在2018年3月Facebook“泄密门”事件后，“最严厉、最全面”的个人隐私保护法案CCPA出台。CCPA（California Consumer Privacy Act），全称加州消费者隐私法案，是2018年6月28日由加州福尼亚州议会通过并颁布为法律，2020年1月1日生效，2020年7月1日正式实施。

CCPA法案赋予了加州消费者对企业收集和管理其个人信息更多的控制权，包括知情权、删除权、访问权、选择权、公平服务权，被称为是“最严厉、最全面”的个人隐私保护法案，它的生效及实施将为我国金融机构带来很多挑战。

挑战一：金融科技转型下，难以落实用户权利

金融科技以技术和数据为中心，但在金融科技转型及创新下落实CCPA严格的数据收集、使用、共享等要求，金融机构面临较大的挑战。

在金融全面风险治理领域，目前金融行业广泛利用反欺诈系统防范业务风险，这需要依赖大量用户交易记录和数据。根据CCPA规定，用户有权在任意时间要求删除或停止共享收集的个人数据，且企业不得因此为用户提供差异化的服务。这使得由于金融数据的缺失导致金融服务变得非常困难。随着金融机构收集、使用、出售用户个人数据的行为越来越透明化，对于恶意用户来说，他们将非常清晰的了解到金融机构收集的个人信息种类及用途，从而绕过内部防范机制甚至要求机构删除个人数据，这为金融科技创新防范业务风险带来了很大难度。 

挑战二：金融机构合规成本短期内将显著上升

根据伯克利经济咨询与研究有限公司针对《2018年加州消费者隐私法》“标准化法规影响评估”显示，CCPA将使得公司须承担的初始合规成本为4.67亿美元至164.54亿美元 。

根据CCPA规定，法案正式实施后，客户具有12个月的回溯期，即客户有权获取最早为2019年1月1日的个人数据。因此金融机构在调整企业数据架构的同时，仍需要梳理历史用户个人数据。无论是数据处理方式还是IT基础设施方面的优化，这对金融机构都是巨大挑战，短期内难以满足CCPA法案的要求。

由于欧盟通用数据保护条例（GDPR）与CCPA是具有不同范围，定义和要求的独立法律框架，对于已经符合GDPR要求但受到CCPA约束的金融机构，仍需投入成本进行基础设计和数据处理方式的重构或改造。

挑战三：金融机构可能将面临高额赔付的风险

由于CCPA法案个人敏感信息范围广，条款设置严格，金融机构难以在短时间内达到合规要求。根据CCPA规定，若由于无法实施合理的安全性而导致的用户数据泄露，机构将面临每位消费者高达750 美元的赔款。同时，加州司法部长还可在整体上实施CCPA，若机构被指控违规且无法在30日内完成整改的，则承担每次违规最高2500美元的民事罚款或每次故意违规最高 7500的罚款。对于我国的金融机构，一旦发生数据泄漏事件，将可能面临数上亿乃至上十亿元的天价罚金。

随着CCPA法案正式实施时间的临近，处于CCPA适用范围的中国金融机构应：

l 更新隐私策略

l 加强数据安全保护，加固技术防范措施，防范个人数据泄漏事件的发生

l 制定数据安全流程，构建并加强内部用户个人数据编排的能力，灵活对用户个人信息的查询、删除、出售等行为进行控制或干预

 CCPA的适用范围仅针对在加州开展经营活动的企业，但是随着GDPR、CCPA等隐私法案的推行，将来会有更多的国家颁布隐私立法程序。我国于2017年6月1日颁布并正式实施了网络安全法，在法律层面明确了个人信息保护工作的基本要求。同时，个人信息保护法也列入了2020年立法规划，可以预期未来1-2年内，我国将建立隐私保护立法程序，未来五年内全球隐私保护立法程序将不断完善。

金融系统是我国关键基础设施，金融机构应立足长远，建立可扩展性隐私保护框架，以满足不同国家隐私法律要求，满足公司业务扩张需求。