2018年6月28日,美国加利福尼亚州议会在没有反对票的情况下,通过《2018加州消费者隐私法案》(California Consumer Privacy Act of 2018/Assembly Bill No. 375)。该法案被称为美国“*严厉、*全面的个人隐私保护法案”,定于2020年1月1日生效。
2018 年美国加州通过消费者隐私法案(CCPA),缓冲一年多后,将于 2020 年 1 月生效。届时,类似于欧盟的法案,CCPA 将对所有和美国加州居民有业务的数据商业行为进行监管。
依然在应付欧盟数据保护法案(GDPR)的公司可能需要面临更多的问题了——美国的数据保护法案很快就要出炉。
CCPA 法案和 GDPR 类似,不论公司的地理位置在哪里,只要公司服务的消费者群体有加州和纽约州居民,则公司必须遵守法律,否则会遭到罚款。
GDPR 在欧洲生效后,互联网行业已经被罚款了无数次。第一年,超过 90,000 的商业公司主动报告了数据漏洞,以便符合 GDPR 的要求。同时,还有超过 145000 起消费者投诉。
立即咨询CCPA,据其官网介绍,是一个隐私保护条例,用于保护个人数据,是美国加利福尼亚州出台的地方法律。这一法律其实是 2018 年通过的,帮助消费者在访问、删除和分享企业收集到的个人数据上赋予了新的权利。
具体而言,收集消费者数据的企业必须披露收集的信息、收集信息的商业目的、以及会共享这些信息的所有第三方组织和机构。而企业需依据消费者提出的正式要求删除相关信息,如果消费者有这样的需求。此外,消费者可选择出售他们的信息,而企业则不能随意改变价格或服务水平。对于允许收集其个人信息的消费者,企业可提供「财务激励」。
根据 CCPA 的规定,加州居民可以获得对个人数据相关的很多权利。主要包括:
消费者可就每次安全事件追讨100至750美元的损害赔偿或实际的损害赔偿,同时还可申请禁令救济或宣告性救济。对此,企业需要对已经采取的用于保护个人信息的数据安全措施的合理性予以评估,或者选择扩大数据加密范围。
除了数据隐私保护这一目的,CCPA 还希望帮助公众了解他们的什么数据会被收集,而且这些数据会被怎样出售或公开。
和 GDPR 类似,CCPA 要求任何和加州居民发生业务往来的公司都要遵守这一法律,不存在属地管辖的原则。这无疑会给很多非美国的海外企业带来影响。
对此,企业需要根据消费者要求披露收集了哪些信息;根据消费者的要求删除相关数据;尊重消费者选择不出售个人数据的权利,不得通过拒绝给消费者提供商品或服务,或者对商品或者服务收取不同的价格或者费率的方式歧视消费者行使此项权利。
在罚则方面,企业违反隐私保护要求将面临支付给每位消费者最高750美元的赔偿金以及最高7500美元的民事处罚。
根据 CCPA 的法律规定,无论企业在美国以何种方式经营业务或提供服务,加利福尼亚州和纽约州的强制性隐私保护法将保障消费者自身及客户的隐私权。 2019 年 8 月份,IAPP/OneTrust 主要对美国企业的员工(各种规模)进行了 CCPA 准备度(CCPA Readiness)调查,结果显示,74%的受访者认为他们的 雇主应该遵守加州即将实施的隐私法,但遗憾的是,只有大约 2%的受访者认为他们的企业已经完全做好了应对 CCPA 的准备。
法案适用范围宽泛,许多企业恐将落入被规制对象。企业定义广,不限于线上或实体。
法案将增加企业的经营成本,并面临可能的高额罚款违规成本。为预防违反法案企业需要投入经费去调整和修改网站等。
该法案具有示范效应,或将被美国其他州或者域外借鉴,加重中国企业海外展业的个人信息保护责任。
法案对消费者选择依法行使权利时,企业何时以及如何收费仍未明确,易造成企业执法上的无所适从。什么是合理相关(reasonably related),还有待讨论。
•执行摘要
•范围
•个人信息的定义
•必要披露—个人信息的收集
•主要消费者权利:要求删除消费者个人信息的权利
•关键消费者权利:选择不出售个人信息的权利
•关键消费者权利:平等服务权和不歧视权
•消费者获取记录的法定机制
•执法,救济和数据泄露
•重大杂项规定
•2018年9月CCPA
•GDPR比较修正
•行动项目清单
•词汇表
立即咨询
版权所有: 深圳市泛特宏景咨询有限公司
粤ICP备10094233号
400-110-8128