美国“最严”隐私法案来袭!个人信息保护的“中国方案”如何完善?

数据观  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

被称为美国“最严厉、最全面的个人隐私保护法案”——《加利福利亚消费者隐私法案》(CCPA)将于2020年1月1日正式生效。不同于以往美国联邦层面的,针对特定行业、特定事项的隐私法案,CCPA广泛适用于在加州开展业务,收集处理加州居民个人信息并符合一定门槛条件的企业。从全面性来说,这是美国目前最具有典型意义的州隐私立法。

CCPA规定了新的消费者权利,涉及企业收集的个人信息的访问、删除和共享,旨在加强消费者隐私权和数据安全保护。企业负有保护个人信息的责任,消费者控制并拥有其个人信息;CCPA提高了美国保护隐私的标准,对于不遵守法案或导致数据泄露的企业处以罚款。

CCPA从通过至今一年多以来,加州议会又陆续讨论了十几项CCPA修正案,并审议通过了其中六项法案,不断廓清制度规范,推动CCPA走向「成熟定型」。据报道,2019年10月10日,加利福尼亚州总检察长Xavier Becerra公布了根据CCPA提出的实施细则,通过实施细则来促进CCPA宗旨的实施。拟议的实施细则将建立可行的程序,以保障消费者在CCPA下的新权利,并为企业如何遵守CCPA提供一定的指导。

此外,Xavier Becerra总检察长将在2019年12月2日至5日,举行四次公开听证会,为所有感兴趣的人提供就实施细则进行口头或书面陈述及评论的机会,建议提交的截止时间为2019年12月6日17:00时。

   仅有2%的企业表示做好准备

距离2020年1月1日正式实施,CCPA只剩下不到三个月的时间了,那么美国企业是否已经做好相应准备了呢?

IAPP/OneTrust分别于2019年4月和8月主要针对美国企业的员工(各种规模)进行了CCPA准备度(CCPA Readiness)调查。在2019年4月的调查中,企业现已或者可于2020年1月1日之前完全遵守CCPA的比例占55%,而奇怪的是,在8月的调查中,这一比例却降到了49%。调查结果显示,74%的受访者认为他们的雇主应该遵守加州即将实施的隐私法,然而,只有约2%的受访者认为他们的企业已经完全做好了应对CCPA的准备。

所以,即使企业现在认为这些隐私法不适用于自身,但相关标准的应用是不可避免的。此外,虽然存在法律的不适用,但如果企业违反或损害了相关标准,也会追究它们的民事责任。这是否说明了企业对CCPA的态度呢?

所以,即使企业现在认为这些隐私法不适用于自身,但相关标准的应用是不可避免的。此外,虽然存在法律的不适用,但如果企业违反或损害了相关标准,也会追究它们的民事责任。

  对中国相关企业的影响

CCPA法案适用于在加利福尼亚州开展业务的实体,即使其可能在加利福尼亚州并没有设立办事处,而只是对在该州经营的企业进行了投资。该法案还可能成为其他美国联邦或州隐私立法的先声。由于CCPA的一些条款可向前追溯12个月,因此企业应该立即开始规划其合规工作,包括进行数据映射和业务影响评估。中国企业应当:

首先确定自身是否是CCPA管辖对象;

对公司目前实践与CCPA要求进行差距评估;

准备并执行工作计划并以经济高效的方式实现合规,在适用的情况下利用现有的欧盟《通用数据保护条例》(简称:GDPR)合规工作成果;

理解CCPA与GDPR条款中的细微差别,例如鉴别商业主体合作伙伴为服务供应商、第三方或法律规定的其他事项;

开展合规工作,包括:

进行数据清点;

设计流程以回应个人权利要求;

起草隐私通知;

准备合同,包括更新GDPR数据处理附录(DPAs)以涵盖CCPA。

业内专家认为,随着网络技术和应用的飞速发展,互联网企业利用用户数据发财大行其道,而如何保护用户隐私,尤其是广大个人用户的隐私,则是一个世界性的难题。

近年来,美国互联网企业泄露用户数据事件接连发生,且愈演愈烈。2018年3月爆出的“剑桥分析”丑闻中,8700万脸书用户数据遭泄露;2017年11月优步数据泄露事件中,5700万用户数据遭殃;2017年10月,雅虎用户数据泄露事件涉及的用户数高达30亿……

加州通过新法案保护用户个人数据隐私,给众多互联网企业敲响了警钟。个人信息法制建设也应当积极响应,国内企业走出去同样需要回应个人数据法律保护的共同关切点。

   个人信息保护的“中国方案”如何完善

大数据时代,数据泄露无孔不入,存在问题层出不穷。在此情况下,越来越多的国家开始重视公民隐私安全问题,中国也不例外。那么,个人信息保护的“中国方案”该如何完善呢?

事实上,我国也在持续快速推进隐私保护工作。

2003年,国务院信息化办公室就已经开始展开个人信息保护法立法研究工作,并于2005年形成专家意见稿。

2009年,中华人民共和国刑法修正案(七)对窃取、出售或非法提供给他人的行为作出‘情节严重的,处三年以下有期徒刑或拘役,并处或单处罚金’的规定,之后2015年的刑法修正案(九)又对非法获取公民个人信息的罪名做了补充。

2016年11月7日,十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》。《网络安全法》对个人信息保护做出规定,明确了对个人信息收集、使用及保护的要求,并规定了个人对其个人信息进行更正或删除的权利。

2017年12月29日,全国信息安全标准化技术委员会正式发布《信息安全技术个人信息安全规范》,从信息权利保护的角度全面规定了公民个人信息的收集、保存、使用、委托处理、共享、转让、公开披露以及个人信息安全的处置等。并于2018年1月正式实施。

2019年6月25日,《密码法草案》(以下简称草案)提请十三届全国人大常委会第十一次会议审议。草案规定,任何组织或者个人不得窃取或者非法侵入他人的加密信息或者密码保障系统,不得利用密码从事违法犯罪活动。

此外,针对互联网环境下的个人信息保护,我国还陆续制定了《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《全国人民代表大会常务委员会关于维护互联网安全的决定》《电信和互联网用户个人信息保护规定》和《消费者权益保护法》等相关法律文件。

然而,缺乏专门的个人信息保护基本法成为制约我国个人隐私保护的最大瓶颈。

北京安理律师事务所高级合伙人王新锐表示,中国个人信息保护的立法者现在面临的是一方面要“补课”,借鉴各国立法中被证明有效的部分,另一方面又要回答中国的独特性问题,尤其是移动互联网高速发展带来的问题。

复旦大学网络空间治理研究中心主任沈逸认为,当前我国可通过“小步快走”的方式逐步将法规上升为法律。“推出一些原则性的规定,然后迅速地把它细化,然后在细化和实践的过程中,如果发现有些东西和实践之间发生了比较大的冲突,再做及时的调整。”

在这方面,重庆大学国家网络空间安全与大数据法治战略研究院院长齐爱民表示,未来立法者可以考虑采用以《个人信息保护法》为主,授权相关主管部门制定该特定行业的个人信息保护配套规则的立法模式,更加灵活地处理不同场景对于个人信息的需求。

显然,这还有很长的路要走。正如罗汉堂秘书长、湖畔大学执行教育长陈龙所言,“所有的人都同意,一定的隐私保护是应该的,但当信息的交流同时成为这个时代的动力和种种担忧的源头,同时其中的取舍对每个人都不同的时候,应该怎么做?”在这个话题上,没有简单的理所当然。

责任编辑:张薇

随意打赏

提交建议
微信扫一扫,分享给好友吧。