加州颁布消费者隐私法

2018 年 9 月 03 日

美国加州颁布了 2018 年加州消费者隐私法(CCPA, California Consumer Privacy Act ),并将自 2020 年 1 月 1 日起生效。该法案将企业收集、储存、销售和分享消费者信息的若干权利授予消费者本身。其中,消费者指的是居住在加州的“自然人”。这是美国首个此类立法。

概述

消费者有权要求企业披露其所拥有的信息、收集信息的来源类别、收集或销售的业务目的,以及共享信息的第三方企业类别。企业必须根据消费者经验证的请求删除其个人信息。消费者也有权知道企业提前收集了哪些信息。

通常情况下,消费者必定默认不允许(opt-out)采集数据。

该法案禁止企业歧视提出此类请求的消费者。歧视的定义涵盖各种质量的商品或服务,除非它与消费者数据的价值相关。该法律将如何适用于那些提供免费服务以换取信息采集的企业,目前尚未明确。

企业必须公布隐私政策,以及如何使用和销售消费者信息的政策。企业可以保留一些信息用于内部目的。但是法律并未界定什么是企业内部目的

个人信息的定义

CCPA 给出了个人信息的一个宽泛定义,该定义超出了通常被认为是敏感信息或财务信息的范围。“个人信息”是指能与特定消费者或其家庭直接或间接地识别、关联、描述并能够与之相关联或可能合理地相关联的信息。其中包括但不限于:

  • “标识符。例如真实姓名、别名、邮政地址、个人唯一标识符、在线标识符、互联网协议地址、电子邮件地址、帐户名称、社会保险号码、驾驶证号码、护照号码或其它类似的标识符。”
  • “商业信息,包括购买、获得或被考虑的个人财产、产品或服务的记录,以及其它一些购买或消费的历史或趋势。”
  • “生物信息。”
  • “互联网或其他电子网络活动的信息,包括但不限于浏览历史、搜索历史,以及有关消费者与 Web 网站、应用或广告的交互信息。”
  • “地理位置数据。”
  • “音频、电子、视觉、热量、嗅觉或其它类似的信息。”
  • “专业或就业相关信息。”
  • “受教育信息。”
  • “可从上述细分信息中推理确定消费者相关概况的任何信息,包括偏好、特征、心理趋势、偏好、倾向、行为、态度、智力、能力和资质等。”

个人信息中并未包括公开可用的信息。

一些允许的例外情况

通常小企业和非营利组织似乎是免税的,同样它们如果从事某些信息收集活动也可以获得保障。但它们必须符合联邦、州或当地法律,遵守法律和监管传票,响应传票或合理的执法调查。

对于去识别的信息或汇总信息,企业可以使用、保留、出售或披露。

如果交易的各个方面都完全发生在加州以外,那么企业可以收集或出售个人信息。但是如果消费者身处加州,那么企业不能在设备上存储其个人信息,并用于收集加州以外的数据。

对不遵守法规行为的处罚

按法案规定,由加州检察长负责执法,并支持个人消费者在数据泄露后提起诉讼。数据泄露定义为由于企业未能维护合理的安全程序,而造成未经加密或未经编辑的信息产生未授权的访问、被盗或泄露。纸质数据的丢失也将被追责。司法部长可执行立法中的所有规定。

该法案规定了总检察长诉讼收益的分配方法。该法案将在普通基金(General Fund)中设立消费者隐私基金(Consumer Privacy Fund)。经立法机关批准后,基金中的款项将用于支持法案及法案执行的目的。该法案规定罚款也将存入基金。

该法案并未对合理的安全程序做出定义。加州司法部长此前曾引用互联网安全中心( Center for Internet Security’s Critical Security Controls )的 20 个关键安全控制控件,依此作为对使用个人信息的企业的最低信息安全级别定义。

该法案“将放弃豁免按条款规定的消费者权利。”

为便于法规通过,该法案要求司法部长按规定征求公众参与。该法案将授权企业、服务提供商或第三方企业寻求司法部长对如何遵守法案规定的意见。

立法史

该法案是在一周时间内完成由州长重新提起、通过并签署的。

该法案的这种速度,是为了抢在一项投票倡议的前面。该投票倡议将在2018 年11 月选举中出现。投票的发起人表示,如果加州消费者隐私法案能于6 月29 日通过并由州长签署,那么他们将从投票中撤回该提案。

自“进步时代”( The Progressive Era )以来,加州公民可对建议法律诉诸投票。如果投票通过,那么该法律将成为州立法机关无法修改的州法。修正案必须由其他倡议作出。

影响

虽然该法律保护仅适用于加州公民,但事实上将影响美国的绝大部分。加州是美国人口最多的州。假定加州是一个独立的国家,那么它的经济排名世界第五,超过英国或法国。该州之外的许多企业会发现,在隐私政策或退出规定方面,对加州和非加州居民采取不同的处理方式会造成很多麻烦。从理论上讲,即便是非加州的IP 地址也可以在加州境内使用,加州居民也可暂时在加州境外办理业务。

与欧盟GDPR 的对比

二者尽管从表面上看类似,但其实它们截然不同。加州立法的范围受到了更多的限制。此外,符合GDPR 并不会导致自动符合CCPA

加州立法局限于消费者隐私权和消费者披露。GDPR 不仅规范了消费者披露、而且还包括数据泄露程序、个人和监管机构的通知、如何实施数据安全以及跨境数据传输规则等。GDPR 授予诸如纠正等权利,不受基于自动决策制定的决定的约束,并且可能是被遗忘的权利。GDPR 要求用户主动选择同意(opt-in),而CCPA 通常要求默认选择不使用(opt-out)个人数据。CCPA 要求提供免费电话号码,而GDPR 则不需要。目前尚不清楚企业应如何遵守一些相互冲突的要求。

GDPR 不允许根据隐私数据的不同许可程度制定不同的定价机制。CCPA 并未明确企业为鼓励数据采集,可以为企业提供哪些经许可的财务激励。 CCPA 中对消费者数据定义要比 GDPR 中的定义更广泛。 此外,两者对披露和删除的允许例外情况有所不同。

启示

距该法案生效还有一年半的时间。这将为法律的修改提供充足的时间,或者期间可能会通过超越加州法律的国家立法。后者完全可能发生,因为可能会通过多个相互冲突的州法。业界可能认为该法案需要弱化,进而通过一些国家立法,尤其是在去除消费者诉讼方面。行业团体和国家立法者也陷入了客户当前所期望的以及他们认为企业所需要的这两者之间。类似于此类立法,国家政府要么设立新的机构,要么让联邦贸易委员会制定新的法规。

另一个有趣的方面在于,一些大型的科技企业可能会希望法规越复杂、越详细越好,这样只有他们才有时间、金钱和资源去实施。这将为竞争对手的进场制造障碍。有报道称由于GDPR 过于繁琐,欧洲的一些小型企业正在关闭

查看英文原文: California Creates Consumer Privacy Act

2018 年 9 月 03 日 14:54 792
用户头像

发布了 355 篇内容, 共 84.2 次阅读, 收获喜欢 139 次。

关注

评论

发布
暂无评论
发现更多内容

epoll服务器解析

菜鸟小sailor 🐕

甲方日常 36

大橘子

工作 随笔杂谈 日常

Java中String占用空间的评估标准

陈德伟

Java jdk 源码剖析

一致性 hash

garlic

架构师训练营第 1 期

MySQL官方特供649页顶级笔记,凝聚社区力量深入技术内幕

周老师

Java 编程 程序员 架构 面试

终于,SM2国密算法被Linux内核社区接受了!

阿里云基础软件团队

关于编码

西贝

JavaScript 编码

mongodb源码实现、调优、最佳实践系列-Mongodb网络模块源码实现及性能调优(一)

杨亚洲(专注mongodb及高性能中间件)

MySQL mongodb 分布式数据库 中间件 架构师

如何基于消息中间件实现分布式事务?我想说的都在这儿了!!

冰河

分布式事务 微服务 分布式数据库 数据一致性 海量数据

架构师训练营第 2 期第一周作业

井中人

socket编程

菜鸟小sailor 🐕

websocket

微服务的理想与现实

京东智联云开发者

云原生

C/C++最佳实践

jiangling500

c c++ 最佳实践

Linux内核系统结构

林昱榕

Linux 操作系统 内核 系统调用 操作系统结构

小熊派开发实践丨漫谈LiteOS之传感器移植

华为云开发者社区

开发 IoT stm32

week04总结

xxx

Week 4命题作业

balsamspear

架构师训练营第 1 期

Week 4学习总结

balsamspear

架构师训练营第 1 期

一文读懂线程池的工作原理(故事白话文)

捡田螺的小男孩

Java 面试 线程池 线程池工作原理

食堂就餐卡系统设计

Griffenliu

大明湖畔昇腾绽放,趵突泉里智能奔涌

脑极体

为什么Java容器推荐使用ExitOnOutOfMemoryError而非HeapDumpOnOutOfMemoryError?

东风微鸣

Kubernetes 最佳实践 jvm调优

Java中的String到底占用多大的内存空间?你所了解的可能都是错误的!!

冰河

Java 内存泄露 string 性能调优 内存溢出

设计数据库集群读写分离并非易事

架构师修行之路

分布式 微服务

如果只推荐一本 Python 书,我要 Pick 它!

Python猫

Python 学习 编程 程序员 码农

听说你会缓存?

架构师修行之路

redis 缓存 微服务

架构作业:一致性hash

Nick~毓

区块链赋能供应链金融|应用优势与四类常见模式

CECBC区块链专委会

区块链

架构师训练营第2期-第一周-学习总结

井中人

二十一、深入Python强大的装饰器

刘润森

Python

week04 作业

xxx

加州颁布消费者隐私法-InfoQ