如何合规欧盟和加州隐私新规?苹果、谷歌将面临美国国会“大考”
隐私保护
据美国国会官网消息,9月26日,美国参议院商业、科技和交通委员会将召开主题为“考察消费者数据隐私保护措施”的听证会,意在考察苹果、谷歌、推特、亚马逊、AT&T、美国有线电视运营商Charter等六家企业的消费者隐私保护现状。
参考4月Facebook创始人Mark Zuckerberg与40多位参议员、众议员的“鏖战”,这场听证会恐怕不是那么好应付,更何况谷歌最近本就陷入了多起负面事件。不过,这些美国乃至世界顶尖的技术通讯企业将如何影响消费者隐私保护的发展,是否能撼动《加州消费者隐私法案》(下称“CCPA”),朝他们希望的方向修订,都是值得关注的焦点。
谷歌负面事件缠身 届时将派出首席隐私官
此前,有不少媒体报道,美国总统特朗普秘密约见了硅谷的科技巨头们,会议内容与隐私有关。有人猜测,全美网络隐私法案可能正在酝酿之中。事实上,在“史上最严”的欧盟《一般数据保护条例》(下称“GDPR”)刺激之下,美国民众对个人信息保护集中立法的呼声一直存在。
“在数据隐私保护上,消费者理应获知清晰的答案和标准”,委员会会长John Thune强调,这次的听证会将给上述企业解释隐私保护策略的机会,阐述如何合规欧盟和加州新出台的隐私法规,以及国会怎样在不扼杀创新的前提下,让现有的消费者隐私保护更符合公众的期望。
隐私护卫队了解到,刚过完20岁生日的谷歌正在为好几桩隐私事件烦恼。美联社8月的一项研究发现,即使安卓设备用户在活动记录中关闭“历史位置”的授权,谷歌依然可以追踪并存储用户的地理位置。此外,据华尔街日报报道,谷歌允许第三方邮件应用读取用户的邮件内容。这些都引起了消费者的强烈反弹。
就在上周,国会的另一场听证会本来要求Facebook、推特和谷歌的代表出席,讨论包括隐私在内的一系列话题,但最终只有Facebook的首席运营官Sheryl Sandberg和推特的首席执行官Jack Dorseymade到场,谷歌方面无人出席。不过,9月26日的这场听证会,首席隐私官Keith Enright将代表谷歌出席,足见其重视程度。
苹果方面也有大动作。9月1日,苹果宣布,从10月3日起,所有在App Store上架的应用都必须包含隐私政策,并对隐私政策内容提出了具体要求。可以预想的是,这一举措将大大推动企业,尤其是中小企业在用户隐私保护上的进步。
值得注意的是,年初被曝8700万用户数据泄露的Facebook此次不在被邀请之列。这或许是因为早在4月,Zuckerberg就已经连续被参议院、众议院轮番“轰炸”过。在加起来长达十几个小时的两场听证会上,Zuckerberg承认Facebook没能防止用户信息被滥用,称之为“巨大的错误”。Facebook也因此对隐私设置功能做了一系列改进。
GDPR天价罚单频出 加州法案仍在修订
作为本次听证会的内容之一,企业阐述将如何合规5月25日正式实施的GDPR,以及6月28日通过的CCPA,毫无疑问将成为重头戏。以加州为大本营、分公司遍布全球的硅谷科技巨头们夹在两个隐私新规中,仿佛突然间陷入了“腹背受敌”的境地。
GDPR实施之后,欧盟多个国家的执法机构都应用户投诉开展了针对美国科技巨头企业的调查,虽然还没有定论,但动辄上千万欧元的高额罚款却时刻牵动着这些企业的神经。GDPR生效的第一天,谷歌和Facebook就被奥地利非盈利机构NOYB起诉,称它们采用了“强迫同意”策略,即仅让用户在给定的框内打勾,没有提供“自由选择权”,并要求谷歌和Facebook分别赔偿37亿欧元和39亿欧元。据悉,谷歌未经安卓用户同意擅自收集地理位置一事,目前也已被亚利桑那州的一名律师盯上,正在调查中。
相较经过多年斟酌才出台、已经被监管机构实际应用的GDPR,仓促写就的CCPA还在不断修改中,并刚刚于8月31日通过了新一轮修订。此前,法案相关的核心人士曾向隐私护卫队表示,CCPA在正式实施前“不会被撤销或有重大修改”,但并不排除会随着科技的不断创新,对部分条款作出应有的调整。法案起草议员之一Bob Hertzberg也称,将继续出台解释性文件。
隐私护卫队对比修订前后的CCPA文本发现,有几处较大的变化。比如现有法案规定,消费者有权要求企业删除与他相关的个人信息;在此基础上,最新修订版进一步提出,企业必须向消费者披露他拥有删除权,并应遵循特定的操作流程予以删除。另外,最新修订版还免除了消费者在就隐私问题提起私人诉讼时,在30天内通知州总检察长的义务,而只需将检测到的违规行为通知相关企业。
另外,最新修订版对CCPA可能与州内其它法案产生的冲突作了补充说明。某些企业受联邦Gramm-Leach-Bliley法案、联邦健康保险流通与责任法案、加州财务信息隐私法案、医疗信息保密法以及其他特定行业法律的约束,可能与CCPA的要求相悖。因此最新修订的版本明确规定,企业根据某些特定法律实施的数据处理行为无需遵守CCPA。
有观点认为,虽然新修订的CCPA澄清了一些模糊之处,但依然还有不少地方需要补充说明。或许,9月下旬的这场听证会能为CCPA的修订提供更加明确的方向。