GDPR 與 CCPA:關於 2020 年加州消費者隱私法的一切(以及它如何與 GDPR 相提並論)
已發表: 2019-06-12
通用數據保護條例 ('GDPR') 和 2018 年加州消費者隱私法案 ('CCPA')(已由加州參議院第 1121 號法案 (SB-1121) 進行了技術修訂),兩者都旨在保證對個人的以下方面提供強有力的保護他們的個人數據並適用於收集、使用或共享消費者數據的企業,無論這些信息是在線還是離線獲得的。
GDPR 於 2018 年 5 月 25 日生效,是迄今為止世界上最全面的數據保護法之一。 在美國缺乏全面的聯邦隱私法的情況下,CCPA 被認為是最重要的立法隱私發展之一。 與 GDPR 一樣,鑑於加州作為全球第五大經濟體的地位,預計 CCPA 的影響將是全球性的。 CCPA 將於2020 年 1 月 1 日生效,但 CCPA 中的某些規定要求組織向消費者提供有關前 12 個月期間的信息,因此遵守 CCPA 的活動很可能需要在生效日期之前進行。
這兩個法律在某些術語的定義方面是相似的; 為 16 歲以下的個人建立額外的保護; 以及包含訪問個人信息的權利。 但是,CCPA 與 GDPR 有很大不同,尤其是在適用範圍方面; 收集限制的性質和範圍; 和有關問責的規則。
GDPR 和 CCPA:企業比較
GDPR 第 4 條,CCPA 1798.140
數據主體,定義為與個人數據相關的已識別或可識別的人。
消費者,定義為加州居民,他們是:
- 在加利福尼亞州,出於臨時或臨時目的以外的目的。
- 居住在加利福尼亞州,但目前出於臨時或臨時目的在州外。
消費者包括:
- 家居用品和服務的客戶。
- 僱員。
- 企業對企業的交易。
雖然 GDPR 和 CCPA 均不適用於法人,但都適用於自然人,但定義方式有所不同。 CCPA 明確指出它適用於加州居民,而 GDPR 使用了更模糊的術語“歐盟數據主體”,而沒有提及任何居住或公民身份要求。 CCPA 還保護可以鏈接到特定家庭的數據,而不僅僅是 GDPR 所做的個人數據。
GDPR 第 3 條,CCPA 1798.140
數據控制者和數據處理者:
- 在歐盟成立,在歐盟機構的活動範圍內處理個人數據,無論數據處理是否在歐盟內部進行。
- 未在歐盟設立,處理與在歐盟提供商品或服務相關的歐盟數據主體的個人數據,或監控他們的行為。
在加利福尼亞州開展業務的任何營利性實體,符合以下條件之一:
- 總收入超過 2500 萬美元。
- 每年出於商業目的購買、接收、出售或共享超過 50,000 名消費者、家庭或設備的個人信息。
- 其 50% 或更多的年收入來自出售消費者的個人信息。
GDPR 的範圍很廣:它適用於所有組織,從企業到公共機構和非營利部門。 與此同時,CCPA 將其適用性限制在滿足非常明確要求的營利性公司。
關於地理位置,GDPR 適用於處理歐盟數據主體數據的任何公司,無論他們位於何處。 CCPA 在這一點上並不清楚:屬於其管轄範圍的公司必須是“在加利福尼亞州開展業務”,但沒有明確公司是否必須位於該州或滿足某些利潤門檻才能獲得資格。
GDPR 第 4 條,CCPA 1798.140
個人數據是與已識別或可識別數據主體相關的任何信息。 除非有合法的處理理由,否則 GDPR 禁止處理已定義的特殊類別的個人數據。
識別、涉及、描述、能夠與特定消費者或家庭直接或間接關聯或合理關聯的個人信息。
GDPR 適用於所有類別的個人數據,而 CCPA 僅適用於現有聯邦隱私法未涵蓋的數據,例如 Gramm-Leach-Bliley 法案 (GLBA) 或健康信息可攜帶性和責任法案 (HIPAA)。
GDPR 第 4 條,CCPA 1798.140
假名數據被視為個人數據。 匿名數據不被視為個人數據。
CCPA 不限制企業收集、使用、保留、出售或披露未識別或匯總的消費者信息的能力。 但是,CCPA 為聲稱數據被去識別或聚合設置了很高的標準。 假名數據可能符合 CCPA 規定的個人信息,因為它仍然能夠與特定消費者或家庭相關聯。
GDPR 和 CCPA 對“化名”的定義非常相似,因為它是以這樣一種方式處理個人數據,即在不使用額外信息的情況下,個人數據不能再歸屬於已識別或可識別的人,通過採取技術和組織措施,分別保存識別所需的額外信息。
GDPR 第 13 條,CCPA 1798.100
數據控制者必須提供有關其個人數據收集和數據處理活動的詳細信息。 通知必須包含具體信息,具體取決於數據是直接從數據主體還是第三方收集的。
企業必須告知消費者:
- 收集的個人信息類別。
- 每個類別的預期使用目的。
GDPR 和 CCPA 都要求組織披露他們如何處理所收集的個人數據。 然而,CCPA 要求公司披露過去 12 個月內與數據處理有關的數據銷售和活動,而 GDPR 則沒有此類限制。
GDPR 第 24 條,CCPA 1798.150
GDPR 要求數據控制者和數據處理者採取適當的技術和組織措施,以確保適合風險的安全級別。
CCPA 沒有直接施加數據安全要求。 但是,它確實為某些數據洩露確立了訴訟權,這些數據洩露是由於企業違反了實施和維護適用於現有加州法律所產生風險的合理安全實踐和程序的義務而導致的。
- 收集的個人信息類別。
- 每個類別的預期使用目的。
儘管合理的安全措施可能會根據組織的情況和監管機構的解釋而在一定程度上有所不同,但在法定方法上大體相似。
GDPR 第 12 條 – 第 21 條,CCPA 1798.120
擴展的個人權利:
- 訪問他們的信息;
- 糾正了不准確之處;
- 刪除信息;
- 防止直接營銷;
- 防止自動決策和分析;
- 數據可移植性。
擴展的個人權利:
- 訪問他們的信息;
- 糾正了不准確之處;
- 刪除信息;
- 防止直接營銷;
- 防止自動決策和分析;
- 數據可移植性。
雖然 GDPR 要求組織事先獲得數據主體的同意以進行數據處理和第三方訪問其數據,但 CCPA 允許數據主體選擇不出售其數據並要求企業在頂部有一個可見的鏈接他們的主頁為此目的。
GDPR 和 CCPA 都提供了數據可移植性的權利:即以常用的機器可讀格式向消費者提供他們的個人數據,然後可以將其傳輸到另一個實體。
GDPR 在這個方向上更進了一步,使組織有義務根據請求將數據主體的信息傳輸給另一個數據控制者。
根據 CCPA,企業只需要以易於使用的格式以電子方式向消費者提供信息。
雖然 GDPR 的刪除權有一些值得注意的例外,例如行使言論自由權所需的數據或遵守歐盟或歐盟成員國法律所需的數據,但 CCPA 進一步擴大了這些例外,不僅包括言論自由和信息合同需要,但最值得注意的是,內部使用也與消費者提供數據的上下文兼容。
GDPR 第 8 條,CCPA 1798.120
GDPR 的默認同意年齡為 16 歲,但個別成員國的法律可能會將年齡降低至不少於 13 歲。
有父母責任的人必須為未滿同意年齡的兒童提供同意。 兒童必須收到適合其年齡的隱私通知。
兒童的個人數據受到更高的安全要求。
CCPA 禁止在未經同意的情況下出售 16 歲以下消費者的個人信息。
13-16歲的兒童可以直接表示同意。 13 歲以下的兒童需要父母同意。
GDPR 強調對兒童的特殊保護,並為在為提供信息社會服務而處理的兒童個人數據提供了具體規定。
CCPA 為兒童制定了關於“出售”個人信息的特殊規則,但該規則不僅限於信息社會服務。
雖然 GDPR 和 CCPA 在許多方面保持一致,但這兩個法規之間存在顯著差異。
GDPR 的定義通常更廣泛,而 CCPA 對其範圍採取了更具體的方法。 然而,這並不意味著由於 Convert 符合 GDPR,我們將不會制定行動計劃來實現穩健的 CCPA 合規性。 隨著實施日期的臨近,我們將對 CCPA 進行同樣的嚴格和準備,並為讀者提供最新信息。
