第十五期:一个用户至少“值”100美元，美国最“贵”数据法案CCPA明年初实行！

还在急于应对欧洲GDPR（General Data Protection Regulation，通用数据保护条例）？那你就OUT了！

作者：文摘菌

大数据文摘出品

作者：刘俊寰

还在急于应对欧洲GDPR(General Data Protection Regulation，通用数据保护条例)?

那你就OUT了!

因为从2020年1月1日开始，美国相关数据保护法——CCPA(California Consumer Privacy Act，加州消费者隐私法案)也将正式实行，算算时间，只剩下不到三个月了!

以为这样就完了吗?远远不止!从纽约开始，更多法案将在美国多个州陆续生效。

这意味着，不管企业总部位于何处，如果企业的服务对象是居住在加州和纽约的客户，就必须遵守相关规定，否则就会被罚款。

针对CCPA的议论尚未停息

CCPA自去年6月宣布出台，经过一年多的修订和准备，终于在今年的10月13日，州长对该法案做出最后签署。

在漫长的一年时间内，外界对CCPA的讨论从未停止过。

GoBestVPN的创始人Jamie Cambell还对CCPA及其保护消费者数据方面做出预测，他指出，如果公司还没准备好相应的代码库，至少应该考虑修改现有系统，相关法律的提出无疑是有利于个人对自身隐私数据的保护的。

但不是所有人都对CCPA的实行抱以积极态度，美国Uvietech Software Solutions Inc.的软件工程师兼首席执行官Bryan Osima就认为，CCPA的实行可能不会有任何改变，甚至对消费者而言，这并不是一件好事，因为他们再也无法下到免费的应用程序了。

对于还未通过GDPR的英国企业，挑战会更艰巨

英国自脱欧以来一直备受关注，英国不少公司同样深受GDPR的影响，CCPA的实行对现在处境有点尴尬的英国企业来说又意味着什么呢?

国际律师事务所Dorsey&Whitney的合伙人Robert Cattanach指出，将信息治理的基本要素整合到所有运营活动中之前，推进CCPA是一个缓慢渐进的过程。

尽管CCPA对大多数英国企业的影响可能不如GDPR那样直接，但CCPA的某些看似宽松的规定实际上潜藏了挑战和危机。

许多公司会想当然地认为，为遵守GDPR而采取的信息治理措施也能满足CCPA的要求。但是他说，在几乎所有情况下，这都是一个错误的假设。

“对于那些尚未通过GDPR遵从流程的公司，挑战似乎更加艰巨。”他说道。

同时，他也就英国应该如何面对CCPA提出自己的看法。

传统而言，更提倡“自下而上”的数据映射，这在理论上很不错，但在实践中极具挑战性。相较而言他更倾向于“更务实”的做法：对CCPA主要功能组件进行自我评估。

目前中国还缺少相关数据隐私保护法

美国加州聚集了众多互联网公司，包括微软、Uber等，对于任何谋求发展的跨国企业而言，可以说加州用户是兵家必争之地了。

本次CCPA的要求对象规定为居住在加州的用户，对于中国企业而言，只要有加州用户的市场需求，就必须遵守CCPA的相关规定。

而考虑到目前国内还缺少相关的信息保护法，相关企业针对这方面的准备或许还并不充分，CCPA的实行对于中国企业而言或是一项不小的挑战。

北京安理律师事务所高级合伙人王欣锐表示，中国个人信息保护的立法现在一方面需要“补课”，借鉴各国立法中的有效部分，另一方面又要针对中国特色的数据形式进行针对性应答，尤其是互联网高速发展所带来的问题。

GDPR有多严?

欧洲在18个月前推出GDPR，这是具有里程碑意义的数据隐私条例。

1. 互联网企业屡遭罚款

互联网行业尽管有两年的时间去准备，但还是因为违规遭受重创。GDPR实行的第一年，因为难以达到合规要求，超过90,000家企业自愿报告违规行为，超过145,000家企业遭到消费者投诉。

和大多数法律一样，对法律的无知不是借口，同样，犯罪者的意图也无法提供安全庇护。监管机构并不会在意企业是出于何种原因违规。不过他们确实会对明显、蓄意或有意违法的相关行为处以更高的罚款。

2019年1月，谷歌被法国当局处以5000万欧元的罚款，因为谷歌在法国收集和使用用户个人数据进行广告定位时缺乏透明度。
几个月前，一家葡萄牙医院因没能很好管理患者病历，支付了40万欧元罚款。这家医院创建了1,000个医生左右的访问帐户，当实际工作的医生少于300人时，这1,000个用户帐户可以不受限制地访问患者数据。
一家丹麦的出租车公司因收集超过900万条包含个人身份信息的客户记录被罚款120万克朗，因为这违反了GDPR相关规定。
波兰当局对本国的垃圾邮件行动进行了猛烈抨击，他们从公共网页上抓取了电子邮件地址，将这些地址汇总起来，用以发送“垃圾邮件”。90,000人的分发名单中的12,000名收件人投诉，本次行为共遭罚款22万欧元。

这还不是全部，在线GDPR执法跟踪器正试图捕获所有基于互联网的隐私滥用行为，包括对英国航空公司(British Airways)悬而未决的2.04亿欧元罚款，该公司此前泄露了50万客户的付款信息。

谷歌、Facebook等改进对用户数据的管理模式

GDPR于去年5月正式实施，在此之前，谷歌、Facebook等互联网公司纷纷改进了对用户数据的管理模式。

去年三月，Facebook宣布做出以下调整：简化设置菜单，添加新的隐私快捷方式信息中心，更新用户的数据下载和编辑权限。

在新的隐私快捷方式信息中心，用户可以访问“更清晰，更直观”的系统，该系统使他们有权利控制投放广告、控制谁能看到自己个人资料和个人信息、添加额外的保护机制。

紧随Facebook的脚步，谷歌在5月份对数据政策做出相应整改，通过向人们提供更明确的工具来管理数据，提高“用户透明度”。

对于消费者而言，控制投入广告或完全屏蔽广告的过程会更加简化，Google表示，计划“未来几个月内进一步简化这些工具的外观和使用” 。

谷歌在欧洲、中东和非洲地区隐私和法律总监马尔科姆(Malcolm)表示，谷歌改进了策略引导和组织结构，不仅查找内容会更容易，也能更轻松地管理、导出和删除隐私数据。

GDPR VS CCPA：到底谁能严?

CCPA和GDPR之间存在一些关键差异。总的来说，CCPA在适用监管标准的制定上会比GDPR更宽松，即使在举报违规情况下，除非有大量用户报告，每次事件罚款不会特别重。

CCPA的最低标准。GDPR没有设置最低标准，因此企业的所有业务都会被监管;但是CCPA不会监管年营业额低于2500万美元，业务范围不超过50,000用户的公司，即使是发现了该公司存在数据泄露的行为。
罚款额度。GDPR设有上限，确保罚款不超过违法者收入的很大部分，但是对CCPA违法者而言，罚款金额的唯一限制是受影响的用户数量，根据规定，罚款金额范围定在100美元至750美元/受影响用户，因此，如果一个拥有100万用户帐户的网络服务因违规罚款，这家公司很可能会倒闭。
用户的加入与退出。根据CCPA，用户如果选择退出必须与第三方进行信息共享，GDPR则强烈建议用户选择加入。一般而言，CCPA在主动公开和处理未成年人方面更为宽大。

总的来说，如果企业能符合GDPR的要求，那很大概率上也能符合CCPA的要求。

只有2%的企业做好准备了

根据GDPR的规定，如果公司是为欧洲客户提供服务，则无论公司位于何处，都必须符合GDPR相关要求。同样，如果是为美国客户提供相应服务，则需符合纽约和加州的相关法律要求。

根据IAPP和OneTrust于2019年8月对大多数美国企业进行的调查，虽然74%的受访者认为公司需要遵守即将颁发的CCPA，但只有约2%的受访者表示他们的公司已经做了充分准备。

考虑到GDPR已经让许多公司遭受重创，但只有47%的调查受访者希望在1月1日前为CCPA做好准备，对于仍未符合GDPR要求的公司尤其如此。