Categories
程式開發

2020,個人隱私保護的變革之年


2020,個人隱私保護的變革之年 1

新的一年,總有些東西會改變,並變得更好,比如隱私保護。

2020 年 1 月 1 日,美國加州《CCPA》正式施行。 《CCPA》全稱是《2018 年加州消費者隱私法案》,這部法律出台的目的是當科技公司收集和使用數據時,賦予人們更多的信息和數據控制權。

《CCPA》的頒布標誌著加州成為美國第一個具有完整用戶隱私法律的州。它雖然僅適用於加州公民,但鑑於這部法律的全面性和高覆蓋率,其每項條款都對從事個人數據收集和處理的企業有著巨大影響。

如果說歐盟《GDPR》為保護公民隱私開了一個好頭,那麼加州《CCPA》則繼往開來。

眾所周知,歐盟《GDPR》(即《通用數據保護條例》)於 2018 年 5 月 25 日正式生效。這部“大法”不僅取代了 1995 年的《數據保護指令》和歐盟成員國各自製定的相關法規,而且在個人隱私保護方面邁出一大步。

一旦違反《GDPR》,後果很嚴重。

2020,個人隱私保護的變革之年 2

例如,2019 年 7 月 8 日,英國信息監管局發表聲明說,英國航空公司因違反《GDPR》被罰 1.8339 億英鎊(約合 15.8 億元人民幣)。

歐盟《GDPR》從步伐上開創了隱私保護的新時代,而加州《CCPA》或許將從影響力上推動隱私保護再前進一步。

矽谷科技公司的態度

鑑於加州的獨特地位,我們或許可以看到《CCPA》的潛在影響。

加州經濟發達。根據 2018 年美國商務部的數據顯示,加州 GDP 高達 2.747 萬億美元。如果把它視為獨立經濟體,加州經濟規模能排到全球第五,對全美、乃至全球經濟影響巨大。

更重要的是,加州是矽谷所在地,匯集著谷歌、Facebook、惠普、英特爾、蘋果、思科、英偉達、甲骨文和特斯拉等科技大公司和眾多創業公司。

目前,有些公司已經採取相關措施,促使平台合規。

Twitter:

2019年12月,Twitter公司宣布一項新的“隱私中心”,更新其隱私政策。

谷歌:

針對《CCPA》,谷歌則推出一款Chrome插件,它可以允許人們禁用Google Analytics收集其信息。

2020,個人隱私保護的變革之年 3

Mozilla:

“自我要求”更高的 Mozilla 在 2020 年 1 月 1 日宣布,它計劃新的一年裡在全球範圍遵守《CCPA》,而不僅僅針對美國加州公民。並且,Mozilla 在聲明中指出,它收集的用戶數據非常少。在即將到來的更新中,Mozilla 計劃讓用戶能從 Mozilla 的服務器上刪除他們的遙測數據。

Facebook:

Facebook 稱,無需更改政策,因為它表示從技術上講,自己不會“出售”用戶數據,而是將其用於廣告定位。

根據加州發布的一份報告表明,預計科技公司將花費約 550 億美元來實現合規性

雖然不菲的合規成本會暫時影響某些科技公司的發展,但如果能早日實現合規,那麼這些科技公司或許會“活得更久”。

加州《CCPA》VS 歐盟《GDPR》

儘管加州《CCPA》吸取了歐盟《GDPR》的一些理念,比如數據訪問權、數據刪除權和數據可攜帶權,但是很多方面比歐盟相關條例更具體。

當然,歐盟的條例中有些內容則是加州法案所沒有的。我們可以看看兩者的相同和差異。

1、哪些企業受到監管?

加州《CCPA》:滿足以下條件之一的加州企業,屬於本法律的適用範圍:

  • 年收入超過 2500 萬美元;
  • 擁有超過 50000 個消費者、家庭或設備的商業數據;
  • 消費者個人數據的銷售額佔年收入一半以上。

本法律也適用於以下企業:上述企業的控股公司或者被控股公司;與上述企業共享品牌的公司,例如,共享企業名稱、服務商標或註冊商標。

本法律部分條款還適用於:服務供應商和第三方。

歐盟《GDPR》:

  • 對於數據控制者和數據處理者而言:
  • 不管數據處理髮生地是否在歐盟範圍內,只要是歐盟國家企業,在歐盟機構活動的背景下處理個人數據;
  • 即使是非歐盟國家企業,只要其處理的歐盟數據主體個人數據,與歐盟範圍內的產品或服務相關,或與行為監測相關;

都必須遵守本條例。

對比:經過對比,我們發現,歐盟《GDPR》的應用範圍和地域範圍要大得多。受到監管的企業範圍也有較大不同。

2、哪些人受到保護?

加州《CCPA》:本法律所保護的加州居民須滿足以下任一條件:

  • 在加州境內且非短暫停留的人;
  • 定居在加州但暫時不在加州境內的人;

本法律所保護的消費者群體包括:

  • 居家用品和居家服務的消費者;
  • 公司員工;
  • 企業對企業的交易(B2B 交易)

歐盟《GDPR》

  • 數據主體,具體指與個人數據相關的已識別或可識別的個人。

對比:兩部法律在定義方式上差異大,但影響同樣廣泛;雖然兩部法律聚焦的數據都與可識別的自然人有關,但對數據的定義不同;兩部法律對地域之外的對像都有潛在影響,管轄範圍之外的企業也受影響。

3、哪些信息受保護?

加州《CCPA》

  • 特定消費者或家庭的個人信息,信息類型主要包括可識別、可描述、能產生聯繫、或直接間接產生關聯的信息;
  • 法律定義包括一系列特定種類的個人信息;
  • 個人信息不包括公開的政府記錄。

另外本法律同樣不包括其他法規所覆蓋的個人信息。

歐盟《GDPR》

  • 與已識別或可識別數據主體相關的所有個人數據;
  • 除非有合法理由,否則歐盟《GDPR》禁止處理任何特殊類型的個人數據。

對比:兩部法律在信息的定義上基本相似,唯一不同的是加州《CCPA》還覆蓋家庭和設備層面的信息。

4、隱私聲明或知情權的規定

加州《CCPA》:企業必須告知消費者以下內容:

  • 企業採集的個人信息種類;
  • 每個種類擬定的使用目的;

如果企業有以下操作,還需進一步告知:

  • 企業要採集附加的個人信息種類;
  • 採集個人信息用於其他不相關的目的;

《CCPA》要求企業向消費者提供特定信息,建立交付需求;第三方在從其他企業獲取數據時,也必須給予消費者明確的通知,讓消費者在轉售個人信息之前有機會選擇退出。

歐盟《GDPR》

  • 數據控制者必須對其個人數據採集和處理提供細節信息。不論信息採集是直接來自數據主體還是來自第三方,都必須讓消費者知情。

對比:

兩部法律在信息披露規定方面比較類似,只是特定信息的獲取方式和交付方式有所不同;《CCPA》規定:如果消費者提出請求,企業必須向消費者出示個人信息披露或轉賣給第三方的相關信息,但內容只涵蓋到消費者提出請求前的12 個月。

5、數據安全

加州《CCPA》

《CCPA》沒有強制規定數據安全的條款,但針對企業不顧現存加州法律風險,違反數據安全操作規則所引發的數據洩露,本法律規定了訴訟權。

歐盟《GDPR》

《GDPR》要求數據控制者和數據處理者採取合理的方式和組織措施,確保與風險相匹配的安全水平。

對比:在司法方式上基本相同,但隨著組織環境和監管機構的理解不同,合理的安全措施一定程度上也不盡相同。

6、關於兒童的權利規定

加州《CCPA》

《CCPA》規定,企業未經允許,禁止出售 16 周歲以下消費者的個人信息;年齡13-16 周歲的兒童可以直接給予企業同意。 13 周歲以下的兒童須經父母同意。需要明確的是,本法律遵從《聯邦兒童在線隱私保護法》提供的保護條款。

歐盟《GDPR》

《GDPR》默認年滿 16 周歲的兒童才有決定自己個人信息如何處理的權利,但歐盟成員國法律的年齡規定是 13-16 周歲。 13 周歲以下的兒童須由其監護人提供同意的權利;兒童必須要收到一份與其年齡相適應的隱私說明;兒童的個人數據必須受到更高層級的安全要求監管。

對比:

除了年齡區間的規定相似之外,兩部法律的區別很大。 《CCPA》只在個人數據出售方面需要父母同意,而《GDPR》規定所有數據處理過程都必須經過父母同意。

7、關於信息的刪除權或被遺忘權

加州《CCPA》

  • 除個別例外情況,消費者有權刪除企業採集的個人數據;
  • 企業也必須通知其服務供應商刪除相應數據。

歐盟《GDPR》

  • 在六種情況下,數據主體有權刪除個人數據;
  • 數據控制者必須採取合理措施,告知同樣處理數據的其他數據控制者。

對比:兩部法律在數據刪除權方面的規定類似;歐盟《GDPR》關於數據刪除權實施的情況只規定了六種情況,而《CCPA》更寬泛;歐盟《GDPR》規定企業有義務通知下游數據接受者刪除個人數據,這一點的適用範圍也比較寬泛。

8、反歧視規定

加州《CCPA》

  • 企業處理消費者數據時,不能歧視消費者;
  • 除非消費者提供的數據價值有差異,否則企業的定價不能因歧視而厚此薄彼;
  • 如果財務激勵措施在條款中或線上隱私政策有呈現,而且需要消費者的一致應允,企業才能為消費者提供財務激勵。

歐盟《GDPR》

  • 類似的反歧視規則在《GDPR》中體現得比較含蓄。關於相關組織不能在數據主體行使其權利時予以歧視,例如禁止對數據主體權利和自由造成影響的數據處理行為,條例沒有明確說明。

對比:兩部法律在該方面所體現的觀念相同,但對義務的規定不同。

9、懲罰措施(私人訴權)

加州《CCPA》

  • 對數據洩露包括信息的部分洩露,《CCPA》的懲罰措施沒那麼寬泛。
  • 如果發生數據洩露,企業有 30 天時間修復;消費者每人單次事件可以尋求實際賠償金或法律賠償金,金額從 100 美元到 750 美元不等。法院也可以指令或公告形式對企業進行減免。

歐盟《GDPR》

  • 《GDPR》可對數據控制者或數據處理者造成物質或非物質的損失進行處罰。

對比:兩部法律的適用範圍差異比較大,但違規行為都會產生重大經濟責任。

10、懲罰措施(民事罰款)

加州《CCPA》

加州總檢察長對於每次違規行為判決的民事罰款約 2500 美金,如果是故意行為,最高可達 7500 美金。但本法律規定,企業有 30 天的時間修復數據洩露問題。

歐盟《GDPR》

行政處罰最高可達2000 萬歐元,或該企業全年收入的4%;根據歐盟《GDPR》第八十三條,歐盟成員國實施罰金處罰應遵照《GDPR》違反章程,而非各國的行政處罰。

對比:雖然罰金的計算方式不同,但是歐盟《GDPR》的處罰顯然更重。

回看中國

在個人隱私方面,主要有兩種糟糕的現象:一是侵犯用戶隱私,比如一些 App 違規收集、使用用戶個人信息、不合理索取用戶權限等;二是買賣個人數據。

2020,個人隱私保護的變革之年 4

此前,筆者採訪一名網絡安全行業的技術專家時,他表示,幾年前,個人數據或信息買賣非常猖獗,很多都是明碼標價,比如手機號多少錢一個、身份證號多少錢一個、銀行卡號多少錢一個,這些全部明碼標價。

筆者相信,歐盟《GDPR》之後,出現加州《CCPA》,而《CCPA》後,將有中國的相關法律出台。

2019 年底,工信部召開 App 侵害用戶權益行為專項整治工作啟動部署會,將重點對違規收集用戶個人信息、違規使用用戶個人信息、不合理索取用戶權限、為用戶賬戶註銷設置障礙開展規範整治工作。

據悉,在隱私保護方面,中國正在製定《個人信息保護法》和《數據安全法》。

從歐盟、美國到中國,個人隱私保護已經成為互聯網時代的重要命題。這個命題的前提是,數據被視為新時代的“石油”,它有著無限價值。經濟利益的驅使,加上技術的濫用,個人數據被瘋狂掠奪,這一切讓個人隱私保護進入“黑暗時期”。而《GDPR》、《CCPA》和中國正在製定的法律或許能成為衝破黑暗的一束光。

(感謝InfoQ編輯岳巍對本文的貢獻)

附:

美國《2018 年加州消費者隱私法案》 中文譯本