美国数据隐私保护法即将出台，将于明年1月生效，现在只有2%的公司合规

仍在与欧盟数据保护法(GDPR)打交道的公司可能需要面对更多问题——美国数据保护法即将出台。加州消费者隐私法案（CCPA）即将在明年1月生效，现在只有不到3个月的准备时间。此外，从纽约州开始，更多法案正在美国多个州生效。CCPA法案类似于GDPR。不管公司的地理位置如何，只要公司服务的消费群体包括加利福尼亚州和纽约州的居民，公司就必须遵守法律，否则将被罚款。自GDPR在欧洲生效以来，互联网行业被罚款无数次。第一年，超过90,000家商业公司自愿报告数据泄露，以遵守GDPR。同时，消费者投诉超过14.5万件。2019年1月，谷歌因未澄清其在定向广告中收集和使用个人数据而向法国当局支付了5000万欧元的罚款。此前，一家葡萄牙医院因记录管理不善支付了40万欧元。为了方便起见，医院创建了1000个博士级管理账号。这还不是全部，GDPR在线执法追踪器会捕捉到每一次在线违规行为，包括因泄露500,000名乘客的付款详细信息而对英国航空公司处以2.04亿欧元的未决罚款。与史上“最严”的GDPR相比，CCPA又算什么？CCPA，据其官网介绍，是用于保护个人数据的隐私保护法规。这是美国加利福尼亚州颁布的地方性法律。该法律实际上于2018年通过，赋予消费者访问、删除和共享企业收集的个人数据的新权利。具体而言，收集消费者数据的企业必须披露收集的信息、收集信息的商业目的以及与之共享信息的任何第三方组织和机构。并且，如果消费者有这样的需求，企业需要根据消费者提出的正式要求删除相关信息。此外，消费者可以选择出售他们的信息，而企业不能随意改变价格或服务水平。企业可以向允许收集个人信息的消费者提供“经济奖励”。根据CCPA，加州居民对个人数据享有许多权利。主要包括：数据访问权、数据删除权、不受歧视权。在产品页面上，显示了一个明显的“不出售个人信息”选项，而忽略了新的隐私政策。未成年人和监护人在数据隐私保护之外授权私人诉讼权CCPA也希望帮助公众了解他们的哪些数据被收集，以及这些数据可能如何出售或公开。与GDPR类似，CCPA要求任何与加州居民有业务往来的公司都必须遵守该法，不存在属地管辖原则。这无疑会影响到很多非美国的海外企业。与GDPR相比，CCPA和GDPR有什么关系？CCPA与GDPR最大的区别在于，CCPA在适用的监管标准上比GDPR更为宽松，但一旦达到监管标准，违法企业将受到更严厉的处罚。两者的具体区别如下：GDPR不对法案适用的公司进行监管，因此所有有业务的公司都会受到监管。但是，CCPA不会监管年营业额低于2500万美元且不涉及超过50,000名用户的数据处理的商业行为，即使已发现数据泄露。但是，一旦满足上述条件，发生数据泄露，CCPA的处罚要比GDPR严厉得多。即使违规行为是无意中发生的，CCPA也规定对每位用户处以100至750美元的罚款，或因违规行为造成的实际损失。因此，对于一些企业来说，罚款很可能会导致他们直接破产。GDPR罚款上限为企业收入的4%。只有2%的企业准备好了根据CCPA的法律，加州和纽约州的强制性隐私保护法将保护消费者自身及其客户的隐私权，无论他们如何在美国开展业务或提供服务。不过值得注意的是，距离2020年1月1日CCPA正式实施还有不到三个月的时间，美国企业做好准备了吗？2019年8月，IAPP/OneTrust主要对企业（各种规模）员工进行的CCPAReadiness调查显示，74%的受访者认为他们的雇主应该遵守加州即将出台的隐私法，但遗憾的是只有约2%的受访者认为他们的企业是做好应对CCPA的充分准备。IAPP/OneTrust分别于2019年4月和8月进行了两次调查。调查问题是：您预计贵公司什么时候能完全遵守CCPA？在2019年4月的调查中，虽然55%的公司在2020年1月1日之前完全遵守CCPA，但在8月的调查中奇怪地下降到49%。这是否说明了企业对CCPA的态度？因此，即使企业现在认为这些隐私法不适用于他们，相关标准的应用也是不可避免的。此外，虽然存在法律不适用的情况，但如果企业违反或破坏相关标准，也将被追究民事责任。无论如何，这些法律在美国和世界各地的持续推出为法官处理企业与受影响客户之间的直接（未经法律检验）纠纷设定了标准。归根结底，保护客户的隐私有助于他们增加对公司的信任以及公司自身业务和品牌的发展，而这些价值远高于公司因违反隐私法而支付的罚款。数据保护刻不容缓。随着大数据时代的不断发展，用户的隐私受到侵犯，甚至被用于不正当营利。而且，各国关于数据隐私的立法往往跟不上互联网的发展速度。因此，为改变滥用用户数据和侵犯隐私的行为，世界各国不断完善数据立法，以加强对企业的监管，确保对用户数据的保护越来越全面。以欧盟为例，欧盟早在2016年4月就提出了GDPR，但并未立即实施。而是给了企业两年多的缓冲时间，终于在2018年5月25日正式实施。史上最严格的用户个人数据保护法案。”以侵犯个人数据为例，不法企业将面临最高年营业额4%的罚款，以目前最高者为准，即2000万欧元（约合人民币156亿元）。在全球个人数据浪潮中数据保护，中国不能置身事外中国也在数据保护立法方面不断发力。早在2003年，国务院信息化办公室就开始了个人信息保护法的立法研究，并于2005年形成了专家意见稿；2009年《中华民国刑法修正案（七）》规定，盗窃、贩卖或者非法向他人提供“情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚款。”后来，2015年刑法修正案（九）增加了非法获取公民个人信息罪；2017年12月29日，全国信息安全标准化技术委员会正式发布《信息安全技术个人信息安全规范》，从公民个人信息的角度对公民个人信息的收集、存储、使用、委托处理、共享、转让、公开披露和个人信息保护进行了全面规定。的信息权保护。安全处置等参考链接：https://venturebeat.com/2019/10/12/are-you-ready-for-americas-data-protection-laws/https://oag.ca.gov/privacy/ccpa【本文为专栏《机器之心》组织原译，微信公众号《机器之心（id：almosthuman2014）》】点此查看作者更多好文