美数据隐私保护法来临:明年1月生效 现仅2%企业合规

依然在应付欧盟数据保护法案（GDPR）的公司可能需要面临更多的问题了——美国的数据保护法案很快就要出炉。加州消费者隐私法案（CCPA）即将于明年 1 月生效，现在只有 3 个月不到的时间去准备了。此外，以纽约州为起点，更多的法案正在美国多个州陆续生效。

  相比‘史上最严’的 GDPR，CCPA 是什么？

  CCPA，据其官网介绍，是一个隐私保护条例，用于保护个人数据，是美国加利福尼亚州出台的地方法律。这一法律其实是 2018 年通过的，帮助消费者在访问、删除和分享企业收集到的个人数据上赋予了新的权利。

  具体而言，收集消费者数据的企业必须披露收集的信息、收集信息的商业目的、以及会共享这些信息的所有第三方组织和机构。而企业需依据消费者提出的正式要求删除相关信息，如果消费者有这样的需求。此外，消费者可选择出售他们的信息，而企业则不能随意改变价格或服务水平。对于允许收集其个人信息的消费者，企业可提供‘财务激励’。

  根据 CCPA 的规定，加州居民可以获得对个人数据相关的很多权利。主要包括：

  1． 数据访问权

  2． 数据删除权

  3． 不被歧视的权利

  4． 在产品页面挂出明显的‘不出售个人信息’选项，并纰漏新的隐私政策

  5． 未成年人和监护人授权

  6． 私人诉讼权

  除了数据隐私保护这一目的，CCPA 还希望帮助公众了解他们的什么数据会被收集，而且这些数据会被怎样出售或公开。

  和 GDPR 类似，CCPA 要求任何和加州居民发生业务往来的公司都要遵守这一法律，不存在属地管辖的原则。这无疑会给很多非美国的海外企业带来影响。

  数据保护刻不容缓

  随着大数据时代的不断发展，用户的隐私遭到侵犯甚至用于不当牟利的情况层出不穷，并且各国有关数据隐私的立法往往跟不上互联网的发展速度。所以，为了改变这种用户数据遭滥用和隐私遭侵犯的现象，世界各国在数据立法上不断地进行改善，从而予以企业更多的监管，使用户数据得到更多更全的保障。

  以欧盟为例，欧盟早在 2016 年 4 月就提出了 GDPR，但并没有立即实施，而是给予了企业两年多的缓冲时间，最终于 2018 年 5 月 25 日正式实施，被称为‘史上最严格的的用户个人数据保护法案’。GDPR 的处罚之严格令人咂舌，以违反个人数据的罚款额度为例，违法企业将最高面临其年营业额 4%的罚款，以目前最高者为准，即 2000 万欧元（约合人民币 1.56 亿）。

  在个人数据保护的全球浪潮中，中国也无法置身事外。中国也在数据保护立法上持续做出努力。早在 2003 年，国务院信息化办公室就已经开始展开个人信息保护法立法研究工作，并于 2005 年形成专家意见稿；2009 年中华人民共和国刑法修正案（七）对窃取、出售或非法提供给他人的行为作出‘情节严重的，处三年以下有期徒刑或拘役，并处或单处罚金’的规定，之后 2015 年的刑法修正案（九）又对非法获取公民个人信息的罪名做了补充；2017 年 12 月 29 日，全国信息安全标准化技术委员会正式发布《信息安全技术个人信息安全规范》，从信息权利保护的角度全面规定了公民个人信息的收集、保存、使用、委托处理、共享、转让、公开披露以及个人信息安全的处置等。