GDPR与CCPA对比:核心差异全解析(2026年)
《(欧盟)2016/679号条例》(GDPR)要求企业在开始任何个人数据处理活动之前,必须先具备并记录一项合法依据,因而属于事先同意(选择加入)型框架。加利福尼亚州的CCPA(编入《加利福尼亚州民法典》第1798.100条)则默认允许数据收集,并赋予消费者选择退出的权利。这一结构性差异,正是两部法律之间分歧的根源。
欧盟《通用数据保护条例》(GDPR)与加利福尼亚州的消费者隐私制度,即经《加利福尼亚州隐私权利法》(CPRA)实质性改造后的《加利福尼亚州消费者隐私法》(CCPA),是英语世界中最具影响力的两大数据隐私框架。两者都赋予个人对其个人信息的实质性控制权。但除了这一宏观层面的共通之处外,两部法律在适用范围、立法理念、同意模式、执法机制,以及对组织施加的具体义务方面,均存在显著分歧。
本指南将全面比较GDPR与CCPA/CPRA各主要维度的差异,纳入CPPA于2025年9月就自动化决策制定的新规,并在结尾为须同时满足这两套框架的企业提供实用指引。
快速解答
GDPR是一套事先同意、许可制的框架,几乎适用于任何处理欧盟/欧洲经济区居民数据的组织。CCPA/CPRA则是一套选择退出型框架,适用于达到规定规模门槛的加利福尼亚州营利性企业。就最高处罚金额而言,GDPR的罚款远高于CCPA,但加利福尼亚州专门设立的执法机构CPPA,自2024年以来已显著加快了执法步伐。
两套制度概览
| 特征 | GDPR | CCPA/CPRA |
|---|---|---|
| 颁布/生效日期 | 2018年5月25日 | 2020年1月1日(CCPA);2023年1月1日(CPRA修正案) |
| 地域范围 | 欧盟/欧洲经济区+域外适用 | 加利福尼亚州居民+域外适用 |
| 适用主体 | 几乎所有数据控制者/处理者 | 达到门槛的营利性企业 |
| 营业额门槛 | 无 | 年度总营业额超过2500万美元 |
| 数据量门槛 | 无 | 每年10万名以上消费者或家庭 |
| 出售数据营收占比门槛 | 无 | 年营业额50%以上来自出售/共享个人信息 |
| 同意模式 | 事先同意(须具备合法依据) | 选择退出 |
| 是否要求DPO | 是(特定组织) | 否 |
| 数据泄露通知 | 72小时内通知监管机构 | “尽可能及时”(依据加利福尼亚州另一项单独法规) |
| 最高监管处罚 | 2000万欧元或全球年营业额4% | 每项故意违规行为7500美元 |
| 私人诉权 | 有限,因成员国而异 | 有,适用于符合条件的数据泄露事件 |
| 专门执法机构 | 27个以上欧盟/欧洲经济区成员国各自的数据保护机构(DPA) | 加利福尼亚州隐私保护局(CPPA) |
| ADMT选择退出权 | 人工复核权(第22条) | ADMT选择退出权(CPRA及2025年新规) |
适用范围与合规主体
GDPR的域外适用范围
无论注册地或实际所在地在何处,只要某组织处理欧洲经济区内个人的个人数据,即须适用GDPR。一家总部位于芝加哥、拥有欧盟客户的SaaS公司须适用GDPR。一家网站以欧盟消费者为目标受众的日本电子产品制造商同样须适用GDPR。第3条明确规定了这一域外适用效力:该条例适用于向欧洲经济区内个人提供商品或服务,或者监测其在欧洲经济区内行为的组织。
位于欧盟/欧洲经济区之外、但落入GDPR适用范围的组织,须依据第27条指定一名欧盟代表,除非符合狭义的例外情形。
CCPA/CPRA的门槛模式
CCPA自2020年1月1日起生效,此后经CPRA(即2020年11月经加利福尼亚州选民批准通过的第24号提案,其大部分修正内容自2023年1月1日起生效)作出实质性修订。CCPA适用于收集加利福尼亚州居民个人信息、且满足以下三项门槛中至少一项的营利性企业:
- 年度总营业额超过2500万美元
- 每年出于商业目的购买、出售、接收或共享10万名以上消费者或家庭的个人信息
- 年营业额中50%以上来自出售或共享消费者个人信息
非营利组织和政府机构完全不在CCPA/CPRA的适用范围之内。相比之下,GDPR几乎涵盖所有处理个人数据的组织(包括非营利组织、公共机构和小型企业),仅对纯粹个人或家庭活动设有狭义的例外。
定义:个人数据与个人信息
GDPR:以个人为核心的宽泛定义
GDPR将“个人数据”界定为与已识别或可识别的自然人有关的任何信息。这一刻意从宽的定义涵盖姓名、身份证号码、位置数据、在线标识符(IP地址、Cookie ID),以及与自然人身体、生理、基因、精神、经济、文化或社会身份相关的各类因素。无法被重新识别的汇总数据和匿名化数据不在此定义范围之内;假名化数据一般仍属于个人数据。
第9条针对揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员身份、基因数据、用于身份识别目的处理的生物识别数据、健康数据,以及涉及性生活或性取向的数据,设立了保护级别更高的“特殊类别”数据层级。处理特殊类别数据须取得明确同意,或者具备另一项特定的法律依据。
CCPA/CPRA:消费者与家庭范围
CCPA将“个人信息”界定为能够识别、涉及、描述特定消费者或家庭,或者合理可与其关联,或者合理可与其相联系的信息。与GDPR定义相比的显著差异在于:CCPA明确将家庭层面的数据纳入保护范围,同时将企业有合理理由相信消费者已自愿向公众公开的信息排除在外。
CPRA修正案新增了“敏感个人信息”类别,其在一定程度上与GDPR的特殊类别相呼应。CPRA下的敏感个人信息涵盖社会安全号码、金融账户详情、精确地理位置、种族或民族出身、宗教信仰、通讯内容、基因数据、用于身份识别目的处理的生物识别数据、健康信息,以及涉及性生活或性取向的数据。CPPA于2025年出台的新规进一步将敏感个人信息的范围扩大至神经数据,以及企业已知系16岁以下消费者的个人信息。
| 数据概念 | GDPR | CCPA/CPRA |
|---|---|---|
| 核心受保护数据 | 个人数据(任何已识别/可识别的自然人) | 个人信息(消费者或家庭) |
| 家庭数据 | 未明确纳入 | 已纳入 |
| 公开可得数据 | 只要能识别特定个人,仍属于个人数据 | 排除在定义之外 |
| 员工与B2B数据 | 完全涵盖 | 已涵盖(CPRA已于2023年1月取消原有的临时豁免) |
| 提升保护级别的敏感数据层级 | 特殊类别(第9条) | 敏感个人信息(CPRA) |
| 神经数据 | 作为健康/生物识别数据涵盖 | 由CPPA 2025年新规明确新增 |
同意模式:事先同意与选择退出
这是两套框架之间理念分歧最为尖锐的一点。
GDPR:许可制的事先同意
GDPR采用许可制模式运作。组织若未事先确立第6条项下六项合法依据之一,即同意、合同履行、法定义务、切身利益、公共任务或合法利益,便不得处理个人数据。合法依据须在处理活动开始前确定并加以记录。
如果选择以同意作为依据,第7条要求该同意必须是自由给予、具体、知情且明确表示的。预先勾选的复选框、沉默以及捆绑式同意均属无效。对于特殊类别数据和儿童数据,GDPR要求取得明确同意,即须有肯定性的意思表示,而非仅凭某种可能被解读为同意的行为。
CCPA/CPRA:按活动划分的选择退出
对于大多数处理活动,CCPA采用选择退出模式。企业无需事先取得同意即可收集和使用个人信息,但须做到:(1)在隐私声明中披露其数据处理做法;(2)提供“请勿出售或共享我的个人信息”链接;以及(3)尊重消费者提出的选择退出请求。CPRA新增了限制使用敏感个人信息的权利,其作用相当于一种针对性的选择退出机制。
存在两项值得注意的事先同意例外:企业在出售或共享其已知为16岁以下消费者的个人信息之前,须先取得事先同意(对于13岁以下者,则须取得其父母或监护人的同意);此外,若某消费者已选择退出至少12个月,企业须先取得事先同意方可再次向其发起联系。
| 同意维度 | GDPR | CCPA/CPRA |
|---|---|---|
| 默认立场 | 未确立合法依据前禁止处理 | 允许处理;消费者可选择退出 |
| 同意的适用情形 | 须自由给予、具体、知情且明确 | 大多数处理活动无需同意 |
| 儿童 | 16岁以下须经父母同意(成员国可将年龄降至13岁) | 出售/共享16岁以下人群数据须事先同意 |
| 敏感数据 | 须取得明确同意或具备特定豁免情形(第9条) | 限制使用权(选择退出模式) |
| 选择退出后再次联系 | 无对应规定(撤回同意须与作出同意一样便利) | 须等待12个月方可再次征询 |
消费者权利与数据主体权利对比
两部法律均赋予个人一整套隐私权利。GDPR所规定的权利范围更广,例外情形的适用条件也更为严格。
| 权利 | GDPR | CCPA/CPRA |
|---|---|---|
| 知情权/访问权 | 有(第15条) | 有(经CPRA扩展至涵盖12个月内的数据) |
| 删除权/擦除权 | 有,即“被遗忘权”(第17条) | 有,但企业适用的例外情形更多 |
| 更正权 | 有(第16条) | 无对应规定 |
| 数据可携权 | 有(第20条) | 有(由CPRA新增) |
| 限制处理权 | 有(第18条) | 仅限于敏感个人信息 |
| 反对权 | 有(第21条) | 无直接对应规定 |
| 出售选择退出权 | 无“出售”这一概念 | 有,是CCPA的核心权利之一 |
| 共享选择退出权 | 无“共享”这一概念 | 有(由CPRA新增) |
| 限制敏感数据使用权 | 受第9条相关限制规范 | 有(由CPRA新增) |
| 反歧视权 | 遵循一般性平等原则 | 明确规定的权利;允许设立经济激励方案,但须履行披露义务 |
| 自动化决策 | 人工复核权;异议权(第22条) | ADMT选择退出权及访问权(CPRA及2025年新规) |
GDPR第22条针对完全自动化决策的权利在一个方面更为有力:该权利默认适用,若要例外适用则须提供肯定性的正当理由。CCPA/CPRA下ADMT选择退出权则属于选择退出型权利,即在消费者行使该权利之前,使用ADMT的企业可以继续使用。
敏感个人信息
两套框架均设立了一类受到更高保护的数据,但在定义和规制方式上有所不同。
在GDPR之下,处理“特殊类别”数据默认属于禁止行为。若要处理此类数据,组织须同时确立第6条项下的合法依据,以及第9条项下的特定条件,例如明确同意、劳动法义务、在无法取得同意情况下的切身利益,或者非营利机构的合法活动。以唯一识别特定个人为目的处理的生物识别数据,属于特殊类别数据。
在CCPA/CPRA之下,消费者有权指示企业将敏感个人信息的使用和披露限定于收集该信息时所述的目的,或者其他特别许可的用途。企业须提供“限制使用我的敏感个人信息”链接(该链接可与“请勿出售或共享”链接合并设置)。CPPA于2025年出台的新规将敏感个人信息的范围扩大至涵盖神经数据,并明确将已知为16岁以下未成年人的个人信息纳入其中。
执法与处罚
GDPR的执法
GDPR由欧盟/欧洲经济区各成员国各自独立的数据保护机构(DPA)负责执法。第83条确立了两级处罚结构:
- 较低一档(最高1000万欧元或全球年营业额2%):适用于违反数据控制者和处理者义务、认证规则以及监督机构规则的行为。
- 较高一档(最高2000万欧元或全球年营业额4%):适用于违反核心数据处理原则、同意条件、数据主体权利以及国际传输规则的行为。
截至2025年初,GDPR累计罚款总额已超过58亿欧元。近期具有代表性的执法行动包括:爱尔兰数据保护委员会于2023年5月对Meta处以12亿欧元罚款,原因是其向美国实施了违法数据传输(这是迄今为止单笔金额最大的GDPR罚款);以及2024年10月对LinkedIn处以3.1亿欧元罚款,原因是其为行为定向广告目的实施了违法处理。
CCPA/CPRA的执法
自2020年7月1日CCPA正式开始执法起,至2023年年中,一直由加利福尼亚州总检察长负责执法。加利福尼亚州隐私保护局(CPPA)于2023年7月接手主要执法职权,是美国第一个专门的州级隐私执法机构。
CCPA/CPRA项下的处罚:
- 每项非故意违规行为最高2500美元
- 每项故意违规行为,或涉及未成年人个人信息的每项违规行为,最高7500美元
- CPPA于每个单数年份的1月根据消费者价格指数(CPI)变化调整处罚金额
CPPA的执法步伐已显著加快。2025年具有代表性的和解案包括:
- Tractor Supply Company: 因违反CCPA被处以135万美元
- 美国本田汽车公司: 因违反CCPA被处以63.25万美元,是当时该法历史上第二高的罚款金额
- Todd Snyder, Inc.: 因其隐私门户管理不当(包括在消费者行使选择退出权前要求其先验证身份)被处以345,178美元
| 执法维度 | GDPR | CCPA/CPRA |
|---|---|---|
| 执法机构 | 各国数据保护机构(欧盟/欧洲经济区27个以上成员国各设一个) | 加利福尼亚州总检察长及CPPA |
| 最高监管罚款 | 2000万欧元或全球年营业额4% | 每项故意违规行为7500美元 |
| 整改宽限期 | 无强制性整改宽限期 | 30天整改期(仅适用于总检察长执法;CPPA执法不设整改权) |
| 跨境协调机制 | 通过牵头DPA实行“一站式”机制 | 仅限加利福尼亚州管辖 |
| 私人诉权 | 有限(因成员国而异;第82条) | 有,适用于符合条件的数据泄露事件(《加利福尼亚州民法典》第1798.150条) |
私人诉权
两部法律均赋予个人一定的诉讼权利,但适用范围存在实质性差异。
GDPR第82条
GDPR第82条赋予因违反GDPR而遭受物质或非物质损害的任何人,向控制者或处理者请求赔偿的权利。实践中,就GDPR损害赔偿提起集体诉讼的可行性和适用范围因成员国而存在较大差异;欧盟法律并未设立统一的集体诉讼机制。
CCPA第1798.150条
CCPA的私人诉权范围比GDPR的一般性赔偿权更为狭窄。依据《加利福尼亚州民法典》第1798.150条,消费者仅可就因企业未能实施合理安全措施而导致的、涉及未加密或未编辑处理的个人信息(或电子邮箱地址与密码或安全问题组合信息)的符合条件的数据泄露事件提起诉讼。法定赔偿金额为每名消费者每起事件100美元至750美元,若实际损害金额更高,则可按实际损害金额主张。
该私人诉权不延伸适用于数据泄露事件以外、涉及消费者访问权、删除权、选择退出权或其他CCPA权利的违规行为。此类违规行为仅由CPPA或总检察长负责执法。
2025年,加利福尼亚州多家联邦地区法院作出的若干判决显示,私人诉权可能将扩展适用于第三方追踪技术构成未经授权披露个人信息的情形。隐私从业者正密切关注这些案件的后续进展。
CPPA 2025年新规:ADMT、风险评估与网络安全审计
CPPA理事会于2025年7月24日通过了一套全面新规。加利福尼亚州行政法办公室于2025年9月22日批准并备案了该套新规。这是自CPRA生效以来,加利福尼亚州隐私框架最为重大的一次扩充。
自动化决策技术(ADMT)
2025年ADMT新规落实了CPRA所引入的消费者权利。ADMT是指任何处理个人信息、并运用计算方式作出决策、取代人工决策,或者实质性辅助人工决策的技术。
针对企业将ADMT用于重大决策的情形,该新规赋予消费者两项权利:
- 选择退出权:消费者可以选择退出企业使用ADMT就影响其自身的重大事项作出决策,包括就业资格、信贷决定、住房、医疗保健待遇以及教育机会等事项。
- 访问权:消费者可以了解ADMT的具体使用方式,包括所涉及的运行逻辑以及决策结果的重要性。
将ADMT用于重大决策的企业,须自2027年1月1日起履行合规义务。将ADMT用于广告定向投放的企业,则依据新规适用另一套单独的合规时间表。
这项权利在概念上与GDPR第22条所规定的权利相似,但在结构上有所不同:GDPR第22条禁止产生法律效力或类似重大影响的完全自动化决策,除非满足三项特定条件之一;而CCPA/CPRA下的这项权利属于选择退出型,在消费者行使该权利之前,ADMT可以继续运行。
风险评估
企业在开展对消费者隐私构成重大风险的特定处理活动之前,须进行风险评估。风险评估的功能与传统的隐私影响评估相当,须以书面形式记录,至少每三年审查一次,并在处理活动发生重大变更后的45日内更新。企业须于2028年4月1日前向CPPA提交合规声明及评估结论摘要。
网络安全审计
达到规定门槛的企业须每年开展网络安全审计。向CPPA提交认证的时间按以下阶段分批安排:
- 2028年4月1日:年营业额超过1亿美元的企业
- 2029年4月1日:年营业额在5000万美元至1亿美元之间的企业
- 2030年4月1日:年营业额低于5000万美元的企业
网络安全审计要求在GDPR中并无直接对应规定,不过GDPR第25条和第32条要求采取适当的技术和组织措施。
这四个规则领域的总体生效日期均为2026年1月1日,其中针对重大决策的ADMT合规义务则延后至2027年1月1日起施行。
国际数据传输
GDPR对个人数据向欧洲经济区以外传输的行为实行严格监管。组织仅可将数据传输至已获得欧盟充分性认定的国家,或者通过标准合同条款(SCC)、有约束力的公司规则(BCR),或欧美数据隐私框架等机制进行传输。关于欧盟传输制度的更多内容,请参阅我们的欧盟数据隐私法指南。
CCPA/CPRA对国际数据传输不作任何限制。加利福尼亚州企业可以将个人信息传输至任何国家。构成“出售”或“共享”的传输行为仍须遵守选择退出权的相关规定,而2025年风险评估新规则适用于对隐私构成重大风险的特定跨境传输行为。
数据保护官与合规基础设施
GDPR依据第37条要求特定组织任命数据保护官(DPO):公共机构、核心活动涉及对个人进行大规模系统监控的组织,以及大规模处理特殊类别数据的组织。DPO须向高级管理层汇报、保持独立性,且不得因履行DPO职责而受到处罚。
CCPA/CPRA并未要求设立对应的职位。企业须在规定期限内(45天,可延长一次,延长期同样为45天)回应消费者请求,将请求记录至少留存24个月,并维持合理的安全措施,但并不强制要求建立内部隐私治理架构。
两部法律均要求留存记录。GDPR第30条要求详细记录处理活动记录(RoPA)。CCPA/CPRA则要求记录消费者请求及其处理情况。
数据泄露通知
在GDPR之下,组织在获悉某一对个人权利和自由构成风险的个人数据泄露事件后,须在72小时内通知其监管机构。如果泄露事件构成高风险,组织还须直接通知受影响的个人。我们的GDPR概览一文详细介绍了泄露通知的相关要求。
CCPA/CPRA本身并未规定泄露通知规则。加利福尼亚州沿用其此前已有的泄露通知法规(《加利福尼亚州民法典》第1798.82条),要求企业“在尽可能及时、且不发生不合理迟延的情况下”通知受影响的居民。CCPA第1798.150条项下的私人诉权,专门针对未加密或未编辑处理的个人信息泄露事件。
美国更广泛的隐私立法格局
CCPA/CPRA并非孤立出现,也未能长期保持其独有地位。截至2026年初,美国已有约20个州颁布了综合性消费者隐私法。印第安纳州、肯塔基州和罗德岛州的相关法律将于2026年1月1日起生效。尽管2025年未有新的综合性州级隐私法获得颁布,这是五年来首次出现此类空档期,但美国的关注重心已从立法转向执法和规则制定。
在严格程度、消费者权利范围以及是否设有专门执法机构等方面,其他各州的法律均不及CCPA/CPRA。对于在全美范围内运营的企业而言,符合CCPA/CPRA要求的合规体系,为实现多州合规奠定了坚实基础,通常只需针对各州具体的定义、门槛和选择退出机制作出相应调整即可。
截至本文撰写之时,美国尚无联邦层面的综合性隐私法。
同时受两部法律约束的企业应如何开展合规工作
同时服务于欧盟/欧洲经济区市场和加利福尼亚州市场的组织,通常会以GDPR合规为基础,构建统一的隐私合规体系。由于GDPR在大多数方面的要求更为严格,符合GDPR要求通常也能满足CCPA/CPRA的大部分基线要求。但反过来则不然。
即便已符合GDPR要求的组织,仍须履行以下CCPA/CPRA特有的义务:
- 在主页和隐私政策中设置“请勿出售或共享我的个人信息”链接(GDPR无对应要求)
- 设置“限制使用我的敏感个人信息”链接(或采用合并链接)
- 经济激励披露: 企业若提供与数据收集挂钩的奖励或差异化定价,须说明其价值计算依据
- ADMT选择退出及访问通知(就重大决策而言,自2027年1月1日起生效)
- 针对特定高风险处理活动的风险评估(自2026年1月1日起生效)
- 年度网络安全审计(如达到营业额及数据处理量门槛)
- 服务提供商合同(须在GDPR处理者协议条款之外,另行采用CCPA特有的术语)
关于双重合规体系中GDPR方面的内容,请参阅我们的欧盟数据隐私法概览,以及GDPR具体要求指南。
近期动态
2025年9月: CPPA最终敲定了ADMT、网络安全审计、风险评估以及CCPA更新新规。总体生效日期为2026年1月1日,其中重大决策相关的ADMT合规义务延后至2027年1月1日起施行。
2025年CPPA执法: 该机构与美国本田(63.25万美元)、Tractor Supply Company(135万美元)以及Todd Snyder(345,178美元)等多家企业达成和解。根据CPPA 2025年度报告,截至该报告发布时,仍有数百起调查正在进行中。
2024年10月: 爱尔兰数据保护委员会因LinkedIn为行为定向广告目的实施违法处理,对其处以3.1亿欧元罚款。截至2025年初,GDPR累计罚款总额已超过58亿欧元。
2025年1月: CPPA根据CPI通胀情况调整了CCPA罚款金额。神经数据被新增纳入敏感个人信息的定义范围。
2026年1月1日: 印第安纳州、肯塔基州和罗德岛州的综合性隐私法正式生效,使美国拥有综合性隐私法的州总数达到约20个。
Frequently Asked Questions
CCPA/CPRA是否适用于加利福尼亚州以外的企业?
适用。CCPA/CPRA适用于任何收集加利福尼亚州居民个人信息、且满足三项门槛中至少一项(营业额超过2500万美元、每年处理10万名以上消费者的数据,或50%以上营收来自出售或共享数据)的营利性企业,无论该企业实际所在地在何处。一家在加利福尼亚州没有实体存在、但拥有加利福尼亚州客户及符合条件的网站的公司,同样可能受该法约束。
一家企业是否可能同时受GDPR和CCPA/CPRA约束?
有可能。任何处理欧盟/欧洲经济区个人个人数据、同时又收集达到CCPA门槛的加利福尼亚州居民个人信息的企业,均须同时遵守这两部法律。许多跨国公司会以GDPR要求为基础构建统一的隐私合规体系,再在此基础上叠加CCPA/CPRA特有的义务。
哪部法律的处罚更为严厉?
GDPR的最高处罚金额要高得多:2000万欧元或全球年营业额4%,以较高者为准。CCPA/CPRA的处罚上限为每项故意违规行为7500美元。不过,依据CCPA私人诉权提起的集体诉讼,累计赔偿总额可能相当可观,而CPPA积极的执法行动也已促成多起七位数金额的和解案。
GDPR是否要求所有数据处理均须取得事先同意?
并非如此。同意只是GDPR第6条项下六项合法依据之一。企业同样可以依据合同履行、法定义务、切身利益、公共任务或合法利益作为处理依据。不过,如果选择以同意作为依据,该同意必须是自由给予、具体、知情且明确的。对于特殊类别数据,除非符合第9条项下的其他条件,否则须取得明确同意。
CPPA的ADMT新规是什么,何时生效?
CPPA于2025年9月22日最终敲定了自动化决策技术(ADMT)新规,总体生效日期为2026年1月1日。使用ADMT就影响消费者的重大事项(如就业资格、信贷审批、住房及医疗保健决定等)作出决策的企业,须自2027年1月1日起履行消费者选择退出权和访问权相关的合规义务。将ADMT用于广告定向投放的企业,则适用另一套单独的合规时间表。
GDPR与CCPA/CPRA合规工作之间最大的实际差异是什么?
是同意模式的差异。GDPR要求在数据处理开始前具备并记录合法依据,这通常意味着须事先取得同意。CCPA/CPRA则默认允许数据收集,但要求企业尊重选择退出请求、张贴“请勿出售或共享我的个人信息”链接,并(依据2025年新规)提供ADMT选择退出及访问通知。这一根本性差异,塑造了网站设计、Cookie横幅、隐私声明以及内部数据治理的具体方式。
符合GDPR要求是否等同于满足CCPA/CPRA的要求?
大体上是,但并不完全等同。由于GDPR总体上是更为严格的框架,符合GDPR要求的合规体系能够满足CCPA/CPRA的大部分基线要求。但若干CCPA/CPRA特有的义务在GDPR中并无对应规定,包括“请勿出售或共享”链接、经济激励披露、ADMT选择退出权、2025年新规下的风险评估和网络安全审计要求,以及CCPA特有的服务提供商合同条款。
Sources and References
- GDPR - 《(欧盟)2016/679号条例》全文(EUR-Lex)(eur-lex.europa.eu).gov
- GDPR第3条 - 域外适用范围(gdpr-info.eu)
- GDPR第6条 - 处理的合法性(gdpr-info.eu)
- GDPR第9条 - 个人数据特殊类别(gdpr-info.eu)
- GDPR第17条 - 擦除权(gdpr-info.eu)
- GDPR第22条 - 自动化个人决策(gdpr-info.eu)
- GDPR第37条 - 数据保护官的指定(gdpr-info.eu)
- GDPR第83条 - 处以罚款的一般条件(gdpr-info.eu)
- 欧盟委员会 - 欧盟数据保护(commission.europa.eu).gov
- 欧洲数据保护委员会 - 指南文件(edpb.europa.eu).gov
- 加利福尼亚州消费者隐私法全文(《加利福尼亚州民法典》第1798.100条及以下)(leginfo.legislature.ca.gov).gov
- 《加利福尼亚州民法典》第1798.150条 - 私人诉权(leginfo.legislature.ca.gov).gov
- 加利福尼亚州总检察长 - CCPA/CPRA相关信息(oag.ca.gov).gov
- CPPA - CCPA更新、网络安全审计、风险评估及ADMT新规(cppa.ca.gov).gov
- CPPA公告:加利福尼亚州敲定新规以强化消费者隐私保护(2025年9月22日)(cppa.ca.gov).gov
- CPPA:本田就隐私违规行为达成和解,处以63.25万美元罚款(cppa.ca.gov).gov
- CPPA责令Todd Snyder支付345,178美元罚款并全面整改隐私操作规范(cppa.ca.gov).gov