加州的数据警长
加州的数据警长
将感受到「金州」新隐私法影响的远不止州内企业
历史不会重复,但有时会有回声。保护网民隐私的行动似乎就是如此。欧盟率先推出的《通用数据保护条例》(GDPR) 于 2018 年 5 月生效。该法让互联网巨头和跨国广告公司大受震动,它们以前都是在几乎不受监督的情况下使用 (有时甚至是滥用) 消费者数据的。12 月 11 日,印度政府推出了一项法案,要求企业只能在获得消费者同意的情况下处理数据,并给予政府自由访问数据的权力。同一天,澳大利亚总理斯科特·莫里森 (Scott Morrison) 承诺检讨现行隐私法,并表示竞争管理部门将监督数字平台上的广告活动。但目前与 GDPR 异曲同工的最重要的法律是《加州消费者隐私法案》(CCPA)。该法案于 1 月 1 日生效,冲击网络商务。
加州这项法律照搬了 GDPR 的一些条款。它让消费者有权知道企业收集了他们的哪些线上信息以及是如何使用这些信息的,有权要求企业销毁他们的数据,并状告企业泄露数据。在某些方面,CCPA 比 GDPR 更宽松些。例如,CCPA 并没有要求企业在收集和使用个人数据时必须有「法律依据」,或限制数据跨境转移,也没有要求企业任命数据保护官并评估公司项目的数据保护风险。尽管 GDPR 允许个人在某些情况下要求将自己的私人信息从网上移除,宪法第一修正案让这一「被遗忘权」在美国无望实现。
但在其他方面,加州比欧盟走得更远。CCPA 对个人信息的定义更广泛 (包括网站用来识别用户的 Cookie 之类的内容),并明确禁止歧视 (向允许企业使用自己数据的个人提供折扣)。企业必须在自己的官网首页上明确标识「不可出售」链接,让加州人可以选择不出售个人数据,而 GDPR 靠的是更繁琐的流程。部分从大型科技公司融资的隐私倡导团体民主与技术中心 (Centre for Democracy and Technology) 的米歇尔·理查森 (Michelle Richardson) 称 CCPA 是「开创性的」。
加州的法案将适用于年营收 2500 万美元或以上,并在该州开展业务或处理加州居民的数据的企业,即使该企业的总部不设在加州。任何地方的营利性实体,每年购买、共享或出售数据涉及超过五万加州消费者、家庭或设备的,同样适用。违法者每例违规面临最高 7500 美元的罚款,而 GDPR 的最高罚款额则是违法企业全球年收入的 4% 或 2000 万欧元 (2200 万美元),以较高者为准。加州的罚款上限看似很低,但对于那些拥有成千上万名用户的公司,罚款总额会迅速累加。
GDPR 的实施情况表明,CCPA 的影响将是深远的。根据 GDPR 已提出了约 25 万宗投诉,部分案例的罚款金额接近 1 亿欧元。如果说违反条例的代价可能会很高,遵守条例的成本也不低。行业组织国际保护隐私专业人员协会 (International Association of Privacy Professionals) 和会计师事务所安永估计,要遵守 GDPR,一般企业要付出 200 万美元,科技公司的合规支出超过 300 万美元,金融公司超过 600 万美元。一项估计显示,员工超过 500 人的所有美国企业的总合规成本可能达到 1500 亿美元。
加州总检察官委托开展的一项研究显示,受 CCPA 影响的约 50 万家美国企业的「初始合规」成本可能会达到 550 亿美元。对任何这类估算都应持保留态度。一方面,已经做到 GDPR 合规的全球性公司有先行优势,尽管这两部法律之间的差异意味着 GDPR 合规远不等同于 CCPA 合规。那些已经为 GDPR 合规掏腰包的大公司预计每家还将再支出 200 万美元。对于科技巨头来说,这只是毛毛雨。微软和苹果表示,它们不仅准备好了在加州做到 CCPA 合规,还计划在全美范围内遵守这一法规。
对于美国大批规模较小的小商品电商、应用开发者或其他从事互联网业务的企业而言,这部加州法规将带来繁重的负担。它们可以无视欧洲法规,因为它们大多在欧州没有业务,但它们无法轻易回避加州这个美国最大的国内市场之一。游说团体美国商会的一项新调查声称,美国只有 12% 的小企业知道有这项法案,而为此做好了准备的就少之又少了。
CCPA 带来的冲击波已经超越了企业董事会。大型科技公司正在游说华盛顿特区的立法者就该问题制定联邦法规。一家大型美国科技公司的数据隐私官说:「我们真的非常支持通过一部总括性的联邦隐私法。」Facebook 和谷歌也表达了同样的意思。美国商会历来反对立法,现在也赞同制定联邦法规。
科技公司对保护用户信息突然热心起来,一种解释是它们不想看到各州法律各行其是,相互矛盾。这样的愿望是合理的。伊利诺伊州、纽约州和华盛顿州都在各自筹备立法,其他很多州也在酝酿之中。
温驯西部,狂野东部
科技公司支持联邦层面的法规可能还有另一个动机。许多在线业务跨越州境,因此受联邦法律管辖。所以,联邦数据法会取代加州的数据法,除非联邦数据法明确说明它仅作为基础,各州可以根据自己的意愿做出更高的要求。民主党在参议院就提出了一份这样的提案。与之相对的共和党提案将要求以对商业更友好的规则为上限,实际上就是要消除 CCPA 的影响。没必要去猜测美国商界更希望最终是哪个结果。在 11 月美国大选之前,这两项提案都不太可能通过。所以在大选之前企业还得注意遵守加州的数据法案。大选之后,就等着一场混战吧。
文章版权归原作者所有。
