撰文/ 钱亚光
编辑/ 张 南设计/ 赵昊然
【资料图】
来源/ Bloomberg,https://gdpr.eu,https://www.oag.ca.gov/privacy/ccpa
7月31日,美国加州隐私保护局(California Privacy Protection Agency,CPPA)的执行理事阿什坎·索尔塔尼(Ashkan Soltani)在一份声明中表示:“现代车辆将汽车与计算机紧密结合在一起,他们能够通过内置的应用程序、传感器和摄像头监控车辆内外的人,收集大量的信息。”
加州隐私保护局是根据2020年一项投票倡议成立的机构,也是美国唯一一家专门负责隐私问题的监管机构。该机构将审查智能汽车收集的日益庞大的综合数据,以及收集数据公司的商业行为是否符合加州法律。
索尔塔尼表示,该机构的执法部门正在与汽车制造商接触,以评估他们如何使用和收集消费者数据,并遵守加州的隐私法。该机构拒绝进一步评论在审查过程中联系了哪些汽车制造商。
图片来源:苹果
加州监管机构将审查汽车制造商的数据保护政策,这是保护该州消费者隐私努力的一部分。审查的重点将放在能够与司机的手机相连的联网汽车,这些车辆可以通过苹果公司的 CarPlay和Alphabet公司的Android Auto等信息娱乐系统进行数据交换,
去年,加州非营利组织“消费者监督组织(Consumer Watchdog)”向该州监管机构表示,“汽车数据是汽车行业中新的淘金热。汽车制造商和第三方企业知道我们开车去了哪里、买了什么、吃了什么、发了什么短信。通过这些信息,可以建立一个完整的消费者档案,从而向消费者推销产品。”
加州隐私保护局是根据一项2018年通过的《加州消费者隐私法案(California Consumer Privacy Act》发起的本次审查,该法律让加利福尼亚州居民有权了解哪些企业收集了他们的哪些个人信息,以及要求企业删除他们的个人信息。
CCPA于2018年通过,2020年1月生效,据其官网介绍,这是一个隐私保护条例,用于保护个人数据,是美国加利福尼亚州出台的地方法律。这一法规帮助消费者在访问、删除和分享企业收集到的个人数据上赋予了新的权利,保护消费者有权告诉企业不要共享或出售个人信息的权利;提供消费者对收集到的有关他们的个人信息的控制权;要求企业负责保护个人信息。
具体来说,收集消费者数据的企业必须披露收集的信息、收集信息的商业目的以及会共享这些信息的所有第三方组织和机构,须依据消费者提出的正式要求删除相关信息。此外,消费者可选择是否出售他们的信息,而企业则不能随意改变价格或服务水平。对于允许收集其个人信息的消费者,企业可提供“财务激励”。
除了数据隐私保护这一目的,CCPA还希望帮助公众了解他们的什么数据会被收集,而且这些数据会被怎样出售或公开。
被发现不符合CCPA的企业将受到罚款。从每次无意违规2500美元到每次故意违规7500美元不等,法律没有规定最高处罚金额。对违反CCPA的处罚将通过加州总检察长提起并在法庭上发布的民事诉讼进行评估和追回。
法规提供了个人针对违反CCPA的行为寻求损害赔偿的诉讼权利,但仅限于违反安全措施或数据泄露的行为。每个消费者每次事件或实际损害赔偿金为100美元至750美元,以较高者为准。
随着时代不断发展,大数据日益流行,用户的隐私遭到侵犯,甚至用于不当牟利的情况层出不穷。所以,为了改变这种用户数据遭滥用和隐私遭侵犯的现象,世界各国在数据立法上不断地进行改善,从而予以企业更多的监管,使用户数据得到更多更全的保障。
比如欧盟,早在2016年4月,就提出了《通用数据保护条例(General Data Protection Regulation)》,其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据,该法规最终于2018年 5 月 25 日正式实施,被称为“史上最严格的用户个人数据保护法案”。
GDPR在欧洲生效后,第一年就有超过9万家商业公司主动报告了数据漏洞,以便符合GDPR的要求。GDPR的处罚非常严厉,违法企业将最高面临2000万欧元或全球营收的4%的罚款。迄今最高的一笔罚款,是2019年英国航空公司因50万人的数据漏洞被罚的2.04亿欧元。
根据GDPR,客户必须能够随时查看、修改甚至撤销他们授予的许可。换而言之,企业不允许出现以下行为:提供易于使用的Web表单以获取用户的许可,然后故意要求用户遵循复杂的官僚主义流程,使其难以撤销许可。此外,公司需要清楚地告知用户,公司收集数据的原因以及数据的用途。
再如中国,2017年12月29日,全国信息安全标准化技术委员会正式发布《信息安全技术个人信息安全规范》,从信息权利保护的角度全面规定了公民个人信息的收集、保存、使用、委托处理、共享、转让、公开披露以及个人信息安全的处置等。
2021年7月5日,国家互联网信息办公室公布《汽车数据安全管理若干规定(试行)》,明确了汽车数据处理者的责任和义务,规范了汽车数据处理活动。
《规定》倡导,汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”“默认不收集”“精度范围适用”“脱敏处理”等数据处理原则,减少对汽车数据的无序收集和违规滥用;汽车数据处理者应当履行个人信息保护责任,充分保护个人信息安全和合法权益;明确了处理个人信息、敏感个人信息的具体要求。
上海汽车集团股份有限公司董事长陈虹曾表示,国内目前对于个人隐私数据被侵犯的处罚力度相对温和,一般是处以警告和勒令整改,较为严重的也仅是处以几万元的罚款,也没有惩罚性的处罚机制和被侵害对象的群体赔偿制度。
关键词:
