关于加州消费者隐私法 (CCPA) 你需要知道的事

行业趋势 2020年 01月 13日

2018年6月,美国加利福尼亚州立法者通过了《加州消费者隐私法》(CCPA)。该法案在原先公投提案的基础上,于一周内迅速起草并通过。这将为企业理清思绪、成功遵守该法复杂的法律条文带来不少挑战。不过,该法案的出台也为企业建立强大的数据管理体系、确立相关道德准则提供了契机。尊重消费者的选择将成为企业透明度与可信赖度的最佳注脚。

CCPA这四个字母背后的含义

2020年1月,CCPA正式生效。该法案旨在提高加州居民对个人信息相关问题——企业对个人信息的收集和所收集之个人信息如何成为其他企业的财产——的关注,并切实保护加州居民的隐私权。从更高层面来说,这部新法将要求各机构透明地收集、共享和利用用户数据。凭借显眼的网站标头,加州居民将有权要求知悉企业收集了哪些个人数据、企业是否将这些数据出售给其他企业或与其他企业共享(若存在上述情况,其中涉及哪些个人数据),并有权要求企业停止出售个人数据。

CCPA保障五个主要权利:

  • 用户有权要求企业公开其个人数据收集及出售情况,包括个人可识别信息 (PII) 的类型、来源、用途以及是否与第三方共享
  • 用户有权要求企业提供过去12个月内收集的个人可识别信息之副本
  • 用户有权要求企业删除所收集的个人身份信息
  • 用户有权要求企业不得出售其个人数据
  • 用户有权不受歧视地行使上述权利

哪些企业将受影响?

  • 该法案适用于任何在加州开展业务的企业,因此实际上,它可算作一部国际法。由于该法案适用对象包括在加州出售商品或展示网站的州外商家,因此对于跨国公司来说,无论其是否在加州或美国拥有办公人员,他们都必须遵守该法案。事实上,这些企业将会选择遵守CCPA,而不是退出加州这个世界第五大经济体。
  • 适用企业满足下列条件:年收入超过2500万美元;2. 掌握至少5万名用户的个人数据;3. 企业50%以上的收入来源于出售用户数据
  • 豁免企业包括保险机构、中介和支持机构,这些机构已遵循国际知识产权联盟 (IIPA) 的相关规定

各机构将有6个月的时间来适应该法案。企业不仅需要改变其隐私政策,还必须了解其所收集的数据。“这听上去似乎显而易见,但事实上,许多企业并不一定完全了解它们已收集并保留了哪些信息——克里斯托弗-布德 (Christopher Budd)”。

若违反了CCPA的条款,企业必须在收到违法通知的30天内纠正违法行为(“补救规则”)。不遵守CCPA条款的机构将被处以每条记录7.5美元的罚款。用户有权以个人名义起诉或集体起诉该机构,要求相关赔偿。若因缺乏安全措施而导致违法,机构将被处于100美元至750美元的罚款(按每位消费者/每个事件/每项赔偿)。

美国版《通用数据保护条例》(GDPR)?不完全是!

乍看之下,CCPA俨然美国版《通用数据保护条例》(GDPR)。诚然,这两部法案均赋予用户一些权利:访问并删除已收集的个人数据、要求个人信息使用透明化、要求提供机构与其服务提供商签订的合同。然而,尽管两部法案拥有一些共同之处,它们仍然存在明显差异。

首先,CCPA的监管内容不如GDPR广泛。CCPA既不要求企业持有收集与使用敏感数据的合法依据,对美国境外的数据转移也不作限制,也不要求企业指定数据保护专员进行影响评估。最后一点,CCPA规定用户只能访问过去12个月内被收集的个人数据,且服务提供商须承担的义务也相对更少。

不过,CCPA在其他方面比GDPR有更多的限制。实际上,CCPA对敏感数据的定义更宽泛。在CCPA的定义里,敏感数据包括消费者的生物识别信息、网络浏览信息、已购买或考虑购买的产品、地理定位、学术信息和就业信息、以及任何可用于形成个人偏好资料的推论。CCPA豁免员工数据和部分从求职者、雇主、主管、官员、医务人员和承包商处收集的个人信息。此外,CCPA还赋予用户选择不出售个人数据的权利,并强制企业在公司网站和App中添加“不准出售我的个人信息”的标头。

这两部法案对服务提供商提出了不同要求,而CCPA的数据处理要求比GDPR更严格。最后,这两部法案在儿童隐私保护方面也有不同的规定。GDPR规定,在未满16岁的儿童个人数据处理方面,该数据处理行为必须先获得法律准许,父母方可同意对其未满16岁的子女之个人数据进行处理。相比之下,CCPA只考虑儿童数据出售的情况,而未涵盖所有类型的数据处理。CCPA还规定,机构必须先获得“同意出售”的同意声明。未满13岁的儿童必须由父母代其决定是否出售个人数据;而13-15岁的青少年可自主选择是否同意出售个人数据。

PWC-CCPA-Chart

Source: PWC, Your readiness roadmap for the California Consumer Privacy Act (CCPA)

CCPA法案仍需完善

鉴于CCPA破纪录的出台速度,后续可能会出台修正案来明确该法案中一些不够明晰的条款。例如,CCPA对“敏感数据”的定义流于宽泛、不够详尽具体。另外,CCPA给予机构30天的时间来纠正违法行为,以避免卷入官司。若企业1)已纠正违法行为;2)书面告知消费者已解决该问题且将来不会再发生此类违法行为,则消费者不得提起个人诉讼或集体诉讼。与其他消费者保护法案不同,CCPA明确规定,若企业的补救方案足以消除对原告的侵害,则消费者“不得就个人法定赔偿或集体法定赔偿向该企业提起诉讼”。因此,针对个人的补救措施也就是针对某个群体的补救措施。问题的关键在于“补救”一词的含义并不明确。

CCPA和GDPR均为网络体系的产物,各机构通过网络收集、保存、使用并共享个人数据。个人数据的收集与使用已十分普遍,但这同时也造成了个人数据窃取与数据滥用的日益泛滥。虽然CCPA并非美国版GDPR,但它肯定是美国个人数据保护的开端。该法案于2020年1月1日正式施行,在加州开展业务的机构将有6个月的时间理清思绪、成功遵守该法案。

敬请期待CCPA系列文章第二弹!下期我们将聊聊CCPA对数据处理的影响,以及企业需特别关注哪些内容才能在遵守数据隐私规定的大潮中抢占先机!

还想再来一杯茶吗?