随着企业面临着欧盟和加利福尼亚州实施的可能新的、严格的数据隐私法律,让我们花点时间来了解CCPA和GDPR之间的异同。

The European Union’s General Data Protection Regulation (GDPR) went into effect on 25 May 2018, and the California Consumer Privacy Act (CCPA) went into effect on 1 January 2020. While substantial similarities exist between the two—after all, the drafters of the CCPA looked to the GDPR while creating the CCPA—there are also substantial differences. We will explore both below.

涵盖的企业

GDPR和CCPA两种规范在其边界外部的经营。但是,用于确定每个法律覆盖范围的法律依据基本不同。

在欧盟在其活动中,在其欧盟机构中的活动的上下文中建立的数据控制器和数据处理器都受到GDPR,无论它们是否在欧盟成员国或国外处理数据。在欧盟建立是一个低门槛-根据gdpr之前的判例法,在欧盟拥有分支机构、子公司、雇员或代理的实体有资格在那里“建立”。

对于在欧盟成员国中未建立的公司,如果他们处理欧盟的商品或服务或监测欧盟的数据科目的行为,则仍然需要GDPR合规性。

GDPR不允许小型或非营利组织例外。CCPA试图更有利于商业和慈善事业,将其覆盖范围限制在处理加州居民个人信息的营利性企业*,并且至少做以下其中一项:

  1. 每年赚取超过2500万美元的收入(无利润)
  2. 每年处理来自加州的5万或更多个人、设备或家庭的个人信息
  3. 从销售加州个人信息赚取至少一半的收入

任何符合阈值的组织被视为“涵盖”实体,但它只需要向加州数据科目提供CCPA保护。

法律保护谁?

GDPR和CCPA的目的都是在其管辖范围内保护个人,但它们与管辖范围的关系性质可能非常不同。

CCPA和加州居民

The CCPA only protects Californians because the law only protects ‘consumers,’ which it specifically defines as ‘California residents.’ Therefore, a resident of an EU Member State visiting California would not receive CCPA protections, even if he interacted with a CCPA-covered entity.

另一方面,访问欧盟成员国的加州人有权从任何CCPA覆盖的实体获得CCPA保护,无论她是在加州还是在欧洲临时与该实体互动。如果她移居欧洲成为欧洲居民,她将失去CCPA保护的权利。

数据处理和GDPR

GDPR指的是它保护为“数据科目”的个人。欧盟公民和居民是GDPR的预期受益者。但是,GDPR可以更广泛地应用,因为它专注于是否覆盖了数据处理器或控制器,而不是在数据受试者所在的位置。

这意味着GDPR可以在技术上适用于任何人甚至是游客,在欧洲。

要进一步迈出一步,如果非欧洲数据控制器从欧洲数据处理器关闭其数据,GDPR也可以应用于从不踏上欧洲的非欧洲数据主体。例如,想象一家美国公司从美国数据科目中收集美国的个人信息,然后将信息发送到欧洲数据处理器。即使数据受试者在收集数据时,数据现在也会受到GDPR保护的影响。

考虑一下这个例子:

  • 加州居民在访问法国时使用社交媒体应用,并收到了定位广告,就该应用在她在法国期间收集的数据,她可以申请GDPR权利。
  • 如果法国居民使用同一款应用程序访问加州,并收到定位广告,则无法申请CCPA权利。

所以,当CCPA和GDPR都关注位置时,CCPA关注一个人住所的位置而GDPR则着眼于数据处理器和控制器的位置和活动

受保护的人有哪些权利?

根据CCPA,加利福尼亚州居民有权:

  1. 在收集个人资料时或之前收到通知;
  2. 知道实体收集了哪些信息(通常被称为知道的权利);
  3. 请求删除他们的个人信息;和
  4. 选择不出售他们的个人信息(选择销售规则可能适用于未成年人或他们的监护人)。

GDPR赋予消费者(被称为“数据主体”)类似但更广泛的权利。受GDPR保护的人,比如加州居民,有权:

  1. 关于收集和处理其数据及其相关权利的通知;
  2. 知道实体收集了哪些信息(通常被称为知道的权利);和
  3. 删除公司收集的个人信息。

GDPR还授予个人额外的权利。虽然GDPR不提供CCPA所需的方式,但GDPR确实提供了受保护的个人限制使用他们的个人信息的权利。正确的权利允许他们通过处理限制基本上选择退出销售。他们可以选择退出他们的数据以进行营销目的或完全退出加工活动。

GDPR还限制控制器和处理器在处理产生法律效力或对个人产生重大影响的情况下进行完全自动化处理的能力。例如,如果个人在线申请贷款,而算法决定是否发放贷款,那么这完全是自动处理。如果一个人根据一个纯自动化算法创建的个人资料来决定是否发放贷款,那么这个过程并不是完全自动化的。

此外,GDPR还赋予受保护个人纠正不准确数据和完成被覆盖实体收集的不完整数据的权利。

GDPR还授予了数据便携权,允许个人将其数据从一个电子处理系统转移到另一个。

外带

CCPA和GDPR都要求企业进行变更以符合符合要求。它们包括(但不限于)各种新需求,可根据创建和追随Cookie策略,指定数据保护官员(DPO)以及在GDPR下进行数据隐私影响评估(DPIAS)以注册为数据代理(even if you don’t think you are one), creating new privacy policies, and creating a data map to track your organization’s data under the CCPA.

CCPA和GDPR为受保护的个人提供的权利范围很广,对于试图遵守其中一部或两部法律的公司来说,这需要极大的提升。你所采取的行动来完成一个法则不会使你完全遵守另一个法则,但是当你遵守一个法则的时候学到的教训肯定会帮助你遵守另一个法则。随着您的组织朝着CCPA和/或GDPR的方向努力,您将变得更加:

  1. 关于跨复杂的法律制度的隐私保护的娴熟;
  2. 在处理消费者数据时要透明;和
  3. 在基于消费者在CCPA和GDPR下扩大的隐私权的基础上,高效地跟踪和响应消费者数据请求。

*非营利组织通常是豁免,但可以由CCPA涵盖,如果他们控制或由涵盖的营利实体控制,以营利性实体分享品牌,并进入一个合资企业,营业有限公司,或与需要遵守CCPA的另一个实体签订协议。