一個(gè)用戶至少“值”100美元：美國(guó)最“貴”數(shù)據(jù)法案CCPA明年初實(shí)行

本文來(lái)自微信公眾號(hào)“大數(shù)據(jù)文摘”，作者劉俊寰。

還在急于應(yīng)對(duì)歐洲GDPR（General Data Protection Regulation，通用數(shù)據(jù)保護(hù)條例）？

那你就OUT了！

因?yàn)閺?020年1月1日開(kāi)始，美國(guó)相關(guān)數(shù)據(jù)保護(hù)法——CCPA（California Consumer Privacy Act，加州消費(fèi)者隱私法案）也將正式實(shí)行，算算時(shí)間，只剩下不到三個(gè)月了！

以為這樣就完了嗎？遠(yuǎn)遠(yuǎn)不止！從紐約開(kāi)始，更多法案將在美國(guó)多個(gè)州陸續(xù)生效。

這意味著，不管企業(yè)總部位于何處，如果企業(yè)的服務(wù)對(duì)象是居住在加州和紐約的客戶，就必須遵守相關(guān)規(guī)定，否則就會(huì)被罰款。

針對(duì)CCPA的議論尚未停息

CCPA自去年6月宣布出臺(tái)，經(jīng)過(guò)一年多的修訂和準(zhǔn)備，終于在今年的10月13日，州長(zhǎng)對(duì)該法案做出最后簽署。

在漫長(zhǎng)的一年時(shí)間內(nèi)，外界對(duì)CCPA的討論從未停止過(guò)。

GoBestVPN的創(chuàng)始人Jamie Cambell還對(duì)CCPA及其保護(hù)消費(fèi)者數(shù)據(jù)方面做出預(yù)測(cè)，他指出，如果公司還沒(méi)準(zhǔn)備好相應(yīng)的代碼庫(kù)，至少應(yīng)該考慮修改現(xiàn)有系統(tǒng)，相關(guān)法律的提出無(wú)疑是有利于個(gè)人對(duì)自身隱私數(shù)據(jù)的保護(hù)的。

但不是所有人都對(duì)CCPA的實(shí)行抱以積極態(tài)度，美國(guó)Uvietech Software Solutions Inc.的軟件工程師兼首席執(zhí)行官Bryan Osima就認(rèn)為，CCPA的實(shí)行可能不會(huì)有任何改變，甚至對(duì)消費(fèi)者而言，這并不是一件好事，因?yàn)樗麄冊(cè)僖矡o(wú)法下到免費(fèi)的應(yīng)用程序了。

對(duì)于還未通過(guò)GDPR的英國(guó)企業(yè)，挑戰(zhàn)會(huì)更艱巨

英國(guó)自脫歐以來(lái)一直備受關(guān)注，英國(guó)不少公司同樣深受GDPR的影響，CCPA的實(shí)行對(duì)現(xiàn)在處境有點(diǎn)尷尬的英國(guó)企業(yè)來(lái)說(shuō)又意味著什么呢？

國(guó)際律師事務(wù)所Dorsey＆Whitney的合伙人Robert Cattanach指出，將信息治理的基本要素整合到所有運(yùn)營(yíng)活動(dòng)中之前，推進(jìn)CCPA是一個(gè)緩慢漸進(jìn)的過(guò)程。

盡管CCPA對(duì)大多數(shù)英國(guó)企業(yè)的影響可能不如GDPR那樣直接，但CCPA的某些看似寬松的規(guī)定實(shí)際上潛藏了挑戰(zhàn)和危機(jī)。

許多公司會(huì)想當(dāng)然地認(rèn)為，為遵守GDPR而采取的信息治理措施也能滿足CCPA的要求。但是他說(shuō)，在幾乎所有情況下，這都是一個(gè)錯(cuò)誤的假設(shè)。

“對(duì)于那些尚未通過(guò)GDPR遵從流程的公司，挑戰(zhàn)似乎更加艱巨。”他說(shuō)道。

同時(shí)，他也就英國(guó)應(yīng)該如何面對(duì)CCPA提出自己的看法。

傳統(tǒng)而言，更提倡“自下而上”的數(shù)據(jù)映射，這在理論上很不錯(cuò)，但在實(shí)踐中極具挑戰(zhàn)性。相較而言他更傾向于“更務(wù)實(shí)”的做法：對(duì)CCPA主要功能組件進(jìn)行自我評(píng)估。

目前中國(guó)還缺少相關(guān)數(shù)據(jù)隱私保護(hù)法

美國(guó)加州聚集了眾多互聯(lián)網(wǎng)公司，包括微軟（MSFT.US）、Uber（UBER.US）等，對(duì)于任何謀求發(fā)展的跨國(guó)企業(yè)而言，可以說(shuō)加州用戶是兵家必爭(zhēng)之地了。

本次CCPA的要求對(duì)象規(guī)定為居住在加州的用戶，對(duì)于中國(guó)企業(yè)而言，只要有加州用戶的市場(chǎng)需求，就必須遵守CCPA的相關(guān)規(guī)定。

而考慮到目前國(guó)內(nèi)還缺少相關(guān)的信息保護(hù)法，相關(guān)企業(yè)針對(duì)這方面的準(zhǔn)備或許還并不充分，CCPA的實(shí)行對(duì)于中國(guó)企業(yè)而言或是一項(xiàng)不小的挑戰(zhàn)。

北京安理律師事務(wù)所高級(jí)合伙人王欣銳表示，中國(guó)個(gè)人信息保護(hù)的立法現(xiàn)在一方面需要“補(bǔ)課”，借鑒各國(guó)立法中的有效部分，另一方面又要針對(duì)中國(guó)特色的數(shù)據(jù)形式進(jìn)行針對(duì)性應(yīng)答，尤其是互聯(lián)網(wǎng)高速發(fā)展所帶來(lái)的問(wèn)題。

GDPR有多嚴(yán)？

歐洲在18個(gè)月前推出GDPR，這是具有里程碑意義的數(shù)據(jù)隱私條例。

互聯(lián)網(wǎng)企業(yè)屢遭罰款

互聯(lián)網(wǎng)行業(yè)盡管有兩年的時(shí)間去準(zhǔn)備，但還是因?yàn)檫`規(guī)遭受重創(chuàng)。GDPR實(shí)行的第一年，因?yàn)殡y以達(dá)到合規(guī)要求，超過(guò)90,000家企業(yè)自愿報(bào)告違規(guī)行為，超過(guò)145,000家企業(yè)遭到消費(fèi)者投訴。

和大多數(shù)法律一樣，對(duì)法律的無(wú)知不是借口，同樣，犯罪者的意圖也無(wú)法提供安全庇護(hù)。監(jiān)管機(jī)構(gòu)并不會(huì)在意企業(yè)是出于何種原因違規(guī)。不過(guò)他們確實(shí)會(huì)對(duì)明顯、蓄意或有意違法的相關(guān)行為處以更高的罰款。

2019年1月，谷歌（GOOG.US）被法國(guó)當(dāng)局處以5000萬(wàn)歐元的罰款，因?yàn)楣雀柙诜▏?guó)收集和使用用戶個(gè)人數(shù)據(jù)進(jìn)行廣告定位時(shí)缺乏透明度。

幾個(gè)月前，一家葡萄牙醫(yī)院因沒(méi)能很好管理患者病歷，支付了40萬(wàn)歐元罰款。這家醫(yī)院創(chuàng)建了1,000個(gè)醫(yī)生左右的訪問(wèn)帳戶，當(dāng)實(shí)際工作的醫(yī)生少于300人時(shí)，這1,000個(gè)用戶帳戶可以不受限制地訪問(wèn)患者數(shù)據(jù)。

一家丹麥的出租車公司因收集超過(guò)900萬(wàn)條包含個(gè)人身份信息的客戶記錄被罰款120萬(wàn)克朗，因?yàn)檫@違反了GDPR相關(guān)規(guī)定。

波蘭當(dāng)局對(duì)本國(guó)的垃圾郵件行動(dòng)進(jìn)行了猛烈抨擊，他們從公共網(wǎng)頁(yè)上抓取了電子郵件地址，將這些地址匯總起來(lái)，用以發(fā)送“垃圾郵件”。90,000人的分發(fā)名單中的12,000名收件人投訴，本次行為共遭罰款22萬(wàn)歐元。

這還不是全部，在線GDPR執(zhí)法跟蹤器正試圖捕獲所有基于互聯(lián)網(wǎng)的隱私濫用行為，包括對(duì)英國(guó)航空公司（British Airways）懸而未決的2.04億歐元罰款，該公司此前泄露了50萬(wàn)客戶的付款信息。

谷歌、Facebook等改進(jìn)對(duì)用戶數(shù)據(jù)的管理模式

GDPR于去年5月正式實(shí)施，在此之前，谷歌、Facebook（FB.US）等互聯(lián)網(wǎng)公司紛紛改進(jìn)了對(duì)用戶數(shù)據(jù)的管理模式。

去年三月，F(xiàn)acebook宣布做出以下調(diào)整：簡(jiǎn)化設(shè)置菜單，添加新的隱私快捷方式信息中心，更新用戶的數(shù)據(jù)下載和編輯權(quán)限。

在新的隱私快捷方式信息中心，用戶可以訪問(wèn)“更清晰，更直觀”的系統(tǒng)，該系統(tǒng)使他們有權(quán)利控制投放廣告、控制誰(shuí)能看到自己個(gè)人資料和個(gè)人信息、添加額外的保護(hù)機(jī)制。

緊隨Facebook的腳步，谷歌在5月份對(duì)數(shù)據(jù)政策做出相應(yīng)整改，通過(guò)向人們提供更明確的工具來(lái)管理數(shù)據(jù)，提高“用戶透明度”。

對(duì)于消費(fèi)者而言，控制投入廣告或完全屏蔽廣告的過(guò)程會(huì)更加簡(jiǎn)化，Google表示，計(jì)劃“未來(lái)幾個(gè)月內(nèi)進(jìn)一步簡(jiǎn)化這些工具的外觀和使用” 。

谷歌在歐洲、中東和非洲地區(qū)隱私和法律總監(jiān)馬爾科姆（Malcolm）表示，谷歌改進(jìn)了策略引導(dǎo)和組織結(jié)構(gòu)，不僅查找內(nèi)容會(huì)更容易，也能更輕松地管理、導(dǎo)出和刪除隱私數(shù)據(jù)。

GDPR VS CCPA：到底誰(shuí)嚴(yán)？

CCPA和GDPR之間存在一些關(guān)鍵差異?？偟膩?lái)說(shuō)，CCPA在適用監(jiān)管標(biāo)準(zhǔn)的制定上會(huì)比GDPR更寬松，即使在舉報(bào)違規(guī)情況下，除非有大量用戶報(bào)告，每次事件罰款不會(huì)特別重。

CCPA的最低標(biāo)準(zhǔn)。GDPR沒(méi)有設(shè)置最低標(biāo)準(zhǔn)，因此企業(yè)的所有業(yè)務(wù)都會(huì)被監(jiān)管；但是CCPA不會(huì)監(jiān)管年?duì)I業(yè)額低于2500萬(wàn)美元，業(yè)務(wù)范圍不超過(guò)50,000用戶的公司，即使是發(fā)現(xiàn)了該公司存在數(shù)據(jù)泄露的行為。

罰款額度。GDPR設(shè)有上限，確保罰款不超過(guò)違法者收入的很大部分，但是對(duì)CCPA違法者而言，罰款金額的唯一限制是受影響的用戶數(shù)量，根據(jù)規(guī)定，罰款金額范圍定在100美元至750美元/受影響用戶，因此，如果一個(gè)擁有100萬(wàn)用戶帳戶的網(wǎng)絡(luò)服務(wù)因違規(guī)罰款，這家公司很可能會(huì)倒閉。

用戶的加入與退出。根據(jù)CCPA，用戶如果選擇退出必須與第三方進(jìn)行信息共享，GDPR則強(qiáng)烈建議用戶選擇加入。一般而言，CCPA在主動(dòng)公開(kāi)和處理未成年人方面更為寬大。

總的來(lái)說(shuō)，如果企業(yè)能符合GDPR的要求，那很大概率上也能符合CCPA的要求。

只有2%的企業(yè)做好準(zhǔn)備了

根據(jù)GDPR的規(guī)定，如果公司是為歐洲客戶提供服務(wù)，則無(wú)論公司位于何處，都必須符合GDPR相關(guān)要求。同樣，如果是為美國(guó)客戶提供相應(yīng)服務(wù)，則需符合紐約和加州的相關(guān)法律要求。

根據(jù)IAPP和OneTrust于2019年8月對(duì)大多數(shù)美國(guó)企業(yè)進(jìn)行的調(diào)查，雖然74％的受訪者認(rèn)為公司需要遵守即將頒發(fā)的CCPA，但只有約2％的受訪者表示他們的公司已經(jīng)做了充分準(zhǔn)備。

考慮到GDPR已經(jīng)讓許多公司遭受重創(chuàng)，但只有47％的調(diào)查受訪者希望在1月1日前為CCPA做好準(zhǔn)備，對(duì)于仍未符合GDPR要求的公司尤其如此。

調(diào)查問(wèn)題：大概希望所在企業(yè)何時(shí)完全遵守CCPA？結(jié)果顯示了兩次IAPP/OneTrust調(diào)查，一次在4月進(jìn)行，一次在8月進(jìn)行。

即使企業(yè)認(rèn)為這些數(shù)據(jù)保護(hù)法對(duì)自身還不適用，但相關(guān)法律的指定還是十分有必要的。如果違反或損害了相關(guān)標(biāo)準(zhǔn)，會(huì)對(duì)相關(guān)企業(yè)追究民事責(zé)任。

相關(guān)法律在美國(guó)歐洲等地先后推出，為法官處理企業(yè)與受影響客戶之間的案件提供了標(biāo)準(zhǔn)。歸根結(jié)底，保護(hù)客戶的隱私會(huì)有助于增加客戶對(duì)企業(yè)的信任以及企業(yè)自身業(yè)務(wù)和品牌的發(fā)展——這些的價(jià)值遠(yuǎn)遠(yuǎn)高于因違反法律必須繳納的罰款。

那么問(wèn)題來(lái)了，你準(zhǔn)備好了嗎？