加州州长签署《2018加州消费者隐私法案》。

近日,美国加利福尼亚州刚刚通过的一项法案——《2018加州消费者隐私法案》(以下简称“CCPA”)引起广泛关注。在欧盟《一般数据保护条例》(以下简称“GDPR”)正式实施一个月、硅谷科技巨头频频曝出隐私泄露丑闻的时间节点上,CCPA的出台有着独特的意义。

7月6日晚,北京师范大学互联网刑事法治国际研究中心举办“美国2018加州消费者隐私法案”研讨会,来自中美高校、研究机构、企业的多名专家学者围绕CCPA分享了自己的观点。

“美国2018加州消费者隐私法案”研讨会在北京师范大学举办。主办方供图

与会嘉宾普遍认为,CCPA的影响力不仅限于加州或者美国。除了因为加州是全球第五大经济体,对全球经济的影响举足轻重以外,对中国来说,很多企业愿意在加州设立公司,因此CCPA也将对在加州开展业务的中国企业产生非常大的影响

立法背景
仓促通过,未来可能大改

南都记者了解到,CCPA其实早在2017年2月9日就被提上议程,但在三读阶段被列入“非活动文件”(可立即考虑立法,但由于各种原因暂时处于休眠状态)。今年6月21日,这项法案又被重新调取,七天之后即获通过。

戏剧般转折的背后,是一名叫Alastair Mactaggart的地产大亨。

Alastair Mactaggart(中)和他的倡议起草团队。

他在2017年发起一个关于保护隐私的投票倡议,获得超过60万人签名。根据加州法律,他有资格在加州立法议会介绍这个倡议并获得回复。他承诺,如果议会在6月28日之前通过CCPA,他将撤回倡议。

于是,加州议会赶在截止日期之前通过了CCPA。这不仅仅是因为Mactaggart的倡议内容比CCPA要严得多,还有出于以倡议形式通过的法案更难修订的考虑。

“CCPA的立法过程比较粗糙,显然没有经过与业界深入讨论的过程,所以有些条款比较‘吓人’”,美国科文顿柏灵律师事务所高级顾问罗嫣说。不过,华为消费者业务隐私安全高级工程师范为指出,其实CCPA并不是完全没有铺垫。

她说,2015年美国就曾提出过一个消费者隐私权利法案,但是因为总统换届等种种原因,最终未获通过。“在这个法案制定过程中,企业参与非常多,很大程度可以代表行业共识,可以看出很多条文和理念与CCPA一脉相承”,她指出。

北京师范大学刑科院暨法学院副教授、中国互联网协会研究中心秘书长吴沈括也提到,从文本设计中就能看出法案制作的仓促痕迹,而这与欧洲议会要求美国最迟于9月1日之前实现欧盟和美国间的数据传输隐私盾协议内容的合规不无关系。

他认为,美国出台CCPA的时间节点把握得非常好,“如果按照之前的设计,法案可能10月才出,那时已经过了欧洲议会要求美国遵守隐私盾的截止日期;而CCPA将于2020年实施,正值欧盟大选结束,进入政治稳定期,所以这个时间节点非常好。”

目前,谷歌、苹果、AT&T等硅谷科技巨头普遍对CCPA持反对态度。罗嫣分析,CCPA明确了企业负有民事赔偿的责任,这意味着如果企业错误理解了条款,就可能面临民事集体诉讼;另外诸如给予消费者删除权的规定,也大大增加了企业的合规成本。

“当时GDPR出台之后,只是说企业有两年时间适应它;而考虑到美国政府、企业的利益平衡,CCPA完全可能在正式实施前的18个月里被改得面目全非”,她说。

清华大学法学院副教授梁翠宁曾任纽约州检察长办公室数据保护负责人,有十五年信息保护的相关经验。她表示,美国在隐私保护方面很早就有相关的立法保护,但是因为科技发展太快,立法可能过于仓促,有些问题无法用一个单词涵盖,导致很多词汇表意模糊,这时就会由法院来扮演补充、释法的角色。

“近几年美国公众对个人隐私权的意识有很大进步,但能不能赶上科技的发展,以及法律体系能不能赶上科技的发展,都还是很大的问题”,美国USITO研究员Ben Jacobs认为。

条款解析
“家庭”被列入个人信息,更关注产业利益

会上发布了CCPA的中文译本,由吴沈括、出门问问信息科技有限公司总法律顾问孟洁、海尔电器产业集团高级法律顾问薛颖、出门问问信息科技有限公司律师助理赵小琳合译。

孟洁介绍,从整体上来说,加州希望通过立法保护加州公民/居民知道哪些信息被收集、出售、披露的权利,同时保障他们在行使隐私权的时候依然能够得到同等的产品和服务,从而达到隐私权被充分保护的目标。

多名专家在会上指出,以把剑桥分析公司不正当使用Facebook用户数据的事件写进法案为例,CCPA的文本有很多创新之处。

CCPA的另一个重要创新是把“家庭”纳入了个人信息的范畴。孟洁举例说,在没有提到个人姓名的情况下,他整个家庭的纳税额、能源消耗量、IP地址都可以被定义为个人信息。“这在无形中扩大了欧盟的GDPR、中国的《个人信息安全规范》里定义的个人信息范围。”

“大家看CCPA对个人信息的列举,是不是觉得外延项列得特别多?尤其对设备的识别也落入了个人信息范畴”,薛颖指出,这样清晰的列举十分少见,但在内涵界定上,其实跟GDPR差别不大。她认为,世界各国关于隐私保护的法律其实是趋同的,同时可识别维度也随着信息展现形式的增多无限延伸,外延清单也就越来越长。

罗嫣也发现了这种趋同性。她说,尽管科技巨头大多反对CCPA,但是“没有哪家企业敢在电视上做大型广告公开反对”,因为没人愿意被认为反对隐私保护,“隐私保护是社会的一种趋同认识”。

尽管CCPA被认为对科技巨头“不太友好”,但不少专家认为,它其实对中小微企业展现了友好的一面。CCPA规定,只有满足年度总收入2500万美元、或者出售个人信息的年收入超过总收入50%等一系列条件的企业才需要遵守该法案。

“这些数值的出现说明(CCPA)在有意识地做小微企业豁免,中国很多公司做合规的成本很高,这个其实是好消息”,薛颖表示,本质上CCPA比中国的《个人安全信息规范》更鼓励个人信息的商业流通。

CCPA的特色还体现在美国独有的“通知”义务。它规定,收集消费者个人信息的企业应在收集时或收集前通知消费者关于要收集的个人信息的类别以及个人信息的使用目的。“根据GDPR,除了基本原则以外,还会给出合法性基础,比如用户必须明确同意,企业是为了履行经营活动或法定职责等,但在CCPA没有提到这些”,孟洁说。

吴沈括认为,这恰恰反映了美国对产业利益更为关注:“只要有合法性基础,我通知你了,我就可以处理你的个人信息,同时给你对冲机制,你可以要求删除和退出。” 竞天公诚律师事务所律师冯坚坚指出,这是带有美国标签的免责特色。

而在如何行使退出权上,孟洁认为CCPA比GDPR更有亮点。她介绍,CCPA要求企业在互联网主页上提供清晰明显的“不得出售个人信息”的内容,而且要放到两个地方:一是隐私政策里,另一个则是任何关于加州消费者隐私权的描述里。

对比GDPR
两者“殊途同归”

CCPA通过的时间恰好是GDPR正式实施之后的一个月。作为世界最大的经济体之一,欧盟和美国立法在世界范围内有深远影响,很多跨国企业将同时受到两者的管辖。因此,对两者进行比较显得尤为必要。

欧盟《一般数据保护条例》(GDPR)于今年5月25日正式实施。

范为曾在欧洲一线做GDPR的合规工作。在她看来,CCPA和GDPR存在着出发点上和价值观上的区别。

她解释,CCPA的基本初衷是规范数据的商业化利用,因为美国在数据经纪产业有“肥沃土壤”;而GDPR的出发点是保护基本人权。具体来说,CCPA对个人数据的使用是“原则上允许,有条件禁止”,而GDPR则相反,是“原则上禁止,有合法授权时允许”。

此外,CCPA中没有数据跨境方面的限制,但GDPR就比较严格。“这是由于背后的经济驱动”,范为说,“美国鼓励数据流动,因为全球数据主要流向美国。”

尽管两者差异不小,但范为表示,她最大的感受还是CCPA和GDPR的“殊途同归”,尤其是CCPA中关于消费者的访问权甚至包括有权获取数据副本,“这样的规定出现在美国法律中比较令人惊讶”。另外在鼓励数据流通、降低中小企业合规成本方面,也有比较强的共通性。

她在与美国全球化企业交流的过程中感受到,GDPR对美国的行业产生了深刻影响。GDPR对于它们不仅是在欧洲开展业务需要遵守的要求,往往还会被扩展适用到全球业务。由CCPA的条文可以看出,GDPR对美国的影响也扩展到了立法层面。

孟洁也认为,从整体上看,CCPA有一些跟GDPR类似的地方,但是很多地方又不完全重合,甚至广于GDPR的例外要求,这是它比较有特色的地方。

CCPA的出台是否意味着企业只要满足它就可以不做GDPR合规了?孟洁的答案是“NO”。她强调,全球企业都应该同时并全面地满足CCPA、GDPR以及其他隐私制度要求。

文/蒋琳 尤一炜

声明:本文来自南方都市报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。