2020,个人隐私保护的变革之年

阅读数:1 2020 年 1 月 7 日 07:50

2020,个人隐私保护的变革之年

2020,个人隐私保护的变革之年

新的一年,总有些东西会改变,并变得更好,比如隐私保护。

2020 年 1 月 1 日,美国加州《CCPA》正式施行。《CCPA》全称是《2018 年加州消费者隐私法案》,这部法律出台的目的是当科技公司收集和使用数据时,赋予人们更多的信息和数据控制权。

《CCPA》的颁布标志着加州成为美国第一个具有完整用户隐私法律的州。它虽然仅适用于加州公民,但鉴于这部法律的全面性和高覆盖率,其每项条款都对从事个人数据收集和处理的企业有着巨大影响。

如果说欧盟《GDPR》为保护公民隐私开了一个好头,那么加州《CCPA》则继往开来。

众所周知,欧盟《GDPR》(即《通用数据保护条例》)于 2018 年 5 月 25 日正式生效。这部“大法”不仅取代了 1995 年的《数据保护指令》和欧盟成员国各自制定的相关法规,而且在个人隐私保护方面迈出一大步。

一旦违反《GDPR》,后果很严重。

2020,个人隐私保护的变革之年

例如,2019 年 7 月 8 日,英国信息监管局发表声明说,英国航空公司因违反《GDPR》被罚 1.8339 亿英镑(约合 15.8 亿元人民币)。

欧盟《GDPR》从步伐上开创了隐私保护的新时代,而加州《CCPA》或许将从影响力上推动隐私保护再前进一步。

硅谷科技公司的态度

鉴于加州的独特地位,我们或许可以看到《CCPA》的潜在影响。

加州经济发达。根据 2018 年美国商务部的数据显示,加州 GDP 高达 2.747 万亿美元。如果把它视为独立经济体,加州经济规模能排到全球第五,对全美、乃至全球经济影响巨大。

更重要的是,加州是硅谷所在地,汇集着谷歌、Facebook、惠普、英特尔、苹果、思科、英伟达、甲骨文和特斯拉等科技大公司和众多创业公司。

目前,有些公司已经采取相关措施,促使平台合规。

Twitter:

2019 年 12 月,Twitter 公司宣布一项新的“隐私中心”,更新其隐私政策。

谷歌:

针对《CCPA》,谷歌则推出一款 Chrome 插件,它可以允许人们禁用 Google Analytics 收集其信息。

2020,个人隐私保护的变革之年

Mozilla:

“自我要求”更高的 Mozilla 在 2020 年 1 月 1 日宣布,它计划新的一年里在全球范围遵守《CCPA》,而不仅仅针对美国加州公民。并且,Mozilla 在声明中指出,它收集的用户数据非常少。在即将到来的更新中,Mozilla 计划让用户能从 Mozilla 的服务器上删除他们的遥测数据。

Facebook:

Facebook 称,无需更改政策,因为它表示从技术上讲,自己不会“出售”用户数据,而是将其用于广告定位。

根据加州发布的一份报告表明,预计科技公司将花费约 550 亿美元来实现合规性

虽然不菲的合规成本会暂时影响某些科技公司的发展,但如果能早日实现合规,那么这些科技公司或许会“活得更久”。

加州《CCPA》VS 欧盟《GDPR》

尽管加州《CCPA》吸取了欧盟《GDPR》的一些理念,比如数据访问权、数据删除权和数据可携带权,但是很多方面比欧盟相关条例更具体。

当然,欧盟的条例中有些内容则是加州法案所没有的。我们可以看看两者的相同和差异。

1、哪些企业受到监管?

加州《CCPA》:满足以下条件之一的加州企业,属于本法律的适用范围:

  • 年收入超过 2500 万美元;
  • 拥有超过 50000 个消费者、家庭或设备的商业数据;
  • 消费者个人数据的销售额占年收入一半以上。

本法律也适用于以下企业:上述企业的控股公司或者被控股公司;与上述企业共享品牌的公司,例如,共享企业名称、服务商标或注册商标。

本法律部分条款还适用于:服务供应商和第三方。

欧盟《GDPR》:

  • 对于数据控制者和数据处理者而言:
  • 不管数据处理发生地是否在欧盟范围内,只要是欧盟国家企业,在欧盟机构活动的背景下处理个人数据;
  • 即使是非欧盟国家企业,只要其处理的欧盟数据主体个人数据,与欧盟范围内的产品或服务相关,或与行为监测相关;

都必须遵守本条例。

对比:经过对比,我们发现,欧盟《GDPR》的应用范围和地域范围要大得多。受到监管的企业范围也有较大不同。

2、哪些人受到保护?

加州《CCPA》:本法律所保护的加州居民须满足以下任一条件:

  • 在加州境内且非短暂停留的人;
  • 定居在加州但暂时不在加州境内的人;

本法律所保护的消费者群体包括:

  • 居家用品和居家服务的消费者;
  • 公司员工;
  • 企业对企业的交易(B2B 交易)

欧盟《GDPR》

  • 数据主体,具体指与个人数据相关的已识别或可识别的个人。

对比:两部法律在定义方式上差异大,但影响同样广泛;虽然两部法律聚焦的数据都与可识别的自然人有关,但对数据的定义不同;两部法律对地域之外的对象都有潜在影响,管辖范围之外的企业也受影响。

3、哪些信息受保护?

加州《CCPA》

  • 特定消费者或家庭的个人信息,信息类型主要包括可识别、可描述、能产生联系、或直接间接产生关联的信息;
  • 法律定义包括一系列特定种类的个人信息;
  • 个人信息不包括公开的政府记录。

另外本法律同样不包括其他法规所覆盖的个人信息。

欧盟《GDPR》

  • 与已识别或可识别数据主体相关的所有个人数据;
  • 除非有合法理由,否则欧盟《GDPR》禁止处理任何特殊类型的个人数据。

对比:两部法律在信息的定义上基本相似,唯一不同的是加州《CCPA》还覆盖家庭和设备层面的信息。

4、隐私声明或知情权的规定

加州《CCPA》:企业必须告知消费者以下内容:

  • 企业采集的个人信息种类;
  • 每个种类拟定的使用目的;

如果企业有以下操作,还需进一步告知:

  • 企业要采集附加的个人信息种类;
  • 采集个人信息用于其他不相关的目的;

《CCPA》要求企业向消费者提供特定信息,建立交付需求;第三方在从其他企业获取数据时,也必须给予消费者明确的通知,让消费者在转售个人信息之前有机会选择退出。

欧盟《GDPR》

  • 数据控制者必须对其个人数据采集和处理提供细节信息。不论信息采集是直接来自数据主体还是来自第三方,都必须让消费者知情。

对比:

两部法律在信息披露规定方面比较类似,只是特定信息的获取方式和交付方式有所不同;《CCPA》规定:如果消费者提出请求,企业必须向消费者出示个人信息披露或转卖给第三方的相关信息,但内容只涵盖到消费者提出请求前的 12 个月。

5、数据安全

加州《CCPA》

《CCPA》没有强制规定数据安全的条款,但针对企业不顾现存加州法律风险,违反数据安全操作规则所引发的数据泄露,本法律规定了诉讼权。

欧盟《GDPR》

《GDPR》要求数据控制者和数据处理者采取合理的方式和组织措施,确保与风险相匹配的安全水平。

对比:在司法方式上基本相同,但随着组织环境和监管机构的理解不同,合理的安全措施一定程度上也不尽相同。

6、关于儿童的权利规定

加州《CCPA》

《CCPA》规定,企业未经允许,禁止出售 16 周岁以下消费者的个人信息;年龄 13-16 周岁的儿童可以直接给予企业同意。13 周岁以下的儿童须经父母同意。需要明确的是,本法律遵从《联邦儿童在线隐私保护法》提供的保护条款。

欧盟《GDPR》

《GDPR》默认年满 16 周岁的儿童才有决定自己个人信息如何处理的权利,但欧盟成员国法律的年龄规定是 13-16 周岁。13 周岁以下的儿童须由其监护人提供同意的权利;儿童必须要收到一份与其年龄相适应的隐私说明;儿童的个人数据必须受到更高层级的安全要求监管。

对比:

除了年龄区间的规定相似之外,两部法律的区别很大。《CCPA》只在个人数据出售方面需要父母同意,而《GDPR》规定所有数据处理过程都必须经过父母同意。

7、关于信息的删除权或被遗忘权

加州《CCPA》

  • 除个别例外情况,消费者有权删除企业采集的个人数据;
  • 企业也必须通知其服务供应商删除相应数据。

欧盟《GDPR》

  • 在六种情况下,数据主体有权删除个人数据;
  • 数据控制者必须采取合理措施,告知同样处理数据的其他数据控制者。

对比:两部法律在数据删除权方面的规定类似;欧盟《GDPR》关于数据删除权实施的情况只规定了六种情况,而《CCPA》更宽泛;欧盟《GDPR》规定企业有义务通知下游数据接受者删除个人数据,这一点的适用范围也比较宽泛。

8、反歧视规定

加州《CCPA》

  • 企业处理消费者数据时,不能歧视消费者;
  • 除非消费者提供的数据价值有差异,否则企业的定价不能因歧视而厚此薄彼;
  • 如果财务激励措施在条款中或线上隐私政策有呈现,而且需要消费者的一致应允,企业才能为消费者提供财务激励。

欧盟《GDPR》

  • 类似的反歧视规则在《GDPR》中体现得比较含蓄。关于相关组织不能在数据主体行使其权利时予以歧视,例如禁止对数据主体权利和自由造成影响的数据处理行为,条例没有明确说明。

对比:两部法律在该方面所体现的观念相同,但对义务的规定不同。

9、惩罚措施(私人诉权)

加州《CCPA》

  • 对数据泄露包括信息的部分泄露,《CCPA》的惩罚措施没那么宽泛。
  • 如果发生数据泄露,企业有 30 天时间修复;消费者每人单次事件可以寻求实际赔偿金或法律赔偿金,金额从 100 美元到 750 美元不等。法院也可以指令或公告形式对企业进行减免。

欧盟《GDPR》

  • 《GDPR》可对数据控制者或数据处理者造成物质或非物质的损失进行处罚。

对比:两部法律的适用范围差异比较大,但违规行为都会产生重大经济责任。

10、惩罚措施(民事罚款)

加州《CCPA》

加州总检察长对于每次违规行为判决的民事罚款约 2500 美金,如果是故意行为,最高可达 7500 美金。但本法律规定,企业有 30 天的时间修复数据泄露问题。

欧盟《GDPR》

行政处罚最高可达 2000 万欧元,或该企业全年收入的 4%;根据欧盟《GDPR》第八十三条,欧盟成员国实施罚金处罚应遵照《GDPR》违反章程,而非各国的行政处罚。

对比:虽然罚金的计算方式不同,但是欧盟《GDPR》的处罚显然更重。

回看中国

在个人隐私方面,主要有两种糟糕的现象:一是侵犯用户隐私,比如一些 App 违规收集、使用用户个人信息、不合理索取用户权限等;二是买卖个人数据。

2020,个人隐私保护的变革之年

此前,笔者采访一名网络安全行业的技术专家时,他表示,几年前,个人数据或信息买卖非常猖獗,很多都是明码标价,比如手机号多少钱一个、身份证号多少钱一个、银行卡号多少钱一个,这些全部明码标价。

笔者相信,欧盟《GDPR》之后,出现加州《CCPA》,而《CCPA》后,将有中国的相关法律出台。

2019 年底,工信部召开 App 侵害用户权益行为专项整治工作启动部署会,将重点对违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账户注销设置障碍开展规范整治工作。

据悉,在隐私保护方面,中国正在制定《个人信息保护法》和《数据安全法》。

从欧盟、美国到中国,个人隐私保护已经成为互联网时代的重要命题。这个命题的前提是,数据被视为新时代的“石油”,它有着无限价值。经济利益的驱使,加上技术的滥用,个人数据被疯狂掠夺,这一切让个人隐私保护进入“黑暗时期”。而《GDPR》、《CCPA》和中国正在制定的法律或许能成为冲破黑暗的一束光。

(感谢 InfoQ 编辑岳巍对本文的贡献)

附:

美国《2018 年加州消费者隐私法案》 中文译本

评论

发布