扬帆出海

资源对接 人脉拓展

进入小程序

体验完整功能

《加州消费者隐私法案》(CCPA)是继欧盟《一般数据保护条例》(GDPR)颁布后又一部数据隐私领域的重要法律。它于2018年6月28日正式颁布,在随后的两年内又陆续做了多次修订,2020年7月1日开始正式执行。

以下文章来自:数美科技,内容仅供网友参考学习。扬帆出海欢迎行业优质稿件投稿

 

一、CCPA——美国版GDPR

 

《加州消费者隐私法案》(CCPA)是继欧盟《一般数据保护条例》(GDPR)颁布后又一部数据隐私领域的重要法律。它于2018年6月28日正式颁布,在随后的两年内又陆续做了多次修订,2020年7月1日开始正式执行。

 

CCPA是美国首部关于数据隐私的全面立法。美国目前并没有GDPR一类的通用数据保护法律,只在一些特殊行业或领域立法里,有关于隐私保护的内容散落在其中。例如,《健康保险流通与责任法案》(HIPAA)中提到如何保护患者隐私信息,《儿童在线隐私保护法案》(COPPA)则是专门为保护儿童个人信息制定的联邦法律。CCPA的出台弥补了美国在数据隐私专门立法方面的空白,它旨在加强加州消费者隐私权和数据安全保护,被认为是美国当前最严格的消费者数据隐私保护立法。

 

CCPA虽然是州级立法,但它的立法意义远不止于美国地方。加州是美国经济最发达的州,2018年其GDP达到3万亿美元,超越英国成为世界上第五大经济体。被誉为全球创新之源的硅谷也坐落在加州,一大批对全球信息产业产生深远影响的科技公司孕育于此,对加州的经济增长起到了绝对的推动作用。对于任何想要出海美国的互联网企业而言,加州无疑是一个必争的重要市场。

 

 

CCPA的保护对象为任何“加里福尼亚的居民的自然人”,这也就意味着,只要面向加州居民提供服务的企业达到CCPA适用门槛,在收集、处理、买卖用户个人信息时就必须遵守其隐私条款。

 

目前,绝大多数国际科技巨头如微软、亚马逊、苹果都已在它们的隐私政策中特别告知用户,当用户为加利福尼亚州居民时,会严格按照CCPA的相关规定收集、处理、出售个人信息。中国出海最为成功的抖音国际版TikTok也在其隐私政策中将加州列为特别管辖区域,承诺会遵守相关规定,保障消费者隐私权利。CCPA作为一部地方立法,能被众多国际巨头写入其隐私政策,其影响之深远并不亚于欧盟的GDPR。

 


来源:TikTok官网

 

二、CCPA的适用门槛

 

CCPA与GDPR在适用对象上也表现出不同的监管倾向。

 

CCPA规定,该法案适用于在加利福尼亚州以获取利润或经济利益为目的开展经营活动的企业,其业务涉及收集及/或处理个人信息,且满足以下一项或多项条件:

 

(1)年收入超过2500万美元;

 

(2)为商业目的,每年单独或总计购买、收取、出售或共享50000人及以上消费者、家庭或设备的个人信息;

 

(3)年收入中有50%及以上是通过销售消费者的个人信息获得。

 

在设置适用门槛上,CCPA更聚焦于为盈利目的开展数据处理活动的企业。CCPA为被管辖企业设置了“2500万美元年收入门槛”和“(5万)消费者、家庭和设备数量门槛”,更侧重对影响范围大、风险程度高的规模企业进行管辖。要注意的是,2500万美元指的是该企业的全球营收总额,并不单指在加州的营收。

 

与CCPA的“差异化对待”相比,GDPR的监管范围几乎涵盖任何处理欧盟公民个人数据的组织或企业,而为中小企业设置的豁免门槛又过于严格,导致中小企业很难实际享受到豁免的好处,大大加重了中小企业的合规负担。GDPR第3条规定,GDPR适用于以下三种情形:

 

(1)数据控制者、数据处理者在欧盟有营业场所的,不论数据处理行为发生在欧盟还是境外;

 

(2)数据控制者、数据处理者未在欧盟设立营业场所,但向欧盟的数据主体提供商品或者服务,或者被追踪的网络行为发生在欧盟的;

 

(3)虽然数据控制者、数据处理者未在欧盟设立营业场所,但是根据国际公法应当适用欧盟成员国法律的。



CCPA在规定适用对象之初就合理排除了非盈利机构和没有达到适用门槛的中小企业两类主体。加州作为全球IT产业龙头聚集地,在保护消费者隐私的基础之上,也充分考虑了如何避免立法造成中小企业合规负担过重、抑制企业创新活力。

 

三、哪些企业不受CCPA管辖?

 

1.金融、医疗等联邦立法已覆盖的行业不受CCPA管辖

 

美国法律规定,当联邦立法与州级立法的管辖内容有重合、甚至冲突时,应以联邦立法为优先。CCPA是州级立法,应严格遵守州立法层级,联邦立法已经覆盖的行业隐私保护则不受CCPA管辖。出海美国的企业应判断其所属行业是否适用CCPA。例如,消费分期互联网平台属于金融行业,应遵守《金融服务现代化法案》等联邦立法中关于用户隐私保护的规定,不再适用CCPA。以下为一些适用联邦立法的行业:

 

(1)医疗行业——《健康保险流通与责任法案》

 

(2)金融行业——《金融服务现代化法案》

 

(3)驾驶员信息——《驾驶员隐私保护法》

 

(4)征信机构——《公平信用报告法》

 

(5)消费者报告机构——《美国法典》

 

2. 数据服务提供商(service provider)不受CCPA管辖


数据服务提供商指接受数据控制者的委托而提供数据处理服务的企业。CCPA规定,只要满足以下两个条件,数据服务提供商便可得到豁免,不直接受CCPA管辖:

 

(1)数据控制者在隐私条款中告知消费者,收集的个人信息会被分享给数据服务提供商;

 

(2)数据服务提供商不可额外收集、出售、使用消费者个人信息,为达成必要的商业目的除外。

 

数据服务提供商虽然不直接受CCPA管辖,但其应遵守与数据控制者签订的合同条款,采取措施保障数据安全。此外,提供商仍应注意遵守其他联邦立法的隐私保护规定。例如,当受委托处理的数据中含有13岁以下儿童的个人信息时,数据服务提供商应按照《儿童在线隐私保护法》的规定,采取措施保障儿童数据安全。


四、合规建议

 

虽然CCPA是一部专门针对加州消费者的隐私保护法律,但考虑到加州世界领先的经济体量与科技创新实力,CCPA的重要意义远不仅限于加州境内。作为全美首部数据隐私领域的全面立法,CCPA的颁布对其他州的立法进程也有重要示范作用。

出海美国企业首先应明确,自己所处的行业是否受CCPA管辖,企业的营收规模与个人信息处理量是否达到适用门槛。例如,音视频、游戏、社交平台出海美国时应重点关注CCPA,金融借贷、消费分期APP则应重点关注《金融服务现代化法案》等金融行业相关联邦法律,及时调整自己的隐私政策,避免违规。

文章作者:数美科技

版权申明:文章来源于数美科技。内容仅供网友参考学习。如有侵权,请联系客服,扬帆出海欢迎行业优质稿件投稿。

微信公众号
关注扬帆出海
专注服务互联网出海!
商务合作
媒体合作
加入社群
商务合作
商务合作
媒体合作
媒体合作
扫描二维码联系!
加入社群
加入社群
扫描二维码联系!