CCPA自2020年1月开始正式实施以来,尚未传出过天价罚单的新闻。与之形成鲜明对比的是高调而严苛的GDPR。据Atlas VPN统计,2021年,共有412家企业因违反GDPR被罚,其中不乏亚马逊、WhatsApp等互联网巨头,罚款总额更是高达10亿欧元。CCPA的处罚标准似乎比GDPR更为温和,事实果真如此吗?
01 罚款标准
CCPA第1798.155条规定,“对每一次违法行为处以最高2,500美元的行政处罚,对每一次故意的违法行为和每一次涉及未成年消费者个人信息的违法行为处以最高7,500美元的行政罚款。”
再来看GDPR的处罚标准。对于一般性的违法,GDPR的罚款上限是1000万欧元,或最高为上一个财政年度全球全年营业收入的2%(两者中取数额大者);对于严重的违法,罚款上限是2000万欧元,或者最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者)。
我国2021年11月新颁布的《个人信息保护法》也效仿GDPR,对违法企业按照营业额营收比例收取罚款。其规定,“……拒不改正的,并处一百万元以下罚款……情节严重的,并处五千万元以下或者上一年度营业额百分之五以下罚款……”与GDPR和《个人信息保护法》动辄千万级别的罚款相比,CCPA最高不过7,500美元的数字确实显得微不足道。但要注意的是,CCPA是“按次收费”的。对拥有大量用户数据的平台而言,一旦数据泄露造成用户实际损