扬帆创投微信小程序
更聚焦的出海投融资平台
精准高效领先的融资对接服务
微信扫一扫进入小程序

《加州消费者隐私法案》(CCPA)是继欧盟《一般数据保护条例》(GDPR)颁布后又一部数据隐私领域的重要法律。它于2018年6月28日正式颁布,在随后的两年内又陆续做了多次修订,2020年7月1日开始正式执行。

以下文章来自:数美科技,内容仅供网友参考学习。扬帆出海欢迎行业优质稿件投稿

 

一、CCPA——美国版GDPR

 

《加州消费者隐私法案》(CCPA)是继欧盟《一般数据保护条例》(GDPR)颁布后又一部数据隐私领域的重要法律。它于2018年6月28日正式颁布,在随后的两年内又陆续做了多次修订,2020年7月1日开始正式执行。

 

CCPA是美国首部关于数据隐私的全面立法。美国目前并没有GDPR一类的通用数据保护法律,只在一些特殊行业或领域立法里,有关于隐私保护的内容散落在其中。例如,《健康保险流通与责任法案》(HIPAA)中提到如何保护患者隐私信息,《儿童在线隐私保护法案》(COPPA)则是专门为保护儿童个人信息制定的联邦法律。CCPA的出台弥补了美国在数据隐私专门立法方面的空白,它旨在加强加州消费者隐私权和数据安全保护,被认为是美国当前最严格的消费者数据隐私保护立法。

 

CCPA虽然是州级立法,但它的立法意义远不止于美国地方。加州是美国经济最发达的州,2018年其GDP达到3万亿美元,超越英国成为世界上第五大经济体。被誉为全球创新之源的硅谷也坐落在加州,一大批对全球信息产业产生深远影响的科技公司孕育于此,对加州的经济增长起到了绝对的推动作用。对于任何想要出海美国的互联网企业而言,加州无疑是一个必争的重要市场。

 

 

CCPA的保护对象为任何“加里福尼亚的居民的自然人”,这也就意味着,只要面向加州居民提供服务的企业达到CCPA适用门槛,在收集、处理、买卖用户个人信息时就必须遵守其隐私条款。

 

目前,绝大多数国际科技巨头如微软、亚马逊、苹果都已在它们的隐私政策中特别告知用户,当用户为加利福尼亚州居民时,会严格按照CCPA的相关规定收集、处理、出售个人信息。中国出海最为成功的抖音国际版TikTok也在其隐私政策中将加州列为特别管辖区域,承诺会遵守相关规定,保障消费者隐私权利。CCPA作为一部地方立法,能被众多国际巨头写入其隐私政策,其影响之深远并不亚于欧盟的GDPR。

 


来源:TikTok官网

 

二、CCPA的适用门槛

 

CCPA与GDPR在适用对象上也表现出不同的监管倾向。

 

CCPA规定,该法案适用于在加利福尼亚州以获取利润或经济利益为目的开展经营活动的企业,其业务涉及收集及/或处理个人信息,且满足以下一项或多项条件:

 

(1)年收入超过2500万美元;

 

(2)为商业目的,每年单独或总计购买、收取、出售或共享50000人及以上消费者、家庭或设备的个人信息;

 

(3)年收入中有50%及以上是通过销售消费者的个人信息获得。

 

在设置适用门槛上,CCPA更聚焦于为盈利目的开展数据处理活动的企业。CCPA为被管辖企业设置了“2500万美元年收入门槛”和“(5万)消费者、家庭和设备数量门槛”,更侧重对影响范围大、风险程度高的规模企业进行管辖。要注意的是,2500万美元指的是该企业的全球营收总额,并不单指在加州的营收。

 

与CCPA的“差异化对待”相比,GDPR的监管范围几乎涵盖任何处理欧盟公民个人数据的组织或企业,而为中小企业设置的豁免门槛又过于严格,导致中小企业很难实际享受到豁免的好处,大大加重了中小企业的合规负担。GDPR第3条规定,GDPR适用于以下三种情形:

 

(1)数据控制者、数据处理者在欧盟有营业场所的,不论数据处理行为发生在欧盟还是境外;

 

(2)数据控制者、数据处理者未在欧盟设立营业场所,但向欧盟的数据主体提供商品或者服务,或者被追踪的网络行为发生在欧盟的;

 

(3)虽然数据控制者、数据处理者未在欧盟设立营业场所,但是根据国际公法应当适用欧盟成员国法律的。



CCPA在规定适用对象之初就合理排除了非盈利机构和没有达到适用门槛的中小企业两类主体。加州作为全球IT产业龙头聚集地,在保护消费者隐私的基础之上,也充分考虑了如何避免立法造成中小企业合规负担过重、抑制企业创新活力。

 

三、哪些企业不受CCPA管辖?

 

1.金融、医疗等联邦立法已覆盖的行业不受CCPA管辖

 

美国法律规定,当联邦立法与州级立法的管辖内容有重合、甚至冲突时,应以联邦立法为优先。CCPA是州级立法,应严格遵守州立法层级,联邦立法已经覆盖的行业隐私保护则不受CCPA管辖。出海美国的企业应判断其所属行业是否适用CCPA。例如,消费分期互联网平台属于金融行业,应遵守《金融服务现代化法案》等联邦立法中关于用户隐私保护的规定,不再适用CCPA。以下为一些适用联邦立法的行业:

 

(1)医疗行业——《健康保险流通与责任法案》

 

(2)金融行业——《金融服务现代化法案》

 

(3)驾驶员信息——《驾驶员隐私保护法》

 

(4)征信机构——《公平信用报告法》

 

(5)消费者报告机构——《美国法典》

 

2. 数据服务提供商(service provider)不受CCPA管辖


数据服务提供商指接受数据控制者的委托而提供数据处理服务的企业。CCPA规定,只要满足以下两个条件,数据服务提供商便可得到豁免,不直接受CCPA管辖:

 

(1)数据控制者在隐私条款中告知消费者,收集的个人信息会被分享给数据服务提供商;

 

(2)数据服务提供商不可额外收集、出售、使用消费者个人信息,为达成必要的商业目的除外。

 

数据服务提供商虽然不直接受CCPA管辖,但其应遵守与数据控制者签订的合同条款,采取措施保障数据安全。此外,提供商仍应注意遵守其他联邦立法的隐私保护规定。例如,当受委托处理的数据中含有13岁以下儿童的个人信息时,数据服务提供商应按照《儿童在线隐私保护法》的规定,采取措施保障儿童数据安全。


四、合规建议

 

虽然CCPA是一部专门针对加州消费者的隐私保护法律,但考虑到加州世界领先的经济体量与科技创新实力,CCPA的重要意义远不仅限于加州境内。作为全美首部数据隐私领域的全面立法,CCPA的颁布对其他州的立法进程也有重要示范作用。

出海美国企业首先应明确,自己所处的行业是否受CCPA管辖,企业的营收规模与个人信息处理量是否达到适用门槛。例如,音视频、游戏、社交平台出海美国时应重点关注CCPA,金融借贷、消费分期APP则应重点关注《金融服务现代化法案》等金融行业相关联邦法律,及时调整自己的隐私政策,避免违规。

文章作者:数美科技

版权申明:文章来源于数美科技。该文观点仅代表作者本人,扬帆出海平台仅提供信息存储空间服务,不代表扬帆出海官方立场。因本文所引起的纠纷和损失扬帆出海均不承担侵权行为的连带责任,如若转载请联系原文作者。 更多资讯关注扬帆出海官网:https://www.yfchuhai.com/

{{likeNum}}

好文章,需要你的鼓励

请前往扬帆出海小程序完成个人认证
认证通过后即可申请入驻
咨询/开通企业服务会员
请添加下方商务企业微信
企业服务会员
助力销售转化再上台阶
bd@yfchuhai.com
咨询/开通企业服务会员
请添加下方商务企业微信
企业服务会员
助力销售转化再上台阶
bd@yfchuhai.com
APP
小程序
微信公众号
微信小程序
扬帆出海APP
扬帆出海APP
微信
公众号
微信公众号
关注扬帆出海
专注服务互联网出海!
出海人
社群
微信公众号
扫码进群
与10万+出海人同行!