依然在應付歐盟數據保護法案（GDPR）的公司可能需要面臨更多的問題了——美國的數據保護法案很快就要出爐。加州消費者隱私法案（CCPA）即將於明年1月生效，現在只有3個月不到的時間去準備了。此外，以紐約州為起點，更多的法案正在美國多個州陸續生效。

CCPA 法案和GDPR 類似，不論公司的地理位置在哪裡，只要公司服務的消費者群體有加州和紐約州居民，則公司必須遵守法律，否則會遭到罰款。

GDPR 在歐洲生效後，互聯網行業已經被罰款了無數次。第一年，超過90，000 的商業公司主動報告了數據漏洞，以便符合GDPR 的要求。同時，還有超過145000 起消費者投訴。

在2019 年1 月，谷歌(1215.45, 6.78, 0.56%)向法國當局支付了5000 萬歐元的罰款，因為它在定向廣告投放上沒有說明清楚對個人數據的收集和使用問題。而更早之前，一家葡萄牙醫院因其糟糕的病歷記錄管理支付了40 萬歐元。這家醫院貪圖方便，創建了1000 個醫生級別的管理賬戶。

這還不是全部，GDPR 在線執法追踪工具可以捕捉網上所有的違法行為，包括一個正在審核的，針對英國航空公司的2.04 億歐元罰款，因為公司洩露了50 萬旅客的支付信息。

相比’史上最嚴’的GDPR，CCPA 是什麼？

CCPA，據其官網介紹，是一個隱私保護條例，用於保護個人數據，是美國加利福尼亞州出台的地方法律。這一法律其實是2018 年通過的，幫助消費者在訪問、刪除和分享企業收集到的個人數據上賦予了新的權利。

具體而言，收集消費者數據的企業必須披露收集的信息、收集信息的商業目的、以及會共享這些信息的所有第三方組織和機構。而企業需依據消費者提出的正式要求刪除相關信息，如果消費者有這樣的需求。此外，消費者可選擇出售他們的信息，而企業則不能隨意改變價格或服務水平。對於允許收集其個人信息的消費者，企業可提供’財務激勵’。

根據CCPA 的規定，加州居民可以獲得對個人數據相關的很多權利。主要包括：

1．數據訪問權

2．數據刪除權

3．不被歧視的權利

4．在產品頁面掛出明顯的’不出售個人信息’選項，並紕漏新的隱私政策

5．未成年人和監護人授權

6．私人訴訟權

除了數據隱私保護這一目的，CCPA 還希望幫助公眾了解他們的什麼數據會被收集，而且這些數據會被怎樣出售或公開。

和GDPR 類似，CCPA 要求任何和加州居民發生業務往來的公司都要遵守這一法律，不存在屬地管轄的原則。這無疑會給很多非美國的海外企業帶來影響。

對比GDPR

那麼，CCPA 和GDPR 有什麼關係呢？

CCPA 和GDPR 最大的不同在於，CCPA 在適用監管的標准上比GDPR 更寬鬆，但是一旦滿足被監管的標準，違法企業收到的懲罰更大。

二者俱體有以下不同：

1．GDPR 沒有對法案適用的企業進行規定，因此所有有業務的企業都會被監管。但是CCPA 不會對年營業額在2500 萬美元以下、且不涉及的超過50000 以上用戶的數據處理的商業行為進行監管，即使已經發現了數據洩露。

2．但是，一旦滿足了上述條件且發生了數據洩露問題，CCPA 的處罰比GDPR 要嚴厲得多。即使是無意中發生了洩露，CCPA 規定每位用戶100 到750 美元，或者以洩露造成的實際損失計算罰款。因此對於一些公司而言，很可能罰款會使其直接破產。而GDPR 的罰款上限是企業收入的4%。

僅有2%的企業做好了準備

根據CCPA 的法律規定，無論企業在美國以何種方式經營業務或提供服務，加利福尼亞州和紐約州的強制性隱私保護法將保障消費者自身及客戶的隱私權。

然而，值得關注的是，離2020 年1 月1 日正式實施CCPA 還有不到三個月的時間，那麼美國企業是否已經做好相應準備了呢？

2019 年8 月份，IAPP/OneTrust 主要對美國企業的員工（各種規模）進行了CCPA 準備度（CCPA Readiness）調查，結果顯示，74%的受訪者認為他們的雇主應該遵守加州即將實施的隱私法，但遺憾的是，只有大約2%的受訪者認為他們的企業已經完全做好了應對CCPA 的準備。

IAPP/OneTrust 分別於2019 年4 月和8 月進行了兩次調查，調查問題是：你希望自己所在的企業什麼時候可以完全遵守CCPA？在2019 年4 月的調查中，企業現已或者可於2020 年1 月1 日之前完全遵守CCPA 的比例佔55%，而奇怪的是，在8 月的調查中，這一比例卻降到了49 %。這是否說明了企業對CCPA 的態度呢？

所以，即使企業現在認為這些隱私法不適用於自身，但相關標準的應用是不可避免的。此外，雖然存在法律的不適用，但如果企業違反或損害了相關標準，也會追究它們的民事責任。無論如何，這些法律在美國和世界各地的不斷推出，為法官處理企業與受影響客戶之間的直接糾紛（未經法律檢驗）設定了一個標準。歸根結底，保護客戶的隱私有助於他們增加對企業的信任以及企業自身業務和品牌的發展，而這些的價值要遠遠高於企業因違反隱私法而要繳納的罰款。

數據保護刻不容緩

隨著大數據時代的不斷發展，用戶的隱私遭到侵犯甚至用於不當牟利的情況層出不窮，並且各國有關數據隱私的立法往往跟不上互聯網的發展速度。所以，為了改變這種用戶數據遭濫用和隱私遭侵犯的現象，世界各國在數據立法上不斷地進行改善，從而予以企業更多的監管，使用戶數據得到更多更全的保障。

以歐盟為例，歐盟早在2016 年4 月就提出了GDPR，但並沒有立即實施，而是給予了企業兩年多的緩衝時間，最終於2018 年5 月25 日正式實施，被稱為’史上最嚴格的的用戶個人數據保護法案’。GDPR 的處罰之嚴格令人咂舌，以違反個人數據的罰款額度為例，違法企業將最高面臨其年營業額4%的罰款，以目前最高者為準，即2000 萬歐元（約合人民幣1.56億）。

在個人數據保護的全球浪潮中，中國也無法置身事外。中國也在數據保護立法上持續做出努力。早在2003 年，國務院信息化辦公室就已經開始展開個人信息保護法立法研究工作，並於2005 年形成專家意見稿；2009 年中華人民共和國刑法修正案（七）對竊取、出售或非法提供給他人的行為作出’情節嚴重的，處三年以下有期徒刑或拘役，並處或單處罰金’的規定，之後2015 年的刑法修正案（九）又對非法獲取公民個人信息的罪名做了補充； 2017 年12 月29 日，全國信息安全標準化技術委員會正式發布《信息安全技術個人信息安全規範》，從信息權利保護的角度全面規定了公民個人信息的收集、保存、使用、委託處理、共享、轉讓、公開披露以及個人信息安全的處置等。