【大紀元2019年08月20日訊】（大紀元記者張純之編譯報導）數字時代，全世界的立法者都想給消費者更多控制數據和私人信息的權利。當許多企業還在適應「歐洲通用數據保護規範」（GDPR）的影響時，加州已即將啟動更為嚴厲的「加州消費者隱私保護法」（CCPA），該法將給客戶數據保護及企業運營帶來怎樣的影響？以下是which-50.com的報導討論。

加州2020年1月將實施CCPA新法

該報導認爲，加州系統CCPA對企業的衝擊會更大。

目前，現行的歐洲系統的監管者已經展開行動，英國信息總監辦公室已分別對兩起違反GDPR的數據泄露行為進行了罰款，對英國航空罰款2.3億美元，對Marriott旅館業罰款9900萬美元。全世界企業都感受到了GDPR的影響。

據調查顧問公司Gartner預期，截至2022年，一半的地球人口將獲得類似GDPR標準的個人數據保護，比現在受保護人數多10%。

加州的CCPA是在2018年6月通過的，將於2020年1月1日實施。生效後，該法會是全美最複雜的隱私法。依據該法，加州人將有權知道企業搜集了哪些個人信息；有權刪除該信息；並有權了解其個人信息是否被出售或泄露、賣給或泄漏給了誰等等。

雖然這些規則大部分都和GDPR一樣，但來自一家美國律師事務所的聲明說，加州的CCPA法將給企業施加更多負擔。

CCPA適用年入超過2500萬美元的企業，或者是擁有5萬以上客戶私人信息的公司。適用CCPA的企業，一年內必須回覆任一個人消費者提出的至少兩個要求，提供一線免費的隱私變更電話號碼，一個明顯的「不選」（Opt-out）頁面以避免連到企業主頁，或其它搜集個人信息的頁面。

該法包含了「主觀權利要求」（Subject rights request，簡稱SRR）的概念，即任何消費者都可以提出要求，而相關企業每次必須在45天內處理其要求。

還有，加州即將實施的CCPA之下的「個人信息」定義比既有的GDPR規定更加廣泛，涵蓋了家庭、裝置及自然人的信息。

依據CCPA，企業每次非故意違規最高處罰可達2500美元，故意違規罰款7500美元。此外，對於數據洩露，CCPA還給予消費者索賠的權利，法定損害賠償（Statutory damages）是100-750美元每案例，但如損失大可按實際的損失評估。

CCPA的核心是強化加州消費者決定其隱私如何被使用、發布及出售的權利，嚴格監管企業收集和處理個人信息。

該法的執行不取決於某公司所在地，而是取決於一個公司存儲了誰的信息。換言之，如果一家澳大利亞企業搜集和出售加州3900萬人中任何個人信息（達某低標時），就必須遵守CCPA的規定。

儘管CCPA是州法，但加州作為全美人口最多、經濟體量最大的州，其隱私保護政策很可能會影響全美其它地區。Gartner的研究顯示，今年截至6月，已經有12個州引入類似的草案（有些規定與影響範圍甚至超過CCPA）。那些法律可能應用於40%的美國人口。

歐洲GDPR為何執行困難？

業內人士說，GDPR執行難，主要是因為大企業的內部技術設施複雜，沒有幾百個技術系統，也有幾十個。這些系統相互很少溝通，其中任何一個都擁有各種客戶記錄。

如此一來，當一位客戶選擇退出一個郵件訂閱時，看起來是非常簡單的要求，但就可能要求徹底掃描上述的各級產品和數據庫，確保訂閱記錄被移除（或標示為不聯繫）。這種合規要求對於企業的首席信息官（CIO）、首席市場官（CMO）以及數據官員來說就是噩夢。

Adobe高管盧卡斯（Steve Lucas）強調，CCPA比GDPR走的更遠，不僅保護個人消費者的數據，還保護整個家庭的數據。他說自己很驚訝許多負責用戶數據保護的高管都不知道這條立法。

有分析師建議設一個「門戶網站」來處理客戶的相關要求。比如，微軟在引入GDPR後，啟動了全球隱私自我服務。據Gartner的數據，該軟件巨頭第一年接到了1800萬個請求，其中670萬來自美國。

如果微軟人工處理這些要求，即使成本低到不現實的每次100美元，總支出也將達到6.7億美元。

而CCPA則意味著更大量的處理申請。Gartner建議隨機選擇5個帳戶，衡量要花多長時間完成一個用戶的要求，成本多少，以及該公司能在規定時間內完成多少處理等。

CCPA和GDPR雖然給企業帶來很多問題，但也給另一些企業帶來了機會。一些公司專門為品牌提供集中設備，允許消費者更新自己的數據管理要求。隨著隱私法監管越來越嚴格，這些公司將會吸引更多的融資。◇

責任編輯：方平