写点什么

2020,个人隐私保护的变革之年

2020 年 1 月 07 日

2020,个人隐私保护的变革之年


新的一年,总有些东西会改变,并变得更好,比如隐私保护。


2020 年 1 月 1 日,美国加州《CCPA》正式施行。《CCPA》全称是《2018 年加州消费者隐私法案》,这部法律出台的目的是当科技公司收集和使用数据时,赋予人们更多的信息和数据控制权。


《CCPA》的颁布标志着加州成为美国第一个具有完整用户隐私法律的州。它虽然仅适用于加州公民,但鉴于这部法律的全面性和高覆盖率,其每项条款都对从事个人数据收集和处理的企业有着巨大影响。


如果说欧盟《GDPR》为保护公民隐私开了一个好头,那么加州《CCPA》则继往开来。


众所周知,欧盟《GDPR》(即《通用数据保护条例》)于 2018 年 5 月 25 日正式生效。这部“大法”不仅取代了 1995 年的《数据保护指令》和欧盟成员国各自制定的相关法规,而且在个人隐私保护方面迈出一大步。


一旦违反《GDPR》,后果很严重。



例如,2019 年 7 月 8 日,英国信息监管局发表声明说,英国航空公司因违反《GDPR》被罚 1.8339 亿英镑(约合 15.8 亿元人民币)。


欧盟《GDPR》从步伐上开创了隐私保护的新时代,而加州《CCPA》或许将从影响力上推动隐私保护再前进一步。


硅谷科技公司的态度

鉴于加州的独特地位,我们或许可以看到《CCPA》的潜在影响。


加州经济发达。根据 2018 年美国商务部的数据显示,加州 GDP 高达 2.747 万亿美元。如果把它视为独立经济体,加州经济规模能排到全球第五,对全美、乃至全球经济影响巨大。


更重要的是,加州是硅谷所在地,汇集着谷歌、Facebook、惠普、英特尔、苹果、思科、英伟达、甲骨文和特斯拉等科技大公司和众多创业公司。


目前,有些公司已经采取相关措施,促使平台合规。


Twitter:


2019 年 12 月,Twitter 公司宣布一项新的“隐私中心”,更新其隐私政策。


谷歌:


针对《CCPA》,谷歌则推出一款 Chrome 插件,它可以允许人们禁用 Google Analytics 收集其信息。



Mozilla:


“自我要求”更高的 Mozilla 在 2020 年 1 月 1 日宣布,它计划新的一年里在全球范围遵守《CCPA》,而不仅仅针对美国加州公民。并且,Mozilla 在声明中指出,它收集的用户数据非常少。在即将到来的更新中,Mozilla 计划让用户能从 Mozilla 的服务器上删除他们的遥测数据。


Facebook:


Facebook 称,无需更改政策,因为它表示从技术上讲,自己不会“出售”用户数据,而是将其用于广告定位。


根据加州发布的一份报告表明,预计科技公司将花费约 550 亿美元来实现合规性


虽然不菲的合规成本会暂时影响某些科技公司的发展,但如果能早日实现合规,那么这些科技公司或许会“活得更久”。


加州《CCPA》VS 欧盟《GDPR》

尽管加州《CCPA》吸取了欧盟《GDPR》的一些理念,比如数据访问权、数据删除权和数据可携带权,但是很多方面比欧盟相关条例更具体。


当然,欧盟的条例中有些内容则是加州法案所没有的。我们可以看看两者的相同和差异。


1、哪些企业受到监管?

加州《CCPA》:满足以下条件之一的加州企业,属于本法律的适用范围:


  • 年收入超过 2500 万美元;

  • 拥有超过 50000 个消费者、家庭或设备的商业数据;

  • 消费者个人数据的销售额占年收入一半以上。


本法律也适用于以下企业:上述企业的控股公司或者被控股公司;与上述企业共享品牌的公司,例如,共享企业名称、服务商标或注册商标。


本法律部分条款还适用于:服务供应商和第三方。


欧盟《GDPR》:


  • 对于数据控制者和数据处理者而言:

  • 不管数据处理发生地是否在欧盟范围内,只要是欧盟国家企业,在欧盟机构活动的背景下处理个人数据;

  • 即使是非欧盟国家企业,只要其处理的欧盟数据主体个人数据,与欧盟范围内的产品或服务相关,或与行为监测相关;


都必须遵守本条例。


对比:经过对比,我们发现,欧盟《GDPR》的应用范围和地域范围要大得多。受到监管的企业范围也有较大不同。


2、哪些人受到保护?

加州《CCPA》:本法律所保护的加州居民须满足以下任一条件:


  • 在加州境内且非短暂停留的人;

  • 定居在加州但暂时不在加州境内的人;


本法律所保护的消费者群体包括:


  • 居家用品和居家服务的消费者;

  • 公司员工;

  • 企业对企业的交易(B2B 交易)


欧盟《GDPR》


  • 数据主体,具体指与个人数据相关的已识别或可识别的个人。


对比:两部法律在定义方式上差异大,但影响同样广泛;虽然两部法律聚焦的数据都与可识别的自然人有关,但对数据的定义不同;两部法律对地域之外的对象都有潜在影响,管辖范围之外的企业也受影响。


3、哪些信息受保护?

加州《CCPA》


  • 特定消费者或家庭的个人信息,信息类型主要包括可识别、可描述、能产生联系、或直接间接产生关联的信息;

  • 法律定义包括一系列特定种类的个人信息;

  • 个人信息不包括公开的政府记录。


另外本法律同样不包括其他法规所覆盖的个人信息。


欧盟《GDPR》


  • 与已识别或可识别数据主体相关的所有个人数据;

  • 除非有合法理由,否则欧盟《GDPR》禁止处理任何特殊类型的个人数据。


对比:两部法律在信息的定义上基本相似,唯一不同的是加州《CCPA》还覆盖家庭和设备层面的信息。


4、隐私声明或知情权的规定

加州《CCPA》:企业必须告知消费者以下内容:


  • 企业采集的个人信息种类;

  • 每个种类拟定的使用目的;


如果企业有以下操作,还需进一步告知:


  • 企业要采集附加的个人信息种类;

  • 采集个人信息用于其他不相关的目的;


《CCPA》要求企业向消费者提供特定信息,建立交付需求;第三方在从其他企业获取数据时,也必须给予消费者明确的通知,让消费者在转售个人信息之前有机会选择退出。


欧盟《GDPR》


  • 数据控制者必须对其个人数据采集和处理提供细节信息。不论信息采集是直接来自数据主体还是来自第三方,都必须让消费者知情。


对比:


两部法律在信息披露规定方面比较类似,只是特定信息的获取方式和交付方式有所不同;《CCPA》规定:如果消费者提出请求,企业必须向消费者出示个人信息披露或转卖给第三方的相关信息,但内容只涵盖到消费者提出请求前的 12 个月。


5、数据安全

加州《CCPA》


《CCPA》没有强制规定数据安全的条款,但针对企业不顾现存加州法律风险,违反数据安全操作规则所引发的数据泄露,本法律规定了诉讼权。


欧盟《GDPR》


《GDPR》要求数据控制者和数据处理者采取合理的方式和组织措施,确保与风险相匹配的安全水平。


对比:在司法方式上基本相同,但随着组织环境和监管机构的理解不同,合理的安全措施一定程度上也不尽相同。


6、关于儿童的权利规定

加州《CCPA》


《CCPA》规定,企业未经允许,禁止出售 16 周岁以下消费者的个人信息;年龄 13-16 周岁的儿童可以直接给予企业同意。13 周岁以下的儿童须经父母同意。需要明确的是,本法律遵从《联邦儿童在线隐私保护法》提供的保护条款。


欧盟《GDPR》


《GDPR》默认年满 16 周岁的儿童才有决定自己个人信息如何处理的权利,但欧盟成员国法律的年龄规定是 13-16 周岁。13 周岁以下的儿童须由其监护人提供同意的权利;儿童必须要收到一份与其年龄相适应的隐私说明;儿童的个人数据必须受到更高层级的安全要求监管。


对比:


除了年龄区间的规定相似之外,两部法律的区别很大。《CCPA》只在个人数据出售方面需要父母同意,而《GDPR》规定所有数据处理过程都必须经过父母同意。


7、关于信息的删除权或被遗忘权

加州《CCPA》


  • 除个别例外情况,消费者有权删除企业采集的个人数据;

  • 企业也必须通知其服务供应商删除相应数据。


欧盟《GDPR》


  • 在六种情况下,数据主体有权删除个人数据;

  • 数据控制者必须采取合理措施,告知同样处理数据的其他数据控制者。


对比:两部法律在数据删除权方面的规定类似;欧盟《GDPR》关于数据删除权实施的情况只规定了六种情况,而《CCPA》更宽泛;欧盟《GDPR》规定企业有义务通知下游数据接受者删除个人数据,这一点的适用范围也比较宽泛。


8、反歧视规定

加州《CCPA》


  • 企业处理消费者数据时,不能歧视消费者;

  • 除非消费者提供的数据价值有差异,否则企业的定价不能因歧视而厚此薄彼;

  • 如果财务激励措施在条款中或线上隐私政策有呈现,而且需要消费者的一致应允,企业才能为消费者提供财务激励。


欧盟《GDPR》


  • 类似的反歧视规则在《GDPR》中体现得比较含蓄。关于相关组织不能在数据主体行使其权利时予以歧视,例如禁止对数据主体权利和自由造成影响的数据处理行为,条例没有明确说明。


对比:两部法律在该方面所体现的观念相同,但对义务的规定不同。


9、惩罚措施(私人诉权)

加州《CCPA》


  • 对数据泄露包括信息的部分泄露,《CCPA》的惩罚措施没那么宽泛。

  • 如果发生数据泄露,企业有 30 天时间修复;消费者每人单次事件可以寻求实际赔偿金或法律赔偿金,金额从 100 美元到 750 美元不等。法院也可以指令或公告形式对企业进行减免。


欧盟《GDPR》


  • 《GDPR》可对数据控制者或数据处理者造成物质或非物质的损失进行处罚。


对比:两部法律的适用范围差异比较大,但违规行为都会产生重大经济责任。


10、惩罚措施(民事罚款)

加州《CCPA》


加州总检察长对于每次违规行为判决的民事罚款约 2500 美金,如果是故意行为,最高可达 7500 美金。但本法律规定,企业有 30 天的时间修复数据泄露问题。


欧盟《GDPR》


行政处罚最高可达 2000 万欧元,或该企业全年收入的 4%;根据欧盟《GDPR》第八十三条,欧盟成员国实施罚金处罚应遵照《GDPR》违反章程,而非各国的行政处罚。


对比:虽然罚金的计算方式不同,但是欧盟《GDPR》的处罚显然更重。


回看中国

在个人隐私方面,主要有两种糟糕的现象:一是侵犯用户隐私,比如一些 App 违规收集、使用用户个人信息、不合理索取用户权限等;二是买卖个人数据。



此前,笔者采访一名网络安全行业的技术专家时,他表示,几年前,个人数据或信息买卖非常猖獗,很多都是明码标价,比如手机号多少钱一个、身份证号多少钱一个、银行卡号多少钱一个,这些全部明码标价。


笔者相信,欧盟《GDPR》之后,出现加州《CCPA》,而《CCPA》后,将有中国的相关法律出台。


2019 年底,工信部召开 App 侵害用户权益行为专项整治工作启动部署会,将重点对违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账户注销设置障碍开展规范整治工作。


据悉,在隐私保护方面,中国正在制定《个人信息保护法》和《数据安全法》。


从欧盟、美国到中国,个人隐私保护已经成为互联网时代的重要命题。这个命题的前提是,数据被视为新时代的“石油”,它有着无限价值。经济利益的驱使,加上技术的滥用,个人数据被疯狂掠夺,这一切让个人隐私保护进入“黑暗时期”。而《GDPR》、《CCPA》和中国正在制定的法律或许能成为冲破黑暗的一束光。


(感谢 InfoQ 编辑岳巍对本文的贡献)


附:


美国《2018 年加州消费者隐私法案》 中文译本


2020 年 1 月 07 日 07:502675
用户头像
万佳 InfoQ编辑

发布了 543 篇内容, 共 199.0 次阅读, 收获喜欢 1344 次。

关注

评论

发布
暂无评论
发现更多内容

贵州:“区块链+”促经济转型产业升级

CECBC区块链专委会

获奖名单公布 | 写作平台八月宠粉福利来袭,参与创作领取限时大奖~

InfoQ写作平台官方

写作平台 征稿 活动专区

论做AI芯片的正确姿势

flow

week 10

Geek_2e7dd7

2.2.2 类反射场景与使用 -《SSM深入解析与项目实战》

谙忆

丢弃掉那些BeanUtils工具类吧,MapStruct真香!!!

Hollis

Java 程序员 后端

Linux神器strace的使用方法及实践

华为云开发者社区

Linux 运维 工具 后端 Strace

你是否真的懂数组?

架构师修行之路

数组 数据结构与算法

支持 100 种语言的 Canva 是怎么做本地化管理的?

葛仲君

产品经理 本地化 产品本地化 国际化

DT时代释放金融数据价值,驱动金融商业裂变

华为云开发者社区

金融科技 华为云 modelarts 数据价值 用户细分

9个常用ES6特性归纳(一般用这些就够了)

华为云开发者社区

Java 程序员 编程语言 ES6 编程效率

libuv 异步网络编程之 TCP helloworld

Huayra

网络编程 libuv

week 10

Geek_2e7dd7

为什么 90 后一言不合就跳槽?

非著名程序员

程序员 个人成长 职业成长 延迟满足感 即时反馈

原创 | 使用JPA实现DDD持久化- O:对象的世界(3/3)

编程道与术

Java hibernate DDD JDBC jpa

十五张图带你彻底搞懂从URL到页面展示发生的故事

执鸢者

前端 浏览器 页面展示

英特尔推出“OpenVINO领航者联盟”,携手DFRobot推进AI商业落地新探

最新动态

微服务架构

不在调上

腾讯SaaS千帆对渠道的态度——合作共赢的诚意

人称T客

最右JS2Flutter框架——动画、小游戏的实现(四)

刘剑

flutter 前端 探索与实践

华为阿里下班时间曝光:所有的光鲜,都有加班的味道

程序员生活志

华为 加班 阿里

当我们谈注册中心时谈什么?

捉虫大师

zookeeper nacos 注册中心

【权限系统设计】ACL, DAC, MAC, RBAC, ABAC模型的不同应用场景

小隐乐乐

Github+docsify零成本轻松打造在线文档网站

Java全栈封神

Java GitHub 全栈 文档 docsigy

计算机网络基础(十七)---传输层-TCP的可靠传输

书旅

TCP 计算机网络 网络协议 计算机基础 TCP/IP

5招详解linux之openEuler /centos7防火墙基本使用指南

华为云开发者社区

centos7 网络安全 防火墙 openEuler 网络环境

AndroidStudio解决Unknown host 'd29vzk4ow07wi7.cloudfront.net'. You may need to adjust the proxy settings in Gradle

小菜鸟学php

主权投资基金或有助于实现可持续发展目标

CECBC区块链专委会

联盟链落地与激励机制

CECBC区块链专委会

十二张图搞懂浏览器安全——(同源策略、XSS、CSRF、跨域、HTTPS、安全沙箱等知识点)

执鸢者

https 浏览器安全 同源策略 XSS 跨域

LeetCode题解:21. 合并两个有序链表,迭代(优化),JavaScript,详细注释

Lee Chen

LeetCode 前端进阶训练营

2021年全国大学生计算机系统能力大赛操作系统设计赛 技术报告会

2021年全国大学生计算机系统能力大赛操作系统设计赛 技术报告会

2020,个人隐私保护的变革之年-InfoQ