研究人员估计,在较低端,员工人数少于20人的公司可能在一开始需要支付约50000美元才能保持合规。而在较高端,员工人数超过500人的公司一开始的合规成本平均在200万美元左右。根据该调查报告,研究人员估计的550亿美元初始合规总成本相当于2018年加州生产总值的1.8%。
此外,该调查报告还指出,未来十年中,所有受该法律约束的公司的合规总成本大约在4.67亿至160亿美元之间。
评估发布之际,正值CCPA即将通过之时。若加州州长盖文·纽森(Gavin Newsom)签字批准CCPA的最新修订案的话,该法案将于2020年1月1日起生效。总检察长办公室还将制定法规,帮助企业了解他们遵守新法案须采取的步骤。
该法案赋予加州居民对公司如何收集和使用他们数据的知情权,以及要求公司删除他们个人数据的权利等等。该法律适用于加州所有年收入在2500万美元以上的企业;企业年收入中至少一半来自销售消费者的个人数据;或购买、销售或分享至少50000名消费者、家庭或设备的个人数据的企业。研究人员估计,大约有75%之多的收入低于2500万美元的加州企业或将受到该立法的影响。
华盛顿特区的议员目前也在密切关注该立法,他们也在考虑制定联邦隐私法。随着各州都开始着手制定自己的隐私法,科技公司高管如Facebook的首席执行官马克·扎克伯格(Mark Zuckerberg)等一直在呼吁制定全国性的隐私政策。与遵守各州不同的隐私法相比,一个统一的法律标准对科技公司来说更容易遵守,合规成本也更低。
加州的立法借鉴了去年生效的欧洲《通用数据保护条例》(GDPR)中的部分内容。由于加州的许多同时也在欧洲运营的公司已经被迫做出调整以遵守GDPR,该调查报告的作者表示,加州隐私法的合规成本有望降低。报告称,欧盟估计,GDPR的平均合规成本增量为每年总计5700欧元(约6300美元),尽管有证据表明该法规会“降低极依赖数据之公司的生产力”。
报告还称,与GDPR类似,与大公司相比,小公司承担的合规成本比例或将更高。
“在GDPR出台后的一年多时间里,人们对该法律对大型企业的影响的顾虑似乎被夸大了,而很多小公司却深受合规成本困扰。造成这种二分局面的根源在于资源配置,大型科技公司往往走在竞争对手和监管机构之前,”研究人员写道。
但是,报告的作者继续写道,从长远来看,影响的差异会逐渐缩小,部分因为第三方服务的竞争会有助于小型企业遵守法律。
研究人员还调查了CCPA试图保护的消费者数据的价值。
“CCPA从根本上改变了公司处理个人数据的方式。一些行业将被迫完全调整他们的业务模型来整合新的数据保护要求,”研究人员写道。
此外,报告又指出,新的隐私法或有望带来新的商机。“或许有点违反直觉,但CCPA或许可以为公司带来新的商机,以扩展基于数据的研究和产品,”报告中写道,“若CCPA可以增强消费者对数据保护的信任,那么实际上它可以促进消费者与公司分享数据的意愿、尽管数据的使用存在更多的控制,但增加对用户数据的访问有助于提高企业生产和研发的能力,同时促进产品创新能力。”