GDPR 与 CCPA:关于 2020 年加州消费者隐私法的一切(以及它如何与 GDPR 相提并论)
已发表: 2019-06-12
通用数据保护条例 ('GDPR') 和 2018 年加州消费者隐私法案 ('CCPA')(已由加州参议院第 1121 号法案 (SB-1121) 进行了技术修订),两者都旨在保证对个人的以下方面提供强有力的保护他们的个人数据并适用于收集、使用或共享消费者数据的企业,无论这些信息是在线还是离线获得的。
GDPR 于 2018 年 5 月 25 日生效,是迄今为止世界上最全面的数据保护法之一。 在美国缺乏全面的联邦隐私法的情况下,CCPA 被认为是最重要的立法隐私发展之一。 与 GDPR 一样,鉴于加州作为全球第五大经济体的地位,预计 CCPA 的影响将是全球性的。 CCPA 将于2020 年 1 月 1 日生效,但 CCPA 中的某些规定要求组织向消费者提供有关前 12 个月期间的信息,因此遵守 CCPA 的活动很可能需要在生效日期之前进行。
这两个法律在某些术语的定义方面是相似的; 为 16 岁以下的个人建立额外的保护; 以及包含访问个人信息的权利。 但是,CCPA 与 GDPR 有很大不同,尤其是在适用范围方面; 收集限制的性质和范围; 和有关问责的规则。
GDPR 和 CCPA:企业比较
GDPR 第 4 条,CCPA 1798.140
数据主体,定义为与个人数据相关的已识别或可识别的人。
消费者,定义为加州居民,他们是:
- 在加利福尼亚州,出于临时或临时目的以外的目的。
- 居住在加利福尼亚州,但目前出于临时或临时目的在州外。
消费者包括:
- 家居用品和服务的客户。
- 雇员。
- 企业对企业的交易。
虽然 GDPR 和 CCPA 均不适用于法人,但都适用于自然人,但定义方式有所不同。 CCPA 明确指出它适用于加州居民,而 GDPR 使用了更模糊的术语“欧盟数据主体”,而没有提及任何居住或公民身份要求。 CCPA 还保护可以链接到特定家庭的数据,而不仅仅是 GDPR 所做的个人数据。
GDPR 第 3 条,CCPA 1798.140
数据控制者和数据处理者:
- 在欧盟成立,在欧盟机构的活动范围内处理个人数据,无论数据处理是否在欧盟内部进行。
- 未在欧盟设立,处理与在欧盟提供商品或服务相关的欧盟数据主体的个人数据,或监控他们的行为。
在加利福尼亚州开展业务的任何营利性实体,符合以下条件之一:
- 总收入超过 2500 万美元。
- 每年出于商业目的购买、接收、出售或共享超过 50,000 名消费者、家庭或设备的个人信息。
- 其 50% 或更多的年收入来自出售消费者的个人信息。
GDPR 的范围很广:它适用于所有组织,从企业到公共机构和非营利部门。 与此同时,CCPA 将其适用性限制在满足非常明确要求的营利性公司。
关于地理位置,GDPR 适用于处理欧盟数据主体数据的任何公司,无论他们位于何处。 CCPA 在这一点上并不清楚:属于其管辖范围的公司必须是“在加利福尼亚州开展业务”,但没有明确公司是否必须位于该州或满足某些利润门槛才能获得资格。
GDPR 第 4 条,CCPA 1798.140
个人数据是与已识别或可识别数据主体相关的任何信息。 除非有合法的处理理由,否则 GDPR 禁止处理已定义的特殊类别的个人数据。
识别、涉及、描述、能够与特定消费者或家庭直接或间接关联或合理关联的个人信息。
GDPR 适用于所有类别的个人数据,而 CCPA 仅适用于现有联邦隐私法未涵盖的数据,例如 Gramm-Leach-Bliley 法案 (GLBA) 或健康信息可携带性和责任法案 (HIPAA)。
GDPR 第 4 条,CCPA 1798.140
假名数据被视为个人数据。 匿名数据不被视为个人数据。
CCPA 不限制企业收集、使用、保留、出售或披露未识别或汇总的消费者信息的能力。 但是,CCPA 为声称数据被去识别或聚合设置了很高的标准。 假名数据可能符合 CCPA 规定的个人信息,因为它仍然能够与特定消费者或家庭相关联。
GDPR 和 CCPA 对“化名”的定义非常相似,因为它是以这样一种方式处理个人数据,即在不使用额外信息的情况下,个人数据不能再归属于已识别或可识别的人,通过采取技术和组织措施,分别保存识别所需的额外信息。
GDPR 第 13 条,CCPA 1798.100
数据控制者必须提供有关其个人数据收集和数据处理活动的详细信息。 通知必须包含具体信息,具体取决于数据是直接从数据主体还是第三方收集的。
企业必须告知消费者:
- 收集的个人信息类别。
- 每个类别的预期使用目的。
GDPR 和 CCPA 都要求组织披露他们如何处理所收集的个人数据。 然而,CCPA 要求公司披露过去 12 个月内与数据处理有关的数据销售和活动,而 GDPR 则没有此类限制。
GDPR 第 24 条,CCPA 1798.150
GDPR 要求数据控制者和数据处理者采取适当的技术和组织措施,以确保适合风险的安全级别。
CCPA 没有直接施加数据安全要求。 但是,它确实为某些数据泄露确立了诉讼权,这些数据泄露是由于企业违反了实施和维护适用于现有加州法律所产生风险的合理安全实践和程序的义务而导致的。
- 收集的个人信息类别。
- 每个类别的预期使用目的。
尽管合理的安全措施可能会根据组织的情况和监管机构的解释而在一定程度上有所不同,但在法定方法上大体相似。
GDPR 第 12 条 – 第 21 条,CCPA 1798.120
扩展的个人权利:
- 访问他们的信息;
- 纠正了不准确之处;
- 删除信息;
- 防止直接营销;
- 防止自动决策和分析;
- 数据可移植性。
扩展的个人权利:
- 访问他们的信息;
- 纠正了不准确之处;
- 删除信息;
- 防止直接营销;
- 防止自动决策和分析;
- 数据可移植性。
虽然 GDPR 要求组织事先获得数据主体的同意以进行数据处理和第三方访问其数据,但 CCPA 允许数据主体选择不出售其数据并要求企业在顶部有一个可见的链接他们的主页为此目的。
GDPR 和 CCPA 都提供了数据可移植性的权利:即以常用的机器可读格式向消费者提供他们的个人数据,然后可以将其传输到另一个实体。
GDPR 在这个方向上更进了一步,使组织有义务根据请求将数据主体的信息传输给另一个数据控制者。
根据 CCPA,企业只需要以易于使用的格式以电子方式向消费者提供信息。
虽然 GDPR 的删除权有一些值得注意的例外,例如行使言论自由权所需的数据或遵守欧盟或欧盟成员国法律所需的数据,但 CCPA 进一步扩大了这些例外,不仅包括言论自由和信息合同需要,但最值得注意的是,内部使用也与消费者提供数据的上下文兼容。
GDPR 第 8 条,CCPA 1798.120
GDPR 的默认同意年龄为 16 岁,但个别成员国的法律可能会将年龄降低至不少于 13 岁。
有父母责任的人必须为未满同意年龄的儿童提供同意。 儿童必须收到适合其年龄的隐私通知。
儿童的个人数据受到更高的安全要求。
CCPA 禁止在未经同意的情况下出售 16 岁以下消费者的个人信息。
13-16岁的儿童可以直接表示同意。 13 岁以下的儿童需要父母同意。
GDPR 强调对儿童的特殊保护,并为在为提供信息社会服务而处理的儿童个人数据提供了具体规定。
CCPA 为儿童制定了关于“出售”个人信息的特殊规则,但该规则不仅限于信息社会服务。
虽然 GDPR 和 CCPA 在许多方面保持一致,但这两个法规之间存在显着差异。
GDPR 的定义通常更广泛,而 CCPA 对其范围采取了更具体的方法。 然而,这并不意味着由于 Convert 符合 GDPR,我们将不会制定行动计划来实现稳健的 CCPA 合规性。 随着实施日期的临近,我们将对 CCPA 进行同样的严格和准备,并为读者提供最新信息。
