背景

2018年6月28日,美国加利福尼亚州议会在没有反对票的情况下,通过《2018加州消费者隐私法案》(California Consumer Privacy Act of 2018/Assembly Bill No. 375)。该法案被称为美国“最严厉、最全面的个人隐私保护法案”,定于2020年1月1日生效。

2018 年美国加州通过消费者隐私法案(CCPA),缓冲一年多后,将于 2020 年 1 月生效。届时,类似于欧盟的法案,CCPA 将对所有和美国加州居民有业务的数据商业行为进行监管。
依然在应付欧盟数据保护法案(GDPR)的公司可能需要面临更多的问题了——美国的数据保护法案很快就要出炉。

CCPA 法案和 GDPR 类似,不论公司的地理位置在哪里,只要公司服务的消费者群体有加州和纽约州居民,则公司必须遵守法律,否则会遭到罚款。

GDPR 在欧洲生效后,互联网行业已经被罚款了无数次。第一年,超过 90,000 的商业公司主动报告了数据漏洞,以便符合 GDPR 的要求。同时,还有超过 145000 起消费者投诉。

立即咨询

CCPA是什么

相比「史上最严」的 GDPR,CCPA 是什么?

CCPA,据其官网介绍,是一个隐私保护条例,用于保护个人数据,是美国加利福尼亚州出台的地方法律。这一法律其实是 2018 年通过的,帮助消费者在访问、删除和分享企业收集到的个人数据上赋予了新的权利。
具体而言,收集消费者数据的企业必须披露收集的信息、收集信息的商业目的、以及会共享这些信息的所有第三方组织和机构。而企业需依据消费者提出的正式要求删除相关信息,如果消费者有这样的需求。此外,消费者可选择出售他们的信息,而企业则不能随意改变价格或服务水平。对于允许收集其个人信息的消费者,企业可提供「财务激励」。
根据 CCPA 的规定,加州居民可以获得对个人数据相关的很多权利。主要包括:

1. 数据访问权

消费者有权要求收集个人信息的企业向消费者披露其收集的信息类别和具体内容

2. 数据删除权

删除权:消费者有权要求企业删除其所收集的任何个人信息

3. 知情权

知情权:消费者有权知道其个人信息被卖去何处,企业必须发布有关消费者的个人信息如何被出售或披露以及披露给谁(或哪些第三方)的信息。

4. 不被歧视的权利

5. 在产品页面挂出明显的「不出售个人信息」选项,并纰漏新的隐私政策

6. 未成年人和监护人授权

7. 私人诉讼权

消费者可就每次安全事件追讨100至750美元的损害赔偿或实际的损害赔偿,同时还可申请禁令救济或宣告性救济。对此,企业需要对已经采取的用于保护个人信息的数据安全措施的合理性予以评估,或者选择扩大数据加密范围。

除了数据隐私保护这一目的,CCPA 还希望帮助公众了解他们的什么数据会被收集,而且这些数据会被怎样出售或公开。

和 GDPR 类似,CCPA 要求任何和加州居民发生业务往来的公司都要遵守这一法律,不存在属地管辖的原则。这无疑会给很多非美国的海外企业带来影响。

对此,企业需要根据消费者要求披露收集了哪些信息;根据消费者的要求删除相关数据;尊重消费者选择不出售个人数据的权利,不得通过拒绝给消费者提供商品
或服务,或者对商品或者服务收取不同的价格或者费率的方式歧视消费者行使此项权利。

在罚则方面,企业违反隐私保护要求将面临支付给每位消费者最高750美元的赔偿金以及最高7500美元的民事处罚。

The two laws seek to enforce consumer Data privacy regulations
这两项法律旨在执行消费者数据隐私法规

  • 名称

    EU General Data Protection Regulation(GDPR)
    《通用数据保护条例》

    California Consumer Privacy Act(CCPA)
    《2018加州消费者隐私法案》

  • Effective Date
    生效日期

    May 25,2018

    Jan 1,2020

  •  

    EU member states DPAs

    California Attorney General(AG)

  • Personal Data Defined
    个人资料定义

    与识别自然人有关的任何信息。 这可以用来直接或间接
    地进行标识。 示例:姓名,号码,社交数据,SSN

    可以识别,能够与消费者家庭直接关联或合理链接的任何信
    息。 示例:消费者的行为,特点,趋势,行为,智能,才能

  • Applies to
    适用于

    1.在欧盟成立的实体2.在欧盟范围内未建立的实体,其处理目的
    是为了(i)提供商品和服务或(ii)监视位于欧盟的个人行为,
    无论其国籍如何

    在加利福尼亚开展业务并处理在加州居住的消费者的个人信
    息的营利性企业。 此外,业务必须满足以下条件之一:1.年原
    始收入至少2500万美元; 2。 每年处理超过50,000名消费
    者的个人信息; 3.从“出售” CA居民的个人信息中获得至
    少50%的年收入。

  • Penalties
    处罚

    2000万欧元或全球营业额的4%

    每次事件每位消费者100美元和750美元,或实际损害赔偿,
    每次故意违规行为的最高赔偿额为7,500美元。没有罚款上限

  • 跨境传输的授权与限制

    1.数据输入者所在国是否被列入“充分性认定白名单”;2.若所在
    国未进入上述“充分性认定白名单”,则判断是否提供适当协
    议、行为准则为跨境传输提供保障;3.若不满足上述(1)、
    (2)两项,则判断企业集团内部是否建立起有约束力的公司规则
    (BCR)并被监管机构批准;4.若不满足上述的 (1)、(2)、(3) 中
    任意一项,那么向第三国或国际组织传输个人数据仅能在满足一
    定条件时才能发生。上述第(4)条判断标准的前提是,必须要通
    过“必要性测试”和“偶然性判定”

    留白与放任

  • 特点管辖权原则

    属地+属人+保护性管辖。规定复杂覆盖面广

    从风险影响程度和范围出发,聚焦重点,逻辑简明

  • 额外的义务

    要求确保个人数据在跨境后受到保护,以及要求企业在发生数据
    泄露时遵循某些相关规定来向个人和监管机构发出通知。

    并未设置

仅有 2%的企业做好了准备

根据 CCPA 的法律规定,无论企业在美国以何种方式经营业务或提供服务,加利福尼亚州和纽约州的强制性隐私保护法将保障消费者自身及客户的隐私权。
2019 年 8 月份,IAPP/OneTrust 主要对美国企业的员工(各种规模)进行了 CCPA 准备度(CCPA Readiness)调查,结果显示,74%的受访者认为他们的
雇主应该遵守加州即将实施的隐私法,但遗憾的是,只有大约 2%的受访者认为他们的企业已经完全做好了应对 CCPA 的准备。

CCPA 准备度(CCPA Readiness)调查

立即咨询

业内影响

法案适用范围宽泛,许多企业恐将落入被规制对象。企业定义广,不限于线
上或实体。

法案将增加企业的经营成本,并面临可能的高额罚款违规成本。为预防违反
法案企业需要投入经费去调整和修改网站等。

法案对消费者选择依法行使权利时,企业何时以及如何收费仍未明确,易造
成企业执法上的无所适从。什么是合理相关(reasonably related),还有
待讨论。

该法案具有示范效应,或将被美国其他州或者域外借鉴,加重中国企业海外
展业的个人信息保护责任。

立即咨询

培训目标

学习CCPA法案内容,了解细则
和适用范围

合理利用法案如何帮助有需要的
企业或组织遵守和规避风险

识别有效权利和新增方式

立即咨询

培训对象

受到CCPA影响的组织和企业

消费群体属于美国加州和纽约州

业务涉及美国的法律法规从业人士

立即咨询

CCPA目录

执行摘要

个人信息的定义

主要消费者权利:要求删除消费者个人信息的权利

关键消费者权利:平等服务权和不歧视权

执法,救济和数据泄露

2018年9月CCPA

行动项目清单

范围

必要披露—个人信息的收集

关键消费者权利:选择不出售个人信息的权利

消费者获取记录的法定机制

重大杂项规定

GDPR比较修正

词汇表

立即咨询