伴随新年到来的可不只有跨年的钟声,对于众多美国企业来说,《加州消费者隐私法》(CCPA)的生效或许比新年更重要。
不知是否巧合,这正是21世纪第二个十年,而加州显然已经做好了准备要在20年代大展身手,首当其冲的就是此前闹得沸沸扬扬的CCPA。
该法案在2018年6月获得一致通过,在20年代的时钟被敲响的那一刻起,CCPA宣布正式生效!这也意味着,该法案也已正式纳入加州这个美国最大州、全球第五大经济体的司法体系。
对于加州普通互联网用户来说,目前的生活可能还不会发生太大的变化,但随着法律机制的最终确定及执行,个人隐私将在2020年代变得越来越重要,对于此用户也会逐渐察觉。
CCPA是美国加州针对消费者数据制定的第一部全面法规,类似于欧盟的《通用数据保护条例》(GDPR)。但与没有最低标准设定的GDPR相比,CCPA在适用监管标准的制定上更宽松,即使在举报违规情况下,除非有大量用户报告,每次事件罚款不会特别重,但罚款金额范围定在100美元至750美元/受影响用户,没有上限的罚款标准比GDPR“残酷”了不少,同时,与CCPA相比,GDPR会强烈建议用户选择加入。
自CCPA通过之日起,行业和隐私权倡导者们就一直在为其细节争论不休。到今天为止,CCPA已生效十天有余,它究竟为加州的公司带来了哪些影响?和文摘菌一起来看看吧!
新年要有新权利!
根据CCPA的相关规定,该法案针对的是在加州运营且年收入超过2500万美元、拥有超过5万名用户或其收入50%以上来自用户数据的任何公司。
对加州居民而言,CCPA为保护个人信息提供了一些新权利,其中最重要的是由加利福尼亚房地产巨头Alastair Mactaggart所支持的“知情权”和“拒绝权”。也就是说,如今用户可以查看哪些数据公司收集了他们的数据,用户可以要求这些公司删除数据,并且可以对公司将数据出售给第三方的行为表示拒绝。
需要重申的是,CCPA不仅针对全球性质的公司,如Google和Facebook,更针对任何开展在线业务的任何大公司,比如,著名技术媒体《连线(Wired)》的母公司CondéNast。
如果你是从加州的IP地址访问一篇wired的文章,应该可以看到页面中有一个带有大按钮的弹出框,上面写着“请勿出售我的个人信息”,要不试试点击一下?不过放心,wired不会“出售”数据,毕竟没人用现金或武力进行威胁。
但是,就像Internet上的其他站点一样,wired也使用了cookie在Wired.com上跟踪用户行为,包括阅读了哪些文章,阅读持续了多长时间等。他们将这些数据用于研究和改进网站,但这些信息也可能交给第三方供应商。
例如Google AdSense(谷歌广告联盟)就把这些信息与收集到的其他网站的类似数据结合起来,创建针对用户的个性化广告推荐。
例如,即使关闭Zappos(鞋类购物网站)页面,在浏览其他网页的时候还是会弹出烦人的鞋类广告,这就是它的工作方式,而且广告商已经为这种个性化广告的定制支付了额外的费用。
如果有人要求Wired.com停止“出售”数据,那么他将不会再在这里看到这些广告,用户在网站上的浏览历史记录也不会影响你在其他地方看到的广告。
有了GDPR的先例,许多公司不得不允许欧洲用户删除其数据或选择退出跟踪的流程,这为CCPA奠定了基础,包括Facebook在内的一些网站已经作出了改进允许用户行使CCPA权利。
巨额罚款成为法案执行的有效屏障
虽然相关部门澄清并界定了法规范围的最终版本尚未出台,加州检察长Xavier Becerra表示,希望终版法规可以在未来6个月内发布,不过这样就要等到7月1日才能开始执行,尚不知晓执行力度是否足够使法规真正起作用。
该法案赋予加州人民权利,他们可以起诉未能采取预防措施防止数据泄露的公司。但除此之外,只有总检察长办公室才能针对公司不遵守CCPA的情况进行起诉,这表明每年只会处理少量这样的案件。
《消费者报告》的隐私和技术政策主管Justin Brookman表示:“加利福尼亚总检察长说, 我们每年只有资源来处理几起案件。 所以也许对于很多公司来说, 被起诉的可能性很小 。”
但地产巨头Mactaggart认为,企业会与时俱进。“房地产可以说是美国监管最严格的行业之一了,我从未在任何集会上听到有人说,‘虽然有法律,但我们不会被抓,所以想怎么做就怎么做吧’。”
他认为即使案件很少,但公司面临的巨额罚款也会是一种有效的震慑。CCPA规定,对于违法的公司,每位用户每条数据将被罚款2500美元,因此罚款总额很容易就升至数百亿美元。
尽管如此,他也承认某些违法行为很难第一时间被发现,更不用说报警了。
“在页面上发现用户信息是否正被跟踪不难,难的是,用户怎么知道公司有没有删除或者出售这些信息?”
参议院统一立法还是独立法规,这是个问题
为了解决潜在的执法问题,Mactaggart准备在今年11月进行另一轮投票中提出倡议,以改进现有法规。他说:“目前,该法规的话语权掌握在总检察长的手中,我不是要责怪他,不过 他们是执法者,而不是监管者 。”
倡议提出,要创立一个专注于隐私法的独立机构,该机构将有权审核公司的合规性,这也将限制立法机构在未来对法规进行折中—鉴于目前盛行的行业游说现象,在目前这个问题还很严重。
同时,这项法规对国会也产生了压力,因为各州的独立法规使得业界无所适从,其中内华达州和佛蒙特州等都有自己的隐私法规,纽约等其他州的立法者还试图引入更严厉的法规,不过目前尚未成功。
参议院目前正在考虑一系列法案,但民主共和两党在两个关键问题上存在很大的分歧:是否赋予普通美国人起诉公司侵权行为的权利(民主党赞成,共和党反对),以及联邦法规是否应优先于更严格的州法规(民主党反对,共和党赞成)。国会等待立法的时间拖得越长,加州以及任何已经有所行动的州,就将有更大的可能落地独立法规。
“确实,公司必须有一个短期和长期的CCPA策略,” Foley&Lardner律师事务所的合伙人Jennifer Rathburn说,他负责为公司提供法律合规方面的建议,“一个州的最终法规出台,随之而来的是新投票倡议2.0,然后还可能有其他州法规接踵而来。这不是一锤子买卖。总之,隐私权的问题对于公司来说将一直存在。”
(责任编辑:代码如诗) |