隨著經濟全球化的推動,GDPR、CCPA對全球的影響會逐步加深。國內眾多要“走出去”的企業,尤其是IT企業,要多關注歐美隱私保護的進展了。國內在數據保護也在加緊制定相關的法律法規以約束IT企業的過渡使用個人數據。今天為大家蒐集整理了一些GDPR與CCPA的比對,幫助大家進一步瞭解兩個法規。
CCPA、GDPR 簡介
2018年6月28日,美國加州州長傑瑞·布朗(Jerry Brown)簽署了《2018年加州消費者隱私法案》(California Consumer Privacy Act of 2018,CCPA),旨在加強消費者隱私權和數據安全保護,CCPA賦予加利福尼亞州居民關於個人信息的新權利,並對在加利福尼亞開展業務的組織施加了新的數據保護責任。此前,谷歌和其他大公司抗議這項立法造成了過多的障礙。CCPA被認為是美國國內最嚴格的隱私立法,將於2020年1月1日生效。
《通用數據保護條例》(General Data Protection Regulation,GDPR)為歐洲聯盟的條例,前身是歐盟在1995年制定的《計算機數據保護法》。2018年5月25日,《通用數據保護條例》正式生效。據中興通訊數據保護合規部不完全統計,截止至2019年9月24日,22家DPA對87件案件共做出373,650,857歐元的行政處罰決定。
一、對“第三方”的定義
在GDPR中,“第三方”是指數據主體、控制者、處理者以及在控制者或處理者直接授權處理個人數據者以外的自然人、法人、公共機構、行政機關或其他非法人組織。有關“第三方”的其他要點包括:第三方在接收到個人數據後即被視作接收者;第三方的合法利益也可以作為相關控制者證明其處理個人數據正當性的法律基礎。
在CCPA中,“第三方”的定義同樣採取反面列舉的方式:(1)第三方不是法案中規定的收集消費者個人信息的企業。(2)第三方不是依據書面合同、出於商業目的而披露消費者個人信息的人(包括公司、法人、其他組織等)。上述合同必須符合一些最低限度的要求,如明確禁止出售個人信息;以及明確禁止出於任何目的保有、使用或披露個人信息,除非是為了履行合同規定服務的特定目的,包括出於提供合同規定服務以外的商業目的而保有、使用或披露個人信息;禁止保有、使用或披露個人與企業直接商業關係以外的信息。該類合同下的數據接收者還需要證明其已理解並將遵守上述限制。
二、關於“個人信息”的定義
GDPR中“個人數據”是指任何指向一個已識別或可識別的自然人(“數據主體”)的信息。該可識別的自然人能夠被直接或間接地識別,尤其是通過參照諸如姓名、身份證號碼、定位數據、在線身份識別這類標識,或者是通過參照針對該自然人一個或多個如物理、生理、遺傳、心理、經濟、文化或社會身份的要素。
2019年10月11日,加州州長簽署六項CCPA修正案及一項州洩露通知法令的修正案。其中,(AB-874)將“個人信息”重新定義為“識別、涉及、描述、能直接或間接地合理聯繫或連結至特定消費者或家庭的信息”。
CCPA對於個人信息的定義比GDPR更為廣泛,尤需注意的是CCPA將家庭、身份關聯的和設備的信息納入了個人信息的範疇。整體而言,GDPR側重用抽象概念定義,實踐中存在很大解釋空間;而CCPA則以抽象定義與實例列舉兩種方式相結合。
三、立場、出發點
GDPR是基於監管者的立場,以保護基本人權為出發點,強調有關責任主體主動規範數據處理的行為。CCPA更偏向於消費者的立場,側重規範數據的商業化利用。
從法案內容上看,GDPR規定個人數據的使用“原則上禁止,有合法授權時允許”;CCPA則是“原則上允許,有條件禁止”。而且,GDPR對數據保護的規定更為全面,而CCPA中基本是涉及消費者隱私保護的內容,並不像GDPR有關於數據安全方面的內容。
四、適用對象
GDPR的適用對象是任何擁有歐盟公民個人數據的組織。CCPA約束的是處理加州居民個人數據的營利性實體,且要求:年度總收入超過2500萬美元,或為商業目的購買、出售、分享超過50000個消費者、家庭或設備的個人信息,或通過銷售消費者個人數據取得的年收入超過總收入50%。
從定義來看,GDPR的“數據主體”對應CCPA的“消費者”,GDPR的“數據控制者”、“數據處理者”對應CCPA的側重於業務層面的“企業”(其定義更接近數據控制者),兩者在具體用詞上也有所區別。而且從確定數據主體的方式看,GDPR採用了屬地+屬人+保護原則,而CCPA則採用了屬人原則。
五、披露--知情權
兩部立法都有規定數據主體(消費者)有知情權,數據控制者(企業)在收集數據時需要披露有關隱私政策。
GDPR關於披露的規定,主要強調向數據主體具體解釋數據的用途,而對於數據控制者如何完成這項工作,給予了一定的自由,且其內容多隻涉及數據。
CCPA關於披露的規定更具說明性,要求企業在收集時或收集前通知消費者關於要收集的個人信息的類別、來源、收集或出售的目的以及共享個人信息的第三方如何實際分類等,這些涉及的多是元數據,當然消費者也有權獲取實際數據。
六、同意的流程
類似知情權,兩部立法也都規定了數據主體(消費者)有訪問、刪除等權利。
GDPR的流程是“選擇加入”的方式,個人同意是企業處理數據的重要依據,因此企業需主動獲取。
CCPA的流程是“選擇退出”方式,消費者有權指示企業停止向第三方出售其個人信息。對此,企業須明確發佈其隱私政策和標題為“不要出售我的個人信息”的鏈接,並指導消費者行使該權利。
雖然與GDPR相比,CCPA對同意要求的適用範圍較窄,對於商業用途的個人信息共享有著更嚴格的限制,但有選擇退出數據共享的權利設定,使得同意規定更為清晰和明確,有利於推進問責制,也在一定程度上賦予了消費者更廣泛的知情權。
七、處罰機制
兩部立法都對違規行為設定了較重的處罰。GDPR規定企業會面臨最高處以2000萬歐元或上一財年全球營業額4%的行政處罰(以較高者為準);CCPA規定企業會面臨支付給每位消費者最高750美元的賠償金以及最高7500美元的罰款。
CCPA的一大亮點是將損害賠償一事授予了個人,規定了私人訴訟權,使得民事集體訴訟成為可能。而另一方面,為了避免產生集體訴訟的狂熱,CCPA通過賦予州檢察長執法的專有權力和規定一些必須滿足的條件,如對企業進行書面違規通知,給予其30日解決違規行為的機會,從而對私人訴訟權加以約束。
閱讀更多 LongTooth長牙Robin 的文章
