[[280054]]

大數(shù)據(jù)文摘出品

作者：劉俊寰

還在急于應(yīng)對(duì)歐洲GDPR(General Data Protection Regulation，通用數(shù)據(jù)保護(hù)條例)?

那你就OUT了!

因?yàn)閺?020年1月1日開始，美國相關(guān)數(shù)據(jù)保護(hù)法——CCPA(California Consumer Privacy Act，加州消費(fèi)者隱私法案)也將正式實(shí)行，算算時(shí)間，只剩下不到三個(gè)月了!

[[280055]]

以為這樣就完了嗎?遠(yuǎn)遠(yuǎn)不止!從紐約開始，更多法案將在美國多個(gè)州陸續(xù)生效。

這意味著，不管企業(yè)總部位于何處，如果企業(yè)的服務(wù)對(duì)象是居住在加州和紐約的客戶，就必須遵守相關(guān)規(guī)定，否則就會(huì)被罰款。

針對(duì)CCPA的議論尚未停息

CCPA自去年6月宣布出臺(tái)，經(jīng)過一年多的修訂和準(zhǔn)備，終于在今年的10月13日，州長對(duì)該法案做出最后簽署。

在漫長的一年時(shí)間內(nèi)，外界對(duì)CCPA的討論從未停止過。

GoBestVPN的創(chuàng)始人Jamie Cambell還對(duì)CCPA及其保護(hù)消費(fèi)者數(shù)據(jù)方面做出預(yù)測(cè)，他指出，如果公司還沒準(zhǔn)備好相應(yīng)的代碼庫，至少應(yīng)該考慮修改現(xiàn)有系統(tǒng)，相關(guān)法律的提出無疑是有利于個(gè)人對(duì)自身隱私數(shù)據(jù)的保護(hù)的。

但不是所有人都對(duì)CCPA的實(shí)行抱以積極態(tài)度，美國Uvietech Software Solutions Inc.的軟件工程師兼首席執(zhí)行官Bryan Osima就認(rèn)為，CCPA的實(shí)行可能不會(huì)有任何改變，甚至對(duì)消費(fèi)者而言，這并不是一件好事，因?yàn)樗麄冊(cè)僖矡o法下到免費(fèi)的應(yīng)用程序了。

對(duì)于還未通過GDPR的英國企業(yè)，挑戰(zhàn)會(huì)更艱巨

英國自脫歐以來一直備受關(guān)注，英國不少公司同樣深受GDPR的影響，CCPA的實(shí)行對(duì)現(xiàn)在處境有點(diǎn)尷尬的英國企業(yè)來說又意味著什么呢?

國際律師事務(wù)所Dorsey&Whitney的合伙人Robert Cattanach指出，將信息治理的基本要素整合到所有運(yùn)營活動(dòng)中之前，推進(jìn)CCPA是一個(gè)緩慢漸進(jìn)的過程。

盡管CCPA對(duì)大多數(shù)英國企業(yè)的影響可能不如GDPR那樣直接，但CCPA的某些看似寬松的規(guī)定實(shí)際上潛藏了挑戰(zhàn)和危機(jī)。

許多公司會(huì)想當(dāng)然地認(rèn)為，為遵守GDPR而采取的信息治理措施也能滿足CCPA的要求。但是他說，在幾乎所有情況下，這都是一個(gè)錯(cuò)誤的假設(shè)。

“對(duì)于那些尚未通過GDPR遵從流程的公司，挑戰(zhàn)似乎更加艱巨。”他說道。

同時(shí)，他也就英國應(yīng)該如何面對(duì)CCPA提出自己的看法。

傳統(tǒng)而言，更提倡“自下而上”的數(shù)據(jù)映射，這在理論上很不錯(cuò)，但在實(shí)踐中極具挑戰(zhàn)性。相較而言他更傾向于“更務(wù)實(shí)”的做法：對(duì)CCPA主要功能組件進(jìn)行自我評(píng)估。

目前中國還缺少相關(guān)數(shù)據(jù)隱私保護(hù)法

美國加州聚集了眾多互聯(lián)網(wǎng)公司，包括微軟、Uber等，對(duì)于任何謀求發(fā)展的跨國企業(yè)而言，可以說加州用戶是兵家必爭之地了。

本次CCPA的要求對(duì)象規(guī)定為居住在加州的用戶，對(duì)于中國企業(yè)而言，只要有加州用戶的市場需求，就必須遵守CCPA的相關(guān)規(guī)定。

而考慮到目前國內(nèi)還缺少相關(guān)的信息保護(hù)法，相關(guān)企業(yè)針對(duì)這方面的準(zhǔn)備或許還并不充分，CCPA的實(shí)行對(duì)于中國企業(yè)而言或是一項(xiàng)不小的挑戰(zhàn)。

北京安理律師事務(wù)所高級(jí)合伙人王欣銳表示，中國個(gè)人信息保護(hù)的立法現(xiàn)在一方面需要“補(bǔ)課”，借鑒各國立法中的有效部分，另一方面又要針對(duì)中國特色的數(shù)據(jù)形式進(jìn)行針對(duì)性應(yīng)答，尤其是互聯(lián)網(wǎng)高速發(fā)展所帶來的問題。

GDPR有多嚴(yán)?

歐洲在18個(gè)月前推出GDPR，這是具有里程碑意義的數(shù)據(jù)隱私條例。

1. 互聯(lián)網(wǎng)企業(yè)屢遭罰款

互聯(lián)網(wǎng)行業(yè)盡管有兩年的時(shí)間去準(zhǔn)備，但還是因?yàn)檫`規(guī)遭受重創(chuàng)。GDPR實(shí)行的第一年，因?yàn)殡y以達(dá)到合規(guī)要求，超過90,000家企業(yè)自愿報(bào)告違規(guī)行為，超過145,000家企業(yè)遭到消費(fèi)者投訴。

和大多數(shù)法律一樣，對(duì)法律的無知不是借口，同樣，犯罪者的意圖也無法提供安全庇護(hù)。監(jiān)管機(jī)構(gòu)并不會(huì)在意企業(yè)是出于何種原因違規(guī)。不過他們確實(shí)會(huì)對(duì)明顯、蓄意或有意違法的相關(guān)行為處以更高的罰款。

• 2019年1月，谷歌被法國當(dāng)局處以5000萬歐元的罰款，因?yàn)楣雀柙诜▏占褪褂糜脩魝€(gè)人數(shù)據(jù)進(jìn)行廣告定位時(shí)缺乏透明度。
• 幾個(gè)月前，一家葡萄牙醫(yī)院因沒能很好管理患者病歷，支付了40萬歐元罰款。這家醫(yī)院創(chuàng)建了1,000個(gè)醫(yī)生左右的訪問帳戶，當(dāng)實(shí)際工作的醫(yī)生少于300人時(shí)，這1,000個(gè)用戶帳戶可以不受限制地訪問患者數(shù)據(jù)。
• 一家丹麥的出租車公司因收集超過900萬條包含個(gè)人身份信息的客戶記錄被罰款120萬克朗，因?yàn)檫@違反了GDPR相關(guān)規(guī)定。
• 波蘭當(dāng)局對(duì)本國的垃圾郵件行動(dòng)進(jìn)行了猛烈抨擊，他們從公共網(wǎng)頁上抓取了電子郵件地址，將這些地址匯總起來，用以發(fā)送“垃圾郵件”。90,000人的分發(fā)名單中的12,000名收件人投訴，本次行為共遭罰款22萬歐元。

這還不是全部，在線GDPR執(zhí)法跟蹤器正試圖捕獲所有基于互聯(lián)網(wǎng)的隱私濫用行為，包括對(duì)英國航空公司(British Airways)懸而未決的2.04億歐元罰款，該公司此前泄露了50萬客戶的付款信息。

谷歌、Facebook等改進(jìn)對(duì)用戶數(shù)據(jù)的管理模式

GDPR于去年5月正式實(shí)施，在此之前，谷歌、Facebook等互聯(lián)網(wǎng)公司紛紛改進(jìn)了對(duì)用戶數(shù)據(jù)的管理模式。

去年三月，F(xiàn)acebook宣布做出以下調(diào)整：簡化設(shè)置菜單，添加新的隱私快捷方式信息中心，更新用戶的數(shù)據(jù)下載和編輯權(quán)限。

在新的隱私快捷方式信息中心，用戶可以訪問“更清晰，更直觀”的系統(tǒng)，該系統(tǒng)使他們有權(quán)利控制投放廣告、控制誰能看到自己個(gè)人資料和個(gè)人信息、添加額外的保護(hù)機(jī)制。

緊隨Facebook的腳步，谷歌在5月份對(duì)數(shù)據(jù)政策做出相應(yīng)整改，通過向人們提供更明確的工具來管理數(shù)據(jù)，提高“用戶透明度”。

對(duì)于消費(fèi)者而言，控制投入廣告或完全屏蔽廣告的過程會(huì)更加簡化，Google表示，計(jì)劃“未來幾個(gè)月內(nèi)進(jìn)一步簡化這些工具的外觀和使用” 。

谷歌在歐洲、中東和非洲地區(qū)隱私和法律總監(jiān)馬爾科姆(Malcolm)表示，谷歌改進(jìn)了策略引導(dǎo)和組織結(jié)構(gòu)，不僅查找內(nèi)容會(huì)更容易，也能更輕松地管理、導(dǎo)出和刪除隱私數(shù)據(jù)。

GDPR VS CCPA：到底誰能嚴(yán)?

CCPA和GDPR之間存在一些關(guān)鍵差異?？偟膩碚f，CCPA在適用監(jiān)管標(biāo)準(zhǔn)的制定上會(huì)比GDPR更寬松，即使在舉報(bào)違規(guī)情況下，除非有大量用戶報(bào)告，每次事件罰款不會(huì)特別重。

• CCPA的最低標(biāo)準(zhǔn)。GDPR沒有設(shè)置最低標(biāo)準(zhǔn)，因此企業(yè)的所有業(yè)務(wù)都會(huì)被監(jiān)管;但是CCPA不會(huì)監(jiān)管年?duì)I業(yè)額低于2500萬美元，業(yè)務(wù)范圍不超過50,000用戶的公司，即使是發(fā)現(xiàn)了該公司存在數(shù)據(jù)泄露的行為。
• 罰款額度。GDPR設(shè)有上限，確保罰款不超過違法者收入的很大部分，但是對(duì)CCPA違法者而言，罰款金額的唯一限制是受影響的用戶數(shù)量，根據(jù)規(guī)定，罰款金額范圍定在100美元至750美元/受影響用戶，因此，如果一個(gè)擁有100萬用戶帳戶的網(wǎng)絡(luò)服務(wù)因違規(guī)罰款，這家公司很可能會(huì)倒閉。
• 用戶的加入與退出。根據(jù)CCPA，用戶如果選擇退出必須與第三方進(jìn)行信息共享，GDPR則強(qiáng)烈建議用戶選擇加入。一般而言，CCPA在主動(dòng)公開和處理未成年人方面更為寬大。

總的來說，如果企業(yè)能符合GDPR的要求，那很大概率上也能符合CCPA的要求。

只有2%的企業(yè)做好準(zhǔn)備了

根據(jù)GDPR的規(guī)定，如果公司是為歐洲客戶提供服務(wù)，則無論公司位于何處，都必須符合GDPR相關(guān)要求。同樣，如果是為美國客戶提供相應(yīng)服務(wù)，則需符合紐約和加州的相關(guān)法律要求。

根據(jù)IAPP和OneTrust于2019年8月對(duì)大多數(shù)美國企業(yè)進(jìn)行的調(diào)查，雖然74%的受訪者認(rèn)為公司需要遵守即將頒發(fā)的CCPA，但只有約2%的受訪者表示他們的公司已經(jīng)做了充分準(zhǔn)備。

考慮到GDPR已經(jīng)讓許多公司遭受重創(chuàng)，但只有47%的調(diào)查受訪者希望在1月1日前為CCPA做好準(zhǔn)備，對(duì)于仍未符合GDPR要求的公司尤其如此。

調(diào)查問題：大概希望所在企業(yè)何時(shí)完全遵守CCPA?結(jié)果顯示了兩次IAPP/OneTrust調(diào)查，一次在4月進(jìn)行，一次在8月進(jìn)行。

即使企業(yè)認(rèn)為這些數(shù)據(jù)保護(hù)法對(duì)自身還不適用，但相關(guān)法律的指定還是十分有必要的。如果違反或損害了相關(guān)標(biāo)準(zhǔn)，會(huì)對(duì)相關(guān)企業(yè)追究民事責(zé)任。

相關(guān)法律在美國歐洲等地先后推出，為法官處理企業(yè)與受影響客戶之間的案件提供了標(biāo)準(zhǔn)。歸根結(jié)底，保護(hù)客戶的隱私會(huì)有助于增加客戶對(duì)企業(yè)的信任以及企業(yè)自身業(yè)務(wù)和品牌的發(fā)展——這些的價(jià)值遠(yuǎn)遠(yuǎn)高于因違反法律必須繳納的罰款。

那么問題來了，你準(zhǔn)備好了嗎?

【本文是51CTO專欄機(jī)構(gòu)大數(shù)據(jù)文摘的原創(chuàng)文章，微信公眾號(hào)“大數(shù)據(jù)文摘（ id: BigDataDigest）”】

戳這里，看該作者更多好文