2018年是GDPR年:《一般数据保护条例》(General Data Protection Regulation),是对欧盟制定的隐私法的全面更新。
该法案于2016年由欧洲议会通过,并于2018年5月25日正式生效。在实施GDPR之前的几个月里,世界各地的企业和营销人员竞相在这个截止日期前满足其要求。为了给他们的主人更多的时间来遵守规定,欧盟在“GDPR日”这天对欧盟游客封锁了网站。
在对GDPR的兴奋中,我们很容易忽略另一项几乎在同一时期通过的立法:加州消费者保护法(CCPA)。与GDPR相比,CCPA的成立时间非常短,仅仅经过一周的辩论就通过了。然而,它对美国数据隐私状况的影响已经非常显著,而且随着时间的推移,这种影响可能会变得更大。
这是为什么?
什么是加州消费者隐私法(CCPA)?
CCPA是加利福尼亚州隐私法的一个重要更新,它赋予加州消费者(定义为该州的任何永久居民)新的权利,让他们知道正在收集关于他们的哪些个人数据,访问这些数据,请求删除这些数据,并选择不收集他们的个人数据。
任何在加利福尼亚州开展业务的营利性公司(包括在加利福尼亚州销售、在加利福尼亚州纳税等业务)必须遵守该法案,该法案将于2020年1月1日生效。
CCPA的设立是为了替代更为严格的隐私立法——加州消费者个人信息披露和销售倡议(California Consumer Personal Information Disclosure and Sale Initiative),后者由一个名为“加州消费者隐私”(California ans for Consumer privacy)的倡导组织发起。虽然该组织已经为其倡议获得足够的支持,使其列入投票,但它同意,如果在6月最后一个星期撤军最后期限之前通过一项折衷法案,它将撤回该倡议。
CCPA是加州消费者个人信息披露和销售倡议(Californian Consumer Personal Information Disclosure and Sale Initiative)的一项更为严格的隐私立法的替代方案,该倡议由一个名为Californians for Consumer Privacy的倡导团体发起。尽管该组织已经为其提案提供了足够的支持,并将其列入投票,但它同意如果在6月最后一周的撤资截止日期前通过了一项折衷法案,则将撤回该提案。
这导致州议会成员Ed Chau和州参议员Robert Hertzberg于6月28日通过了《2018年加利福尼亚消费者隐私法》。赫茨伯格在法案通过后向《连线》杂志发表的一份声明中称,CCPA是“美国最全面的隐私法”
尽管CCPA经常被非正式地称为“美国的GDPR”或“加州的GDPR”,但它的重点和范围与欧洲同行略有不同,它更注重数据的商业用途,而不是各种数据处理。它也是在选择退出的基础上工作,而在GDPR中,同意(数据处理的合法基础之一,尽管决不是唯一的基础)要求“积极的选择加入”。
虽然GDPR的范围和规模远超CCPA,但CCPA本身仍是一项意义重大的立法。这不仅仅是因为它是在美国人口最多的州通过的,而这个州有许多科技公司,而且因为它已经在其他州引发了许多抄袭法案——许多人正在推动在联邦这一级别通过这项法律。
CCPA效应
GDPR和CCPA都是在消费者数据隐私意识的新时代通过立法的。正如CCPA在其第二部分中所说,“如果不分享个人信息,几乎不可能申请工作、抚养孩子、开车或预约。”随着科技和数据在消费者日常生活中的作用越来越大,消费者与企业共享的个人信息也越来越多。”
2018年的剑桥分析公司(Cambridge Analytica)数据丑闻,让企业收集个人数据的规模以及信息披露的潜在影响进入了一个新的、令人震惊的视野,但这绝不是第一起引人注目的数据泄露事件。因此,难怪消费者和倡导团体正在推动一项法律,要求企业披露他们收集的有关人们的哪些数据,以及他们如何处理这些数据,同时赋予他们获取、删除或选择不收集这些数据的权利。
自从CCPA在加州通过法律以来,近十几个州已经起草或推出了类似的立法,赋予消费者关于个人数据的新权利。这些法案的范围从几乎相同的密西西比消费者隐私法案(该法案已在委员会审议阶段夭折)到更广泛的法案,比如夏威夷提出的法案,它将适用范围扩大到该州所有经营的企业,或者马里兰州提出的法案,它赋予权利人更广泛的删除权;对极简主义者来说,比如北达科他州的法案:如果一个人在未经其所属个人的“明确书面同意”(通过邮件或电子邮件)的情况下,“获取或试图获取、转移、记录或使用或试图使用”可识别个人身份的信息,则该法案认定此人有罪。
除了以GDPR为模型的《华盛顿隐私法》(Washington privacy Act),所有这些新的隐私法都在一定程度上以CCPA为模型。(华盛顿的法案也在委员会阶段停滞不前,预计今年不会通过,不过该法案的主要发起人表示,他致力于在2020年通过该法案。
这一点的影响是,新的隐私法案都使用了广泛相似的语言,并坚持与CCPA类似的优先事项,重点关注消费者权利而不是组织实践,并对消费者信息进行了广泛的定义:包括生物特征数据、互联网活动、除姓名以外的唯一标识符(li比如一个IP地址或cookie数据),以及其他可以用来合理识别一个人的东西。
许多法案在使用包含“家庭”数据和个人数据的语言方面也模仿了CCPA,这一条款可能旨在包括智能设备收集的数据等内容,而智能设备是由家庭而非个人使用的。
所有这一切都意味着,加州的隐私法案,无论其通过得多么匆忙,都为美国新一代的隐私立法树立了标准,这些立法可能会在未来数年内规定数据的隐私和透明度。尽管每个州都有自己的不同的优先级,和自己的议员可能会感到完全不同的规定比加州的同行CCPA-esque隐私法案,其余的美国正在密切关注加州,审查通过的修正案,并占CCPA的缺点在他们自己的立法。
所有这些都意味着,加州的隐私法案,不管是否仓促通过,都在为美国新一代的隐私立法制定标准,这些新一代的隐私立法可能会在未来几年规定数据隐私和透明度。虽然每个美国州都有自己独特的优先事项,以及自己的立法者,他们可能与加利福尼亚州的立法者有很大的不同,但美国其他州正在密切关注加利福尼亚,仔细审查通过的修正案,并在他们自己的立法中解释CCPA的缺点。
文章来源:
https://econsultancy.com/california-consumer-privacy-act-ccpa-changed-data-privacy-united-states/
供稿者:杨慕青
声明:本文来自北邮互联网治理与法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。