伴随新年到来的可不只有跨年的钟声，对于众多美国企业来说，《加州消费者隐私法》（CCPA）的生效或许比新年更重要。

 

不知是否巧合，这正是21世纪第二个十年，而加州显然已经做好了准备要在20年代大展身手，首当其冲的就是此前闹得沸沸扬扬的CCPA。

 

该法案在2018年6月获得一致通过，在20年代的时钟被敲响的那一刻起，CCPA宣布正式生效！这也意味着，该法案也已正式纳入加州这个美国最大州、全球第五大经济体的司法体系。

 

对于加州普通互联网用户来说，目前的生活可能还不会发生太大的变化，但随着法律机制的最终确定及执行，个人隐私将在2020年代变得越来越重要，对于此用户也会逐渐察觉。

 

CCPA是美国加州针对消费者数据制定的第一部全面法规，类似于欧盟的《通用数据保护条例》（GDPR）。但与没有最低标准设定的GDPR相比，CCPA在适用监管标准的制定上更宽松，即使在举报违规情况下，除非有大量用户报告，每次事件罚款不会特别重，但罚款金额范围定在100美元至750美元/受影响用户，没有上限的罚款标准比GDPR“残酷”了不少，同时，与CCPA相比，GDPR会强烈建议用户选择加入。

 

自CCPA通过之日起，行业和隐私权倡导者们就一直在为其细节争论不休。到今天为止，CCPA已生效十天有余，它究竟为加州的公司带来了哪些影响？和文摘菌一起来看看吧！

 

新年要有新权利！

 

根据CCPA的相关规定，该法案针对的是在加州运营且年收入超过2500万美元、拥有超过5万名用户或其收入50%以上来自用户数据的任何公司。

 

对加州居民而言，CCPA为保护个人信息提供了一些新权利，其中最重要的是由加利福尼亚房地产巨头Alastair Mactaggart所支持的“知情权”和“拒绝权”。也就是说，如今用户可以查看哪些数据公司收集了他们的数据，用户可以要求这些公司删除数据，并且可以对公司将数据出售给第三方的行为表示拒绝。

 

需要重申的是，CCPA不仅针对全球性质的公司，如Google和Facebook，更针对任何开展在线业务的任何大公司，比如，著名技术媒体《连线（Wired）》的母公司CondéNast。

 

如果你是从加州的IP地址访问一篇wired的文章，应该可以看到页面中有一个带有大按钮的弹出框，上面写着“请勿出售我的个人信息”，要不试试点击一下？不过放心，wired不会“出售”数据，毕竟没人用现金或武力进行威胁。

 

但是，就像Internet上的其他站点一样，wired也使用了cookie在Wired.com上跟踪用户行为，包括阅读了哪些文章，阅读持续了多长时间等。他们将这些数据用于研究和改进网站，但这些信息也可能交给第三方供应商。

 

例如Google AdSense（谷歌广告联盟）就把这些信息与收集到的其他网站的类似数据结合起来，创建针对用户的个性化广告推荐。

 

例如，即使关闭Zappos（鞋类购物网站）页面，在浏览其他网页的时候还是会弹出烦人的鞋类广告，这就是它的工作方式，而且广告商已经为这种个性化广告的定制支付了额外的费用。

 

如果有人要求Wired.com停止“出售”数据，那么他将不会再在这里看到这些广告，用户在网站上的浏览历史记录也不会影响你在其他地方看到的广告。

 

有了GDPR的先例，许多公司不得不允许欧洲用户删除其数据或选择退出跟踪的流程，这为CCPA奠定了基础，包括Facebook在内的一些网站已经作出了改进允许用户行使CCPA权利。

 

巨额罚款成为法案执行的有效屏障

 

虽然相关部门澄清并界定了法规范围的最终版本尚未出台，加州检察长Xavier Becerra表示，希望终版法规可以在未来6个月内发布，不过这样就要等到7月1日才能开始执行，尚不知晓执行力度是否足够使法规真正起作用。

 

该法案赋予加州人民权利，他们可以起诉未能采取预防措施防止数据泄露的公司。但除此之外，只有总检察长办公室才能针对公司不遵守CCPA的情况进行起诉，这表明每年只会处理少量这样的案件。

 

《消费者报告》的隐私和技术政策主管Justin Brookman表示：“加利福尼亚总检察长说， 我们每年只有资源来处理几起案件。 所以也许对于很多公司来说， 被起诉的可能性很小 。”

 

但地产巨头Mactaggart认为，企业会与时俱进。“房地产可以说是美国监管最严格的行业之一了，我从未在任何集会上听到有人说，‘虽然有法律，但我们不会被抓，所以想怎么做就怎么做吧’。”

 

他认为即使案件很少，但公司面临的巨额罚款也会是一种有效的震慑。CCPA规定，对于违法的公司，每位用户每条数据将被罚款2500美元，因此罚款总额很容易就升至数百亿美元。

 

尽管如此，他也承认某些违法行为很难第一时间被发现，更不用说报警了。

 

“在页面上发现用户信息是否正被跟踪不难，难的是，用户怎么知道公司有没有删除或者出售这些信息？”

 

参议院统一立法还是独立法规，这是个问题

 

为了解决潜在的执法问题，Mactaggart准备在今年11月进行另一轮投票中提出倡议，以改进现有法规。他说：“目前，该法规的话语权掌握在总检察长的手中，我不是要责怪他，不过 他们是执法者，而不是监管者 。”

 

倡议提出，要创立一个专注于隐私法的独立机构，该机构将有权审核公司的合规性，这也将限制立法机构在未来对法规进行折中—鉴于目前盛行的行业游说现象，在目前这个问题还很严重。

 

同时，这项法规对国会也产生了压力，因为各州的独立法规使得业界无所适从，其中内华达州和佛蒙特州等都有自己的隐私法规，纽约等其他州的立法者还试图引入更严厉的法规，不过目前尚未成功。

 

参议院目前正在考虑一系列法案，但民主共和两党在两个关键问题上存在很大的分歧：是否赋予普通美国人起诉公司侵权行为的权利（民主党赞成，共和党反对），以及联邦法规是否应优先于更严格的州法规（民主党反对，共和党赞成）。国会等待立法的时间拖得越长，加州以及任何已经有所行动的州，就将有更大的可能落地独立法规。

 

“确实，公司必须有一个短期和长期的CCPA策略，” Foley＆Lardner律师事务所的合伙人Jennifer Rathburn说，他负责为公司提供法律合规方面的建议，“一个州的最终法规出台，随之而来的是新投票倡议2.0，然后还可能有其他州法规接踵而来。这不是一锤子买卖。总之，隐私权的问题对于公司来说将一直存在。”