文 / 《通信产业报》(网) 崔亮亮
编辑 / 高超
其他
美国版GDPR生效:你可以向“个人信息”出售说不
据外媒消息,美国大型零售商和互联网公司正在纷纷遵守一项新的法律:加利福尼亚州消费者隐私法案(CCPA——California Consumer Privacy Act),是一项给加州人更多隐私保护的新法律,类似于欧盟推行的GDPR法案。CCPA于2020年1月1日生效,它将成为监督美国公司数据收集做法的最重要法规之一。该法案允许消费者明确禁止企业将个人数据出售给第三方。
消息人士称,包括沃尔玛在内的美国零售商从1月1日起,在其网站上添加“不要出售我的信息”链接,并且在门店内设立标牌,允许加利福尼亚州的消费者了解零售商会收集有关他们的哪些数据。
除了零售商之外,这项法案还对其他企业产生了影响,包括Facebook和谷歌在内的社交媒体平台、广告商、应用程序开发商、移动服务提供商以及流媒体电视服务商等等。
被称为“美国版GDPR”的《加州消费者隐私保护法案》的正式出台,意味着之后在加州经营的公司都需要按照相关法案指导意见来处理大量数据。CCPA主要体现在以下几个方面:
1.保护消费者的知情权。企业在收集个人资料之前,必须明确告知消费者他们正在被收集哪些数据、以及企业会如何使用这些数据。在告知时,必须使用简单、直接的语言,避免使用技术或法律术语,并且即使在小屏幕上也要清晰可见、易读。
2.保护消费者的敏感信息。当收到消费者数据披露的请求且披露内容涉及社会保险账号或者账户信息等敏感信息时,如果企业无法核实对方身份,即使在被要求的情况下也不应透露相关信息。
3.赋予消费者要求删除个人信息的权利。当用户提出想要删除自己的相关个人数据后,企业必须在10天内给予回应,并告知其处理办法。同时,在正常情况下,必须在45天内完成用户要求。
4.明确的“opt-out”按钮。出售个人信息的企业需要在其主页上加一个“不要出售我的个人信息”(Do Not Sell My Personal Information/Info)的按钮。
5.保护未成年人的个人信息。当企业面临来自13岁以下的未成年人的请求,法案也提出了一系列审核办法,包括检查父母或监护人的ID等。
许多隐私和法律专家认为,CCPA在未来可能成为一套更广泛的数据处理标准。正如2018年欧盟颁布GDPR一样,即使在非欧盟地区运营,很多企业也改变自身行为以适应GDPR法案的各项规定。对于企业来说,一套完整的国家标准给企业带来的合规成本将比州法案所带来的成本更低。
据外媒称,其他一些零售商,例如Home Depot,不仅会在加州这样做,还会在全美范围内提供这些信息。在位于加州的门店中,Home Depot还会提供标识,以及QR码,消费者可以用手机扫描这些QR码,从而了解相关信息。此外,Home Depot还将对员工进行培训,向消费者进行讲解。
据外媒报道,Mozilla浏览器日前宣布,它计划在新的一年里在全球范围内遵守新的《加州消费者隐私法(CCPA)》,而不只是针对美国西部各州的用户。Mozilla在声明中指出,它已经收集的用户数据非常少,然而,在即将到来的更新中,Mozilla计划让用户能从Mozilla的服务器上删除他们的遥测数据。在Firefox中,遥测只能提供Mozilla一般信息,比如打开了多少个标签页、打开了多长时间,但其无法知道用户在浏览的具体网站也不会在用户处于私密浏览模式时收集任何数据。
隐私保护法案的颁布将会给企业带来诸多限制,并大幅增加合规成本。但从另一方面来看,保护消费者数据也会给企业带来诸多好处。
凯捷研究(Capgemini research)调查采访了多个国家不同行业(保险、银行、消费品、公用事业、电信、公共服务、医疗和零售)的1100名高管,发布了一则关于企业遵守欧盟GDPR情况的新报告。
该报告称,遵守GDPR为企业在消费者信任、客户参与、企业收入、员工士气、整体品牌形象等方面带来了一系列出乎意料的“好处”。GDPR合规组织比不合规组织总体上表现好20%。
凯捷咨询还向美国公司询问了他们对于CCPA的看法。调查发现,70%的人表示他们会在明年CCPA生效时遵守法案。
这项报告的意义在于,遵守严格的消费者隐私条例并没有损害在欧盟开展业务的公司。事实上,它似乎起到了积极作用。正如凯捷研究报告称,92%的合规企业“因为遵守GDPR反而得了竞争优势”。
美国最严消费者隐私发最先落户加州有其必然原因。美国加州聚集了众多互联网公司,包括微软、Uber等,对于任何谋求发展的跨国企业而言,可以说加州用户是兵家必争之地。
本次CCPA的要求对象规定为居住在加州的用户,对于中国企业而言,只要有加州用户的市场需求,就必须遵守CCPA的相关规定。
而考虑到目前国内还缺少相关的信息保护法,相关企业针对这方面的准备或许还并不充分,CCPA的实行对于中国企业而言或是一项不小的挑战。
业内专家认为,中国个人信息保护的立法现在一方面需要“补课”,借鉴各国立法中的有效部分,另一方面又要针对中国特色的数据形式进行针对性应答,尤其是互联网高速发展所带来的问题。
附欧盟GDPR概要:
GDPR此前历经了长达四年的讨论及两年的过渡期。2016年4月在欧洲议会上正式通过,完全替代1995年的《欧盟数据保护指令》(Directive 95/46/EC)。该条例被称为“史上最严”,主要体现在:
首先,设定了天价罚款,至少1000万欧元或企业上一财年全球营业总额的2%-4%,并以较高者为准;
其次,“管的宽”,这一新条例赋予了欧盟域外管辖权,不仅管辖注册地或总部在欧盟内的企业,也完全可能管辖“地理上”位于欧盟外的企业。只要与欧盟企业发生业务往来,或涉及存储、处理、交换任何欧盟公民数据,都在该条例管辖之内。
另外,“管得细”,条例大幅拓展了对于“个人数据”的定义,除了姓名、住址、身份证号码以及网络IP地址这些常规信息外,还包括了指纹、虹膜这些生物识别数据,以及种族和宗教信仰等信息。
最后,全面加强了对个人数据的保护,并大幅提升了企业的数据保护责任。网站经营者必须事先向客户说明会自动记录客户的搜索和购物记录,并获得用户的同意,否则按“未告知记录用户行为”作违法处理。
企业不能再使用模糊、难以理解的语言,或冗长的隐私政策来从用户处获取数据使用许可。
明文规定了用户的“被遗忘权”(right to be forgotten),即用户个人可以要求责任方删除关于自己的数据记录。