编者按：本文来自微信大众号“大数据文摘”（ID：BigDataDigest），作者 刘俊寰，36氪经授权发布。原标题《一个用户至少“值”100美元，美国最“贵”数据法案CCPA明年初施行！GDPR还好吗？》

那你就OUT了！

由于从2020年1月1日开端，美国相关数据维护法——CCPA（California Consumer Privacy Act，加州顾客隐私法案）也将正式施行，算算时刻，只剩下不到三个月了！

以为这样就完了吗？远远不止！从纽约开端，更多法案将在美国多个州连续收效。

这意味着，不论企业总部坐落何处，假如企业的服务目标是居住在加州和纽约的客户，就有必要恪守相关规则，不然就会被罚款。

针对CCPA的谈论没有暂停

CCPA自上一年6月宣告出台，经过一年多的修订和预备，总算在本年的10月13日，州长对该法案做出最终签署。

在绵长的一年时刻内，外界对CCPA的评论从未中止过。

GoBestVPN的创始人Jamie Cambell还对CCPA及其维护顾客数据方面做出猜测，他指出，假如公司还没预备好相应的代码库，至少应该考虑修正现有体系，相关法令的提出无疑是有利于个人对本身隐私数据的维护的。

但不是一切人都对CCPA的施行抱以积极态度，美国Uvietech Software Solutions Inc.的软件工程师兼首席执行官Bryan Osima就以为，CCPA的施行或许不会有任何改动，乃至对顾客而言，这并不是一件功德，由于他们再也无法下到免费的应用程序了。

关于还未经过GDPR的英国企业，应战会更艰巨

英国自脱欧以来一向备受重视，英国不少公司相同深受GDPR的影响，CCPA的施行对现在境况有点为难的英国企业来说又意味着什么呢？

世界律师事务所Dorsey＆Whitney的合伙人Robert Cattanach指出，将信息办理的基本要素整合到一切运营活动中之前，推动CCPA是一个缓慢渐进的进程。

尽管CCPA对大多数英国企业的影响或许不如GDPR那样直接，但CCPA的某些看似宽松的规则实际上潜藏了应战和危机。

许多公司会想当然地以为，为恪守GDPR而采纳的信息办理办法也能满意CCPA的要求。可是他说，在简直一切情况下，这都是一个过错的假定。

“关于那些没有经过GDPR遵照流程的公司，应战好像愈加艰巨。”他说道。

一起，他也就英国应该怎么面临CCPA提出自己的观点。

传统而言，更发起“自下而上”的数据映射，这在理论上很不错，但在实践中极具应战性。相较而言他更倾向于“更务实”的做法：对CCPA主要功能组件进行自我评价。

现在我国还短少相关数据隐私维护法

美国加州聚集了很多互联网公司，包含微软、Uber等，关于任何追求开展的跨国企业而言，能够说加州用户是兵家必争之地了。

本次CCPA的要求目标规则为居住在加州的用户，关于我国企业而言，只需有加州用户的市场需求，就有必要恪守CCPA的相关规则。

而考虑到现在国内还短少相关的信息维护法，相关企业针对这方面的预备或许还并不充沛，CCPA的施行关于我国企业而言或是一项不小的应战。

北京安理律师事务所高档合伙人王欣锐表明，我国个人信息维护的立法现在一方面需求“补课”，学习各国立法中的有用部分，另一方面又要针对我国特色的数据方式进行针对性应对，特别是互联网高速开展所带来的问题。

GDPR有多严？

欧洲在18个月前推出GDPR，这是具有里程碑含义的数据隐私法令。

互联网企业屡遭罚款

互联网职业尽管有两年的时刻去预备，但仍是由于违规遭受重创。GDPR施行的第一年，由于难以达到合规要求，超越90,000家企业自愿陈述违规行为，超越145,000家企业遭到顾客投诉。

和大多数法令相同，对法令的无知不是托言，相同，犯罪者的目的也无法供给安全维护。监管安排并不会介意企业是出于何种原因违规。不过他们的确会对显着、故意或有意违法的相关行为处以更高的罚款。

• 2019年1月，谷歌被法国当局处以5000万欧元的罚款，由于谷歌在法国搜集和运用用户个人数据进行广告定位时缺少透明度。

• 几个月前，一家葡萄牙医院因没能很好办理患者病历，支付了40万欧元罚款。这家医院创建了1,000个医师左右的拜访帐户，当实际工作的医师少于300人时，这1,000个用户帐户能够不受约束地拜访患者数据。

• 一家丹麦的出租车公司因搜集超越900万条包含个人身份信息的客户记载被罚款120万克朗，由于这违背了GDPR相关规则。

• 波兰当局对本国的垃圾邮件举动进行了强烈打击，他们从公共网页上抓取了电子邮件地址，将这些地址汇总起来，用以发送“垃圾邮件”。90,000人的分发名单中的12,000名收件人投诉，本次行为共遭罚款22万欧元。

这还不是悉数，在线GDPR法令跟踪器正试图捕获一切依据互联网的隐私乱用行为，包含对英国航空公司（British Airways）悬而未决的2.04亿欧元罚款，该公司此前走漏了50万客户的付款信息。

谷歌、Facebook等改善对用户数据的办理模式

GDPR于上一年5月正式施行，在此之前，谷歌、Facebook等互联网公司纷繁改善了对用户数据的办理模式。

上一年三月，Facebook宣告做出以下调整：简化设置菜单，添加新的隐私快捷方式信息中心，更新用户的数据下载和修改权限。

在新的隐私快捷方式信息中心，用户能够拜访“更明晰，更直观”的体系，该体系使他们有权力操控投进广告、操控谁能看到自己个人资料和个人信息、添加额定的维护机制。

紧随Facebook的脚步，谷歌在5月份对数据方针做出相应整改，经过向人们供给更清晰的东西来办理数据，进步“用户透明度”。

关于顾客而言，操控投入广告或彻底屏蔽广告的进程会愈加简化，Google表明，方案“未来几个月内进一步简化这些东西的外观和运用” 。

谷歌在欧洲、中东和非洲区域隐私和法令总监马尔科姆（Malcolm）表明，谷歌改善了战略引导和安排结构，不只查找内容会更简单，也能更轻松地办理、导出和删去隐私数据。

GDPR VS CCPA：究竟谁严？

CCPA和GDPR之间存在一些要害差异。总的来说，CCPA在适用监管规范的拟定上会比GDPR更宽松，即便在告发违规情况下，除非有很多用户陈述，每次事情罚款不会特别重。

• CCPA的最低规范。GDPR没有设置最低规范，因而企业的一切事务都会被监管；可是CCPA不会监管年营业额低于2500万美元，事务规模不超越50,000用户的公司，即便是发现了该公司存在数据走漏的行为。

• 罚款额度。GDPR设有上限，保证罚款不超越违法者收入的很大部分，可是对CCPA违法者而言，罚款金额的仅有约束是受影响的用户数量，依据规则，罚款金额规模定在100美元至750美元/受影响用户，因而，假如一个具有100万用户帐户的网络服务因违规罚款，这家公司很或许会关闭。

• 用户的参加与退出。依据CCPA，用户假如挑选退出有必要与第三方进行信息同享，GDPR则强烈建议用户挑选参加。一般来说，CCPA在自动揭露和处理未成年人方面更为广大。

总的来说，假如企业能契合GDPR的要求，那很大约率上也能契合CCPA的要求。

只要2%的企业做好预备了

依据GDPR的规则，假如公司是为欧洲客户供给服务，则不管公司坐落何处，都有必要契合GDPR相关要求。相同，假如是为美国客户供给相应服务，则需契合纽约和加州的相关法令要求。

依据IAPP和OneTrust于2019年8月对大多数美国企业进行的查询，尽管74％的受访者以为公司需求恪守行将颁布的CCPA，但只要约2％的受访者表明他们的公司现已做了充沛预备。

考虑到GDPR现已让许多公司遭受重创，但只要47％的查询受访者期望在1月1日前为CCPA做好预备，关于仍未契合GDPR要求的公司特别如此。

查询问题：大约期望地点企业何时彻底恪守CCPA？成果显现了两次IAPP/OneTrust查询，一次在4月进行，一次在8月进行。

即便企业以为这些数据维护法对本身还不适用，但相关法令的指定仍是非常有必要的。假如违背或损害了相关规范，会对相关企业追查民事责任。

相关法令在美国欧洲等地先后推出，为法官处理企业与受影响客户之间的案子供给了规范。归根到底，维护客户的隐私会有助于添加客户对企业的信赖以及企业本身事务和品牌的开展——这些的价值远远高于因违背法令有必要交纳的罚款。

那么问题来了，你预备好了吗？