2018年加利福尼亚州消费者隐私法案(CCPA)于2020年1月1日生效,标志着美国加强和扩大隐私法规的新举措,类似于欧盟通过该段落所看到的趋势和实施通用数据保护条例(GDPR)。
CCPA为有担保的消费者提供了在美国不享有的新隐私权。根据CCPA,有资格成为“企业”的实体必须提供:
- 关于从承保消费者或与消费者有关的个人信息的简短披露(Cal.Civ.Code§1798.100)。
- 关于从承保消费者或与承保消费者有关的个人信息的某些其他扩展披露(id.§1798.110(a))。
- 关于出于商业目的出售或披露个人信息的披露(id.§1798.115)。
- 选择退出个人信息的“销售”(id.§1798.120)。
- 在出售未成年人的个人信息之前的选择加入要求(id.§1798.120(c))。
- 被保险消费者访问和/或删除从他们或与他们收集的个人信息的能力(id.§§1798.105,1798.100(d))。
受到限制的企业还必须采取措施,防止歧视行使CCPA权利的消费者(参见§1798.125)。由于这些新义务,CCPA的实施可能会给使用区块链技术的组织带来严峻挑战。
CCPA对区块链意味着什么?
区块链技术正被用于开发解决方案和工具,为个人提供更大的数据控制。该技术通常是公共的和不可变的分类账,承诺为个人数据的使用方式引入新的透明度。区块链技术(特别是在公共/无许可环境中使用时)以一种通常意味着数据存储,处理或以其他方式使用的方式分散,不一定取决于集中管理机构或单个“管家”或“在许多方面,区块链技术通过分散化来支持收集和存储个人数据的传统模式 - 从而消除了第三方中介。
但是,大多数数据隐私法(包括CCPA)都假定传统数据模型的运行,这使得它们难以与分散或分布式数据模型协调。因此,尽管CCPA在哲学上与区块链技术的许多目标(即数据完整性,网络安全和透明度)保持一致,但大多数区块链技术的几个固有特征可能会带来合规性挑战 - 特别是区块链的分散结构和不变性数据输入区块链分类账。
围绕 CCPA的大部分不确定性(通常和适用于区块链技术)源于法规的广泛定义。例如,个人信息的定义包括 “与特定消费者或家庭直接或间接地识别,关联,描述,能够与之相关或可能合理地相关联的信息。”(同一§1798.140)( o)(1))。尽管要求立法机关提供进一步的澄清 - 包括在州检察长的多个公共论坛期间提出的任何补充修正案之前的声明 - 目前正在编写的法规于2020年1月1日生效。
值得注意的是,由总检察长执法行动可能带来的最终法规或2020年7月1日发布,以较早者为准六个月后(同上,第1798.185(C) )。民事处罚包括禁制令和每次违规最高罚款2,500美元的罚款以及每次故意违规最高罚款7,500美元的罚款。请注意,在个人信息“由于企业违反实施和维护合理安全程序和操作的义务而遭到未经授权的访问和泄露,被盗或泄露的情况下,消费者享有有限的私人诉讼权利。 “。
区块链业务何时受CCPA约束?
CCPA的义务仅限于“企业”,其定义为在加利福尼亚州开展业务的任何营利性公司,其收集个人信息并满足以下至少一个阈值:
- 年收入总额超过2500万美元。
- 每年购买,出售或出于商业目的,接收或分享至少50,000个加州消费者,家庭或设备的个人信息。
- 通过“销售”加州消费者个人信息获得50%或更多的年度收入。
请注意,法规未定义“做生意”,并且可以解释为包含具有在加利福尼亚运营的节点或从加利福尼亚消费者收集数据的区块链平台(Id.§1798.140(c)(1))。
虽然CCPA门槛测试的第一个分支是相当不言自明的,但第二和第三分叉并不那么简单。仅仅在区块链上托管信息的行为可以被视为“共享”个人信息,特别是当节点在测试的第二个阶段被视为“设备”时。例如,区块链网络上存在500个节点,这些节点都维护着分类帐的副本,这可能构成法规下的“共享”(尽管目前没有关于该主题的监管指导)。
“销售”的定义也很广泛。它包括 “出租,发布,披露,传播,提供,转让或以其他方式口头,书面或通过电子或其他方式传递”个人信息以“其他有价值的考虑”。(Cal.Civ.Code§1798.140(t )(1))。什么构成“其他有价值的考虑”仍然没有具体说明。
因此,从法规的面部语言看,区块链公司可以被视为仅仅通过托管和操作区块链平台来“出售”个人信息,人们和实体可以通过区块链平台交换个人信息 - 特别是如果区块链公司收取费用(无论是在区块链上可操作的令牌还是其他形式的外部考虑因素)访问区块链或从托管和操作促进个人信息交换的平台获得其他“有价值的考虑”。
类似地,区块链环境中的节点运营商或矿工接收令牌或加密货币以换取对网络执行交易验证或分类账确认服务可能同样被认为是“卖”,因为他们正在“沟通[... ]通过电子或其他方式“写入区块链的个人信息。如果发现承保业务是“出售”个人信息,则将适用附加通知,披露和其他义务 - 即使该业务尚未参与传统上被视为“出售”的货币对价。
此外,虽然假名化可能有助于混淆数据,但它不会使主题数据非个人化。由于该法规适用于“能够与个人”直接或间接相关联,或者可以合理地与其直接联系“的个人信息,因此可能由于重新识别的风险而证明这些技术不足。
区块链业务如何最好地解决与CCPA的合规问题?
部署区块链技术的企业应该仔细考虑将个人信息写入基于区块链的分类账的程度,以及是否有办法减轻因这与CCPA的要求和要求相关的问题。
例如,企业可能会考虑在使用分类帐跟踪和调解对个人信息的访问时,将链接(即不在区块链上)的个人信息存储起来。这种类型的解决方案可以使企业直接引用离线个人信息以履行CCPA下的报告义务,同时保持其分类账的完整性,而不必将数据放在链上,这样企业就无法删除该数据根据要求。在这种情况下,删除很简单:通过简单地将数据转移到链上,任何不可变的引用on-chain都会成为对不存在的数据的引用,并且变得毫无意义。
但是,脱链解决方案可能会增加不必要的复杂性,这与许多区块链平台的简单性和透明度目标不一致。此外,这些解决方法通常无法解决在基于区块链的解决方案如此优雅地解决的现状中使用并行数据源所带来的安全问题。
如果离线解决方案不切实际,区块链企业可以考虑采用所有可用的数据混淆步骤,尽可能地使数据去个性化(例如,对所有链上数据应用腌制,加密和散列技术)。但是,区块链上的数据几乎总是与分类帐的公钥(即分类帐地址)相关联,因此连接到正在向该地址添加数据的个人或实体。因此,公共密钥可以被视为CCPA下的“个人信息”,只要它们属于或可以与加利福尼亚消费者联系在一起。
最后,企业应该尽快采取措施尽快遵守CCPA:在2018年Perkins Coie LLP的谈话中,加州司法部长办公室的特别助理Eleanor Blume 强调公司将在其CCPA上进行评估部分遵守他们在2019年采取的预防措施。
本文链接地址:https://www.wwsww.cn/jishu/994.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。