大数据文摘作者:刘俊焕还在为应对欧洲GDPR(GeneralDataProtectionRegulation,通用数据保护条例)而焦头烂额?那你就OUT了!因为从2020年1月1日开始,美国相关的数据保护法——CCPA(CaliforniaConsumerPrivacyAct,加州消费者隐私法)也将正式实施。算算时间,只剩下不到三个月的时间了!你认为这是结束了吗?远不止于此!从纽约开始,更多法案将在美国多个州生效。这意味着,无论企业总部位于何处,如果它为居住在加利福尼亚和纽约的客户提供服务,就必须遵守规定,否则将面临罚款。关于CCPA的讨论并未停止,CCPA于去年6月宣布。经过一年多的修改和准备,终于在今年10月13日,州长终于签署了法案。漫长的一年里,外界对CCPA的讨论从未间断。GoBestVPN的创始人JamieCambell也对CCPA及其对消费者数据的保护做出了预测。他指出,如果企业没有准备好相应的代码库,至少应该考虑修改现有的系统。相关法律无疑是有利的。个人保护自己的私人数据。但并非所有人都对CCPA的实施持积极态度。美国UvietchSoftwareSolutionsInc.的软件工程师兼CEOBryanOsima认为,CCPA的实施可能不会改变任何东西,即使对消费者而言也是如此。这不是一件好事,因为他们无法再下载免费应用程序。对于尚未通过GDPR的英国企业来说,挑战将更加艰难。自脱欧以来,英国一直备受关注。英国的许多公司也深受GDPR的影响。CCPA的实施对于目前处境有点尴尬的英国企业来说意味着什么?国际律师事务所Dorsey&Whitney的合伙人RobertCattanach指出,推进CCPA是一个缓慢而渐进的过程,直到信息治理的基本要素被整合到所有运营活动中。虽然CCPA对大多数英国企业的影响可能没有GDPR那么直接,但CCPA的一些看似宽松的规定其实暗藏挑战和危机。许多公司想当然地认为,他们为遵守GDPR而采取的信息治理措施也将满足CCPA。但在几乎所有情况下,这都是一个错误的假设,他说。“对于尚未通过GDPR合规流程的公司来说,挑战似乎更加困难,”他说。同时,他还就英国应如何应对CCPA提出了自己的看法。传统上更提倡“自下而上”的数据映射,这在理论上很棒,但在实践中极具挑战性。相比之下,他更喜欢一种“更务实”的方法:对CCPA的主要功能组成部分进行自我评估。目前,我国还缺乏相关的数据隐私保护法律。美国加州聚集了很多互联网公司,包括微软和优步。CCPA要求的对象定义为居住在加利福尼亚州的用户。对于中国企业来说,只要有加州用户的市场需求,就必须遵守CCPA的相关规定。考虑到我国目前还缺乏相关的信息保护法律,相关企业在这方面可能还没有做好充分的准备。CCPA的实施对中国企业来说可能是一个很大的挑战。北京市安理律师事务所高级合伙人王新瑞表示,中国个人信息保护立法现在需要“补课”,借鉴其他国家立法的有效部分。这是互联网高速发展带来的问题。GDPR有多严格?18个月前,欧洲引入了具有里程碑意义的数据隐私法规GDPR。一、互联网企业屡遭罚款。互联网行业虽然有两年的准备时间,却因违规而损失惨重。在GDPR实施的第一年,就有超过9万家企业因合规要求难以满足而主动举报违规行为,超过14.5万家企业接到消费者投诉。与大多数法律一样,对法律的无知不是借口,犯罪者的意图也不能提供避风港。监管机构不关心公司为什么违反规则。然而,他们确实会对明显、蓄意或故意的违规行为处以更高的罚款。2019年1月,谷歌被法国当局罚款5000万欧元,原因是其在法国收集和使用用户个人数据进行广告定位时缺乏透明度。几个月前,一家葡萄牙医院因未能妥善管理患者病历而被罚款40万欧元。该医院为大约1,000名医生创建了访问帐户,当实际工作的医生不到300名时,这1,000个用户帐户可以无限制地访问患者数据。一家丹麦出租车公司因违反GDPR收集超过900万条包含个人身份信息的客户记录而被罚款120万克朗。波兰当局猛烈抨击他们国家的垃圾邮件运动,从公共网页上抓取电子邮件地址并将它们集中起来发送“垃圾邮件”。90,000人的分发名单上有12,000名收件人投诉并被罚款220,000欧元。这还不是全部,在线GDPR执法追踪器正试图捕捉每一次基于互联网的隐私滥用行为,包括因泄露500,000名客户的支付信息而对英国航空公司处以2.04亿欧元的未决罚款。Google、Facebook等改进了用户数据的管理模式。GDPR于去年5月正式实施。在此之前,谷歌、Facebook等互联网公司已经完善了用户数据的管理模式。去年3月,Facebook宣布了以下调整:简化设置菜单,为隐私快捷方式添加新的仪表板,更新用户的数据下载和编辑权限。在新的PrivacyShortcuts仪表板中,用户可以访问一个“更清晰、更直观”的系统,使他们能够控制广告的投放,控制谁可以看到他们的个人资料和个人信息,并添加额外的保护机制。跟随Facebook的脚步,谷歌在5月份对其数据政策进行了相应的修改,通过为人们提供更清晰的工具来管理他们的数据来提高“用户透明度”。对于消费者而言,控制广告投放或完全屏蔽广告的过程将更加简化,谷歌表示计划“在未来几个月内进一步简化这些工具的外观和使用”。谷歌在欧洲、中东和非洲的隐私和法律总监马尔科姆表示,谷歌改进了政策指导和组织结构,不仅内容查找更容易,管理、导出和删除也更容易私人数据。GDPRVSCCPA:哪个更严格?CCPA和GDPR之间存在一些关键差异。总的来说,CCPA在制定适用的监管标准时会比GDPR更加宽松。即使在举报违规的情况下,除非有大量用户举报,否则每起事件的罚款也不会特别重。CCPA的最低标准。GDPR没有设定最低标准,所以企业的所有业务都会受到监管;但是,CCPA不会对年营业额低于2500万美元、业务范围不超过5万用户的公司进行监管,即使发现该公司存在数据泄露。罚款数额。GDPR有上限以确保罚款不超过违规者收入的很大一部分,但对于CCPA违规者,罚款金额的唯一限制是受影响的用户数量,根据法规/受影响的用户,罚款金额从100美元到750美元不等,因此,如果拥有100万用户帐户的Web服务因违规而被罚款,该公司很可能会倒闭。用户加入和退出。根据CCPA的规定,如果用户选择退出,则必须与第三方共享信息,而GDPR强烈建议用户选择加入。总体而言,CCPA在主动披露和处理未成年人方面较为宽松。一般来说,一个企业如果能符合GDPR的要求,那么大概率也能符合CCPA的要求。只有2%的公司准备好了根据GDPR,如果公司向欧洲客户提供服务,则无论公司位于何处,都必须遵守GDPR的要求。同样,如果向美国境内的客户提供相应的服务,则必须遵守纽约和加利福尼亚州的相关法律要求。根据IAPP和OneTrust于2019年8月对大多数美国企业进行的一项调查,虽然74%的受访者认为公司需要遵守即将出台的CCPA,但只有约2%的受访者表示他们的公司已经这样做了。充分准备。考虑到GDPR已经对许多公司造成了沉重打击,只有47%的调查受访者预计将在1月1日之前为CCPA做好准备,尤其是对于仍未遵守GDPR的公司。调查问题:您希望您的企业何时完全符合CCPA标准?结果显示了两项IAPP/OneTrust调查,一项在4月,一项在8月。即使企业认为这些数据保护法对其不适用,相关法律的指定仍然非常必要。如果违反或损坏相关标准,将追究相关企业的民事责任。美国、欧洲等地相继出台相关法律,为法官处理企业与受影响客户之间的案件提供了标准。归根结底,保护客户的隐私将有助于增加客户对公司的信任以及公司自身业务和品牌的发展——其价值远高于违法必须支付的罚款。那么问题来了,你准备好了吗?【本文为栏目组织大数据文摘微信公众号“大数据文摘(id:BigDataDigest)”原创文章】点此查看作者更多好文
