【大纪元2019年08月20日讯】(大纪元记者张纯之编译报导)数字时代,全世界的立法者都想给消费者更多控制数据和私人信息的权利。当许多企业还在适应“欧洲通用数据保护规范”(GDPR)的影响时,加州已即将启动更为严厉的“加州消费者隐私保护法”(CCPA),该法将给客户数据保护及企业运营带来怎样的影响?以下是which-50.com的报导讨论。
加州2020年1月将实施CCPA新法
该报导认为,加州系统CCPA对企业的冲击会更大。
目前,现行的欧洲系统的监管者已经展开行动,英国信息总监办公室已分别对两起违反GDPR的数据泄露行为进行了罚款,对英国航空罚款2.3亿美元,对Marriott旅馆业罚款9900万美元。全世界企业都感受到了GDPR的影响。
据调查顾问公司Gartner预期,截至2022年,一半的地球人口将获得类似GDPR标准的个人数据保护,比现在受保护人数多10%。
加州的CCPA是在2018年6月通过的,将于2020年1月1日实施。生效后,该法会是全美最复杂的隐私法。依据该法,加州人将有权知道企业搜集了哪些个人信息;有权删除该信息;并有权了解其个人信息是否被出售或泄露、卖给或泄漏给了谁等等。
虽然这些规则大部分都和GDPR一样,但来自一家美国律师事务所的声明说,加州的CCPA法将给企业施加更多负担。
CCPA适用年入超过2500万美元的企业,或者是拥有5万以上客户私人信息的公司。适用CCPA的企业,一年内必须回复任一个人消费者提出的至少两个要求,提供一线免费的隐私变更电话号码,一个明显的“不选”(Opt-out)页面以避免连到企业主页,或其它搜集个人信息的页面。
该法包含了“主观权利要求”(Subject rights request,简称SRR)的概念,即任何消费者都可以提出要求,而相关企业每次必须在45天内处理其要求。
还有,加州即将实施的CCPA之下的“个人信息”定义比既有的GDPR规定更加广泛,涵盖了家庭、装置及自然人的信息。
依据CCPA,企业每次非故意违规最高处罚可达2500美元,故意违规罚款7500美元。此外,对于数据泄露,CCPA还给予消费者索赔的权利,法定损害赔偿(Statutory damages)是100-750美元每案例,但如损失大可按实际的损失评估。
CCPA的核心是强化加州消费者决定其隐私如何被使用、发布及出售的权利,严格监管企业收集和处理个人信息。
该法的执行不取决于某公司所在地,而是取决于一个公司存储了谁的信息。换言之,如果一家澳大利亚企业搜集和出售加州3900万人中任何个人信息(达某低标时),就必须遵守CCPA的规定。
尽管CCPA是州法,但加州作为全美人口最多、经济体量最大的州,其隐私保护政策很可能会影响全美其它地区。Gartner的研究显示,今年截至6月,已经有12个州引入类似的草案(有些规定与影响范围甚至超过CCPA)。那些法律可能应用于40%的美国人口。
欧洲GDPR为何执行困难?
业内人士说,GDPR执行难,主要是因为大企业的内部技术设施复杂,没有几百个技术系统,也有几十个。这些系统相互很少沟通,其中任何一个都拥有各种客户记录。
如此一来,当一位客户选择退出一个邮件订阅时,看起来是非常简单的要求,但就可能要求彻底扫描上述的各级产品和数据库,确保订阅记录被移除(或标示为不联系)。这种合规要求对于企业的首席信息官(CIO)、首席市场官(CMO)以及数据官员来说就是噩梦。
Adobe高管卢卡斯(Steve Lucas)强调,CCPA比GDPR走的更远,不仅保护个人消费者的数据,还保护整个家庭的数据。他说自己很惊讶许多负责用户数据保护的高管都不知道这条立法。
有分析师建议设一个“门户网站”来处理客户的相关要求。比如,微软在引入GDPR后,启动了全球隐私自我服务。据Gartner的数据,该软件巨头第一年接到了1800万个请求,其中670万来自美国。
如果微软人工处理这些要求,即使成本低到不现实的每次100美元,总支出也将达到6.7亿美元。
而CCPA则意味着更大量的处理申请。Gartner建议随机选择5个账户,衡量要花多长时间完成一个用户的要求,成本多少,以及该公司能在规定时间内完成多少处理等。
CCPA和GDPR虽然给企业带来很多问题,但也给另一些企业带来了机会。一些公司专门为品牌提供集中设备,允许消费者更新自己的数据管理要求。随着隐私法监管越来越严格,这些公司将会吸引更多的融资。◇
责任编辑:方平
