CCPA规定了新的消费者权利,涉及企业收集的个人信息的访问、删除和共享,旨在加强消费者隐私权和数据安全保护。企业负有保护个人信息的责任,消费者控制并拥有其个人信息;CCPA提高了美国保护隐私的标准,对于不遵守法案或导致数据泄露的企业处以罚款。
CCPA从通过至今一年多以来,加州议会又陆续讨论了十几项CCPA修正案,并审议通过了其中六项法案,不断廓清制度规范,推动CCPA走向「成熟定型」。据报道,2019年10月10日,加利福尼亚州总检察长XavierBecerra公布了根据CCPA提出的实施细则,通过实施细则来促进CCPA宗旨的实施。拟议的实施细则将建立可行的程序,以保障消费者在CCPA下的新权利,并为企业如何遵守CCPA提供一定的指导。
仅有2%的企业表示做好准备
IAPP/OneTrust分别于2019年4月和8月主要针对美国企业的员工(各种规模)进行了CCPA准备度(CCPAReadiness)调查。在2019年4月的调查中,企业现已或者可于2020年1月1日之前完全遵守CCPA的比例占55%,而奇怪的是,在8月的调查中,这一比例却降到了49%。调查结果显示,74%的受访者认为他们的雇主应该遵守加州即将实施的隐私法,然而,只有约2%的受访者认为他们的企业已经完全做好了应对CCPA的准备。
CCPA法案适用于在加利福尼亚州开展业务的实体,即使其可能在加利福尼亚州并没有设立办事处,而只是对在该州经营的企业进行了投资。该法案还可能成为其他美国联邦或州隐私立法的先声。由于CCPA的一些条款可向前追溯12个月,因此企业应该立即开始规划其合规工作,包括进行数据映射和业务影响评估。中国企业应当:
首先确定自身是否是CCPA管辖对象;
对公司目前实践与CCPA要求进行差距评估;
准备并执行工作计划并以经济高效的方式实现合规,在适用的情况下利用现有的欧盟《通用数据保护条例》(简称:GDPR)合规工作成果;
理解CCPA与GDPR条款中的细微差别,例如鉴别商业主体合作伙伴为服务供应商、第三方或法律规定的其他事项;
开展合规工作,包括:
进行数据清点;
设计流程以回应个人权利要求;
起草隐私通知;
准备合同,包括更新GDPR数据处理附录(DPAs)以涵盖CCPA。
近年来,美国互联网企业泄露用户数据事件接连发生,且愈演愈烈。2018年3月爆出的“剑桥分析”丑闻中,8700万脸书用户数据遭泄露;2017年11月优步数据泄露事件中,5700万用户数据遭殃;2017年10月,雅虎用户数据泄露事件涉及的用户数高达30亿……
加州通过新法案保护用户个人数据隐私,给众多互联网企业敲响了警钟。个人信息法制建设也应当积极响应,国内企业走出去同样需要回应个人数据法律保护的共同关切点。
个人信息保护的“中国方案”如何完善
大数据时代,数据泄露无孔不入,存在问题层出不穷。在此情况下,越来越多的国家开始重视公民隐私安全问题,中国也不例外。那么,个人信息保护的“中国方案”该如何完善呢?
事实上,我国也在持续快速推进隐私保护工作。
2003年,国务院信息化办公室就已经开始展开个人信息保护法立法研究工作,并于2005年形成专家意见稿。
2009年,中华人民共和国刑法修正案(七)对窃取、出售或非法提供给他人的行为作出‘情节严重的,处三年以下有期徒刑或拘役,并处或单处罚金’的规定,之后2015年的刑法修正案(九)又对非法获取公民个人信息的罪名做了补充。
2016年11月7日,十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》。《网络安全法》对个人信息保护做出规定,明确了对个人信息收集、使用及保护的要求,并规定了个人对其个人信息进行更正或删除的权利。
2019年6月25日,《密码法草案》(以下简称草案)提请十三届全国人大常委会第十一次会议审议。草案规定,任何组织或者个人不得窃取或者非法侵入他人的加密信息或者密码保障系统,不得利用密码从事违法犯罪活动。
然而,缺乏专门的个人信息保护基本法成为制约我国个人隐私保护的最大瓶颈。
复旦大学网络空间治理研究中心主任沈逸认为,当前我国可通过“小步快走”的方式逐步将法规上升为法律。“推出一些原则性的规定,然后迅速地把它细化,然后在细化和实践的过程中,如果发现有些东西和实践之间发生了比较大的冲突,再做及时的调整。”