CCPA 与 GDPR 合规性比较
以下是有关欧盟《通用数据保护条例》(GDPR) 和《加州消费者隐私法案》(CCPA) 之间异同的一些常见问题。
什么是《通用数据保护条例》?
《通用数据保护条例》是一项欧盟 (EU) 法律,于 2016 年 4 月生效。 该条例旨在改善个人数据保护,加强组织对数据泄露的责任,以保护欧盟居民。 GDPR 包括高达全球收入 4% 或 2000 万欧元(以较高者为准)的罚款,无论组织位于何处,只要处理或控制欧盟居民的个人数据,就必须遵守该条例。
GDPR 值得注意的数据安全要求
GDPR 中的一些关键条款要求组织:
- 以确保安全的方式处理个人数据,“包括防止未经授权或非法处理”(第 5 条)
- 实施技术和组织措施,确保数据安全与风险水平相适应,包括“个人数据假名化和加密”。(第 32 条)
- “当违规可能对个人的权利和自由造成高风险时”,“毫不拖延地”将个人数据违规情况告知此类违规涉及的对象。(第 34 条)
- 防止“未经授权披露或访问个人数据”。(第 32 条)
有关 GDPR 的更多信息:
GDPR 是否要求对个人数据进行加密?
第 6 条(处理的合法性)确定“加密或假名化”是保护主体个人数据的 “适当保障措施”。
第 32 条(处理的安全性)规定:“处理方应实施适当的技术和组织措施,确保数据安全与风险水平相适应,包括适当的:
(a) 个人数据假名化和加密...”
第 34 条(向数据主体通报个人数据泄露事件)允许遭受数据泄露的组织在使用加密“使任何未经授权访问的个人无法理解个人数据”的情况下规避通报要求。
什么是 CCPA?
加州消费者隐私法案 (CCPA) 于 2020 年初生效。 该法案旨在让加州居民对收集哪些个人数据以及如何使用这些数据有更多的控制权。
不遵守 CCPA 的企业每次故意违规将被处以 7,500 美元的罚款。 非故意违规行为处罚力度较轻,但代价仍然高昂,每次违规的罚款为 2,500 美元。 但是,民事诉讼也可能对违规组织造成负面的影响。 对于每位因企业违反加州消费者隐私法案而受到影响的消费者,组织将面临高达每位消费者 750 美元的民事赔偿。
有关 CCPA 的更多信息:
CCPA 是否要求对个人数据进行加密?
CCPA 第 1798.150 条规定: “如果由于企业违反了为保护个人信息,而实施和维护与信息性质相适应的合理安全程序和实践的义务,导致第 1798.81.5 节 (d) 款 (1) 段 (A) 小段所定义的任何消费者的非加密和非屏蔽的个人信息,可能会遭到未经授权访问和泄露、失窃或披露,可能会受到以下任何一项...”
此外,与 CCPA 相关的立法也涉及加密密钥的保护问题。 值得注意的是,议会法案 1130 的出台旨在更新加州违规通知法规,要求向数据遭到泄露的人员发出通知,除非这些数据经过加密,且加密密钥没有随数据一起泄露。
CCPA 和《通用数据保护条例》
GDPR 和 CCPA 有何相似之处?
GDPR 和 CCPA 都旨在保护居住在所在地区的人们的隐私和数据权利。 两者都将覆盖范围扩展到与居民有业务往来的组织,无论这些组织是否位于其所在地区。
CCPA 和 GDPR 都赋予了个人有关其个人数据的某些权利,并要求持有和处理这些数据的组织保持透明度。
CCPA 和 GDPR:
- 要求企业披露企业收集的有关这些个人的个人信息。
- 要求组织披露他们如何处理个人数据。
- 要求持有个人数据的组织按数据所属人员的要求删除数据。
- 要求组织采取网络安全措施保护个人数据。
- 对违规行为处以罚款。
GDPR 和 CCPA 有何不同之处?
- GDPR 要求公司在处理居民的数据之前必须具备法律依据。 CCPA 则没有。
- GDPR 适用于所有符合上述法律依据要求的企业。 CCPA 仅适用于年总收入超过 2500 万美元的企业。
- 根据 CCPA,个人可以阻止公司出售其私人数据,组织不能歧视这些个人。
- GDPR 对处理健康相关信息的公司规定了额外的条件,因为 GDPR 包含“基因数据”和“生物识别数据”等术语,更加具体。 CCPA 使用一个笼统的术语。
- 总的来说,GDPR 罚款似乎高于 CCPA 罚款。 然而,CCPA 为民事诉讼打开了大门,这对于违规组织来说可能同样代价高昂。