择加入。一般而言,CCPA在主动公开和处理未成年人方面更为宽大。

总的来说,如果企业能符合GDPR的要求,那很大概率上也能符合CCPA的要求。

只有2%的企业做好准备了

根据GDPR的规定,如果公司是为欧洲客户提供服务,则无论公司位于何处,都必须符合GDPR相关要求。同样,如果是为美国客户提供相应服务,则需符合纽约和加州的相关法律要求。

根据IAPP和OneTrust于2019年8月对大多数美国企业进行的调查,虽然74%的受访者认为公司需要遵守即将颁发的CCPA,但只有约2%的受访者表示他们的公司已经做了充分准备。

考虑到GDPR已经让许多公司遭受重创,但只有47%的调查受访者希望在1月1日前为CCPA做好准备,对于仍未符合GDPR要求的公司尤其如此。

调查问题:大概希望所在企业何时完全遵守CCPA?结果显示了两次IAPP/OneTrust调查,一次在4月进行,一次在8月进行。

即使企业认为这些数据保护法对自身还不适用,但相关法律的指定还是十分有必要的。如果违反或损害了相关标准,会对相关企业追究民事责任。

相关法律在美国欧洲等地先后推出,为法官处理企业与受影响客户之间的案件提供了标准。归根结底,保护客户的隐私会有助于增加客户对企业的信任以及企业自身业务和品牌的发展这些的价值远远高于因违反法律必须缴纳的罚款。

那么问题来了,你准备好了吗?

(原标题:一个用户至少“值”100美元:美国最“贵”数据法案CCPA明年初实行)

(责任编辑:DF515)