Loading…
GDPR和CCPA/CPRA是全球被引用最多的两大隐私框架。乍看相似,但二者在域外适用范围、处理的合法依据、选择加入与选择退出架构、泄露通知时限以及罚款严厉程度上存在显著差异。本指南为您提供任何隐私团队都会用到的精确对照。
| 维度 | 🇪🇺 GDPR | 🇺🇸 CCPA |
|---|---|---|
| 法律文书 | 条例(欧盟)2016/679 | 《加州民法典》第1798.100条及其后续条款(CCPA,经CPRA于2020年修订) |
| 生效日期 | 2018年5月25日 | CCPA:2020年1月1日;CPRA强化:2023年1月1日 |
| 地域适用范围 | 任何处理欧盟境内个人的个人数据者(第3条——域外适用) | 在加州开展业务并达到门槛的营利性企业(第1798.140条第d款) |
| 适用门槛 满足任一触发条件 | 任何控制者/处理者——无营收/数量下限 | 营收2500万美元,或10万名以上加州消费者/家庭,或50%以上营收来自出售/共享个人信息 |
| 同意模式 | 大多数处理需选择加入(第6条) | 出售或共享需选择退出;16岁以下未成年人需选择加入 |
| 是否需要合法依据 | 是——六项之一(第6条)或特殊类别条件(第9条) | 无正式合法依据;“业务目的”+收集时通知 |
| 敏感数据 | 特殊类别数据(第9条)需明确同意+保障措施 | 敏感个人信息(CPRA第1798.140条第ae款)——有权限制,而非绝对禁止 |
| 泄露通知 | 72小时内通知监管机构(第33条);高风险时不得无故延迟通知受影响的数据主体 | 无具体时限;依据《加州民法典》第1798.82条“以最快可行时间”通知 |
| 最高罚款 | 2000万欧元或全球年营业额的4%,以较高者为准(第83条第5款) | 非故意每次2500美元/故意或涉及未成年人每次7500美元(按记录计) |
| 监管机构 | 27个欧盟成员国数据保护机构+EDPB(一站式机制) | 加州隐私保护局(CPPA)+加州总检察长 |
| DPO要求 | 在特定情形下为强制要求(第37条) | 非强制;对SDF有风险评估要求 |
| 当地代表 | 非欧盟控制者/处理者需设立第27条欧盟代表 | 无需;不强制要求实体存在 |
| DSAR响应时限 | 1个月,复杂请求可延长2个月(第12条第3款) | 45天,可再延长45天(第1798.130条) |
| 跨境传输 | 受限——需SCC/BCR/充分性认定(第五章) | 无明确限制;依据行业法律采取合同保障措施 |
| 私人诉讼权 | 是——第79条(有限)+第82条损害赔偿 | 仅适用于第1798.150条规定的数据泄露 |
| 儿童数据 | 默认同意年龄为16岁以下(成员国可下调至13岁) | 16岁以下出售/共享需选择加入;13岁以下需父母同意 |
| 删除权 | 删除权(第17条),含例外情形 | 删除权(第1798.105条),含例外情形 |
| 知情权/访问权 | 第15条——确认+副本 | 第1798.110条+第1798.115条——披露类别及具体个人信息 |
| 选择退出权 | 反对基于合法利益或直接营销的处理(第21条) | 选择退出个人信息的出售或共享(第1798.120条);必须尊重GPC |
| 可携权 | 第20条——结构化、通用、机器可读 | 以可携格式接收的权利(第1798.100条第d款) |
是的,如果您同时面向欧盟个人和加州消费者。二者在核心要求(通知、访问、删除)上有所重叠,但在同意、泄露时限和地域性方面存在差异。一套经映射的统一控制措施可同时适用于两者。
实质上是的。GDPR要求每项处理活动都有合法依据,强制规定72小时泄露通知,限制跨境传输,并设有基于营收的无上限罚款。CCPA/CPRA更偏向选择退出模式,采用按每次违规而非按营业额计算的罚款——但Meta12亿美元的和解表明,累计敞口可与GDPR相当。
不能。GDPR第3条具有域外适用性。如果您向欧盟境内的人员提供商品或服务,或监测其行为,您即属于适用范围,必须指定一名第27条欧盟代表。
没有正式对应角色。CCPA不要求指定当地代表。但敏感的金融或健康数据可能触发并行的联邦制度(HIPAA、GLBA),后者有其自身的联络点要求。
GDPR:72小时内通知主导监管机构。CCPA:“以最快可行时间”通知,无固定时限——尽管在第1798.150条集体诉讼中,原告律师主张任何超过数天的延迟都属不合理。
可以——而且应该如此。建立一个可验证的消费者请求管道,将输出同时映射到GDPR第15条和CCPA第1798.110条的披露要求。只需将时限保持在较短的窗口(欧盟居民1个月,加州居民45天)。
控制措施映射一次,合规两次。RegulatoryBridge为您提供单一的DSAR流程、单一的DPO、单一的泄露应急手册——同时涵盖两种框架。