Skip to content

一個用戶至少“值”100美元:美最貴數據法案即將實行(圖)

還在急於應對歐洲GDPR(General Data Protection Regulation,通用數據保護條例)?

那你就OUT了!

因為從2020年1月1日開始,美國相關數據保護法——CCPA(California Consumer Privacy
Act,加州消費者隱私法案)也將正式實行,算算時間,隻剩下不到三個月了!

以為這樣就完了嗎?遠遠不止!從紐約開始,更多法案將在美國多個州陸續生效。

這意味著,不管企業總部位於何處,如果企業的服務對象是居住在加州和紐約的客戶,就必須遵守相關規定,否則就會被罰款。

針對CCPA的議論尚未停息

CCPA自去年6月宣布出台,經過一年多的修訂和準備,終於在今年的10月13日,州長對該法案做出最後簽署。

在漫長的一年時間內,外界對CCPA的討論從未停止過。

GoBestVPN的創始人Jamie
Cambell還對CCPA及其保護消費者數據方麵做出預測,他指出,如果公司還沒準備好相應的代碼庫,至少應該考慮修改現有係統,相關法律的提出無疑是有利於個人對自身隱私數據的保護的。

但不是所有人都對CCPA的實行抱以積極態度,美國Uvietech Software Solutions
Inc.的軟件工程師兼首席執行官Bryan
Osima就認為,CCPA的實行可能不會有任何改變,甚至對消費者而言,這並不是一件好事,因為他們再也無法下到免費的應用程序了。對於還

未通過GDPR的英國企業,挑戰會更艱巨

英國自脫歐以來一直備受關注,英國不少公司同樣深受GDPR的影響,CCPA的實行對現在處境有點尷尬的英國企業來說又意味著什麽呢?

國際律師事務所Dorsey&Whitney的合夥人Robert
Cattanach指出,將信息治理的基本要素整合到所有運營活動中之前,推進CCPA是一個緩慢漸進的過程。

盡管CCPA對大多數英國企業的影響可能不如GDPR那樣直接,但CCPA的某些看似寬鬆的規定實際上潛藏了挑戰和危機。

許多公司會想當然地認為,為遵守GDPR而采取的信息治理措施也能滿足CCPA的要求。但是他說,在幾乎所有情況下,這都是一個錯誤的假設。

“對於那些尚未通過GDPR遵從流程的公司,挑戰似乎更加艱巨。”他說道。

同時,他也就英國應該如何麵對CCPA提出自己的看法。

傳統而言,更提倡“自下而上”的數據映射,這在理論上很不錯,但在實踐中極具挑戰性。相較而言他更傾向於“更務實”的做法:對CCPA主要功能組件進行自我評估。目前中國還缺少相關數據隱私保護法

美國加州聚集了眾多互聯網公司,包括微軟、Uber等,對於任何謀求發展的跨國企業而言,可以說加州用戶是兵家必爭之地了。

本次CCPA的要求對象規定為居住在加州的用戶,對於中國企業而言,隻要有加州用戶的市場需求,就必須遵守CCPA的相關規定。

而考慮到目前國內還缺少相關的信息保護法,相關企業針對這方麵的準備或許還並不充分,CCPA的實行對於中國企業而言或是一項不小的挑戰。

北京安理律師事務所高級合夥人王欣銳表示,中國個人信息保護的立法現在一方麵需要“補課”,借鑒各國立法中的有效部分,另一方麵又要針對中國特色的數據形式進行針對性應答,尤其是互聯網高速發展所帶來的問題。

GDPR有多嚴?

歐洲在18個月前推出GDPR,這是具有裏程碑意義的數據隱私條例。互聯網企業屢遭罰款

互聯網行業盡管有兩年的時間去準備,但還是因為違規遭受重創。GDPR實行的第一年,因為難以達到合規要求,超過90,000家企業自願報告違規行為,超過145,000家企業遭到消費者投訴。

和大多數法律一樣,對法律的無知不是借口,同樣,犯罪者的意圖也無法提供安全庇護。監管機構並不會在意企業是出於何種原因違規。不過他們確實會對明顯、蓄意或有意違法的相關行為處以更高的罰款。2019年1月,穀歌被法國當局處以5000萬歐元的罰款,因為穀歌在法國收集和使用用戶個人數據進行廣告定位時缺乏透明度。幾個月前,一家葡萄牙醫院因沒能很好管理患者病曆,支付了40萬歐元罰款。這家醫院創建了1,000個醫生左右的訪問帳戶,當實際工作的醫生少於300人時,這1,000個用戶帳戶可以不受限製地訪問患者數據。一家丹麥的出租車公司因收集超過900萬條包含個人身份信息的客戶記錄被罰款120萬克朗,因為這違反了GDPR相關規定。波蘭當局對本國的垃圾郵件行動進行了猛烈抨擊,他們從公共網頁上抓取了電子郵件地址,將這些地址匯總起來,用以發送“垃圾郵件”。90,000人的分發名單中的12,000名收件人投訴,本次行為共遭罰款22萬歐元。

這還不是全部,在線GDPR執法跟蹤器正試圖捕獲所有基於互聯網的隱私濫用行為,包括對英國航空公司(British
Airways)懸而未決的2.04億歐元罰款,該公司此前泄露了50萬客戶的付款信息。穀歌、Facebook等改進對用戶數據的管理模式

GDPR於

去年5月正式實施,在此之前,穀歌、Facebook等互聯網公司紛紛改進了對用戶數據的管理模式。

去年三月,Facebook宣布做出以下調整:簡化設置菜單,添加新的隱私快捷方式信息中心,更新用戶的數據下載和編輯權限。

在新的隱私快捷方式信息中心,用戶可以訪問“更清晰,更直觀”的係統,該係統使他們有權利控製投放廣告、控製誰能看到自己個人資料和個人信息、添加額外的保護機製。

緊隨Facebook的腳步,穀歌在5月份對數據政策做出相應整改,通過向人們提供更明確的工具來管理數據,提高“用戶透明度”。

f39157f5404c542961ba69018c59a355

對於消費者而言,控製投入廣告或完全屏蔽廣告的過程會更加簡化,Google表示,計劃“未來幾個月內進一步簡化這些工具的外觀和使用”

穀歌在歐洲、中東和非洲地區隱私和法律總監馬爾科姆(Malcolm)表示,穀歌改進了策略引導和組織結構,不僅查找內容會更容易,也能更輕鬆地管理、導出和刪除隱私數據。

GDPR VS CCPA:到底誰嚴?

CCPA和GDPR之間存在一些關鍵差異。總的來說,CCPA在適用監管標準的製定上會比GDPR更寬鬆,即使在舉報違規情況下,除非有大量用戶報告,每次事件罰款不會特別重。CCPA的最低標準。GDPR沒有設置最低標準,因此企業的所有業務都會被監管;但是CCPA不會監管年營業額低於2500萬美元,業務範圍不超過50,000用戶的公司,即使是發現了該公司存在數據泄露的行為。罰款額度。GDPR設有上限,確保罰款不超過違法者收入的很大部分,但是對CCPA違法者而言,罰款金額的唯一限製是受影響的用戶數量,根據規定,罰款金額範圍定在100美元至750美元/受影響用戶,因此,如果一個擁有100萬用戶帳戶的網絡服務因違規罰款,這家公司很可能會倒閉。用戶的加入與退出。根據CCPA,用戶如果選擇退出必須與第三方進行信息共享,GDPR則強烈建議用戶選擇加入。一般而言,CCPA在主動公開和處理未成年人方麵更為寬大。

總的來說,如果企業能符合GDPR的要求,那很大概率上也能符合CCPA的要求。

隻有2%的企業做好準備了

根據GDPR的規定,如果公司是為歐洲客戶提供服務,則無論公司位於何處,都必須符合GDPR相關要求。同樣,如果是為美國客戶提供相應服務,則需符合紐約和加州的相關法律要求。

根據IAPP和OneTrust於2019年8月對大多數美國企業進行的調查,雖然74%的受訪者認為公司需要遵守即將頒發的CCPA,但隻有約2%的受訪者表示他們的公司已經做了充分準備。

考慮到GDPR已經讓許多公司遭受重創,但隻有47%的調查受訪者希望在1月1日前為CCPA做好準備,對於仍未符合GDPR要求的公司尤其如此。

471aac658ad6f206e48bba23922a7259

調查問題:大概希望所在企業何時完全遵守CCPA?結果顯示了兩次IAPP/OneTrust調查,一次在4月進行,一次在8月進行。

即使企業認為這些數據保護法對自身還不適用,但相關法律的指定還是十分有必要的。如果違反或損害了相關標準,會對相關企業追究民事責任。

相關法律在美國歐洲等地先後推出,為法官處理企業與受影響客戶之間的案件提供了標準。歸根結底,保護客戶的隱私會有助於增加客戶對企業的信任以及企業自身業務和品牌的發展——這些的價值遠遠高於因違反法律必須繳納的罰款。

那麽問題來了,你準備好了嗎?

華客網:一個用戶至少“值”100美元:美最貴數據法案即將實行(圖)