2018年6月28日,在欧盟《通用数据保护条例》(简称GDPR)正式生效一个月后,大洋彼岸的美国加利福尼亚州紧随其后,通过了一项旨在加强消费者隐私权和数据安全保护的法案,即《2018加利福尼亚消费者隐私法》(California ConsumerPrivacy Act of 2018,简称CCPA)。美国相关媒体分析指出,CCPA与GDPR内容和目的类似,如果说GDPR被称为欧盟“史上最严”的数据保护法,那么CCPA则是全美最严厉的隐私保护立法。

一、《加州消费者隐私法》出台背景

2017年2月7日,CCPA首次被提交议会进行“一读”,揭开了加州消费者隐私保护立法的序幕。与欧盟长达数年的个人数据保护立法改革不同的是,仅仅在一年四个月后,加州的隐私保护立法就获得了通过。不可否认的是,CCPA的快速制定和通过除了受到欧盟GDPR正式实施的影响外,也与加州的法律传统、科技互联网产业发展以及近年来数据泄露安全事件频发紧密相关。

一是良好的立法基础。虽然美国对个人隐私保护的立法规则相对比较宽松,但并不意味没有隐私保护立法。早在1972年,加州选民修改加州宪法之际,就将隐私权纳入到公民“不可分割”的权利之中,为每位加州公民确立了法定的隐私权。在宪法的基础上,加州立法机构先后通过了《线上隐私保护法》《数字世界中加利佛尼亚未成年人隐私权法》等旨在保护加州公民隐私权的法律。这也为2018年《消费者隐私权法》的出台奠定了良好的立法基础。

二是产业发展和公民权益保护的需要。加州是硅谷所在地,是全球科技、互联网及相关新兴产业发展的引领者。随着数据在企业生产和人民生活中扮演着越来越重要的角色,许多企业都从加州消费者中收集大量的个人信息,消费者向企业分享的个人信息也在不断增加。但与此同时,由于法律本身所具有的滞后性,加州的立法并未能给消费者隐私权提供相应充分的保护。鉴于此,立法机构加快了消费者隐私权立法保护的进程。

三是基于现实数据泄露安全事件的考量。加州立法部门指出,未经授权而披露个人信息以及隐私的丢失,会对公民权益产生至关重要的影响,引发包括金融欺诈、身份窃取、财物损失、骚扰、精神压力甚至是潜在的身体伤害。特别是2018 年3 月媒体所揭露的“脸书数据泄露事件”,超过5000万用户的数据被一家为政治竞选提供数据分析的公司剑桥分析所所滥用,引起了包括立法部门在内的高度重视。因此,其对隐私的掌控要求和对数据操作中的透明化要求更加严格,并且将其通过立法予以落实。

二、《加州消费者隐私法》的主要内容及分析

CCPA包括立法机构摘要和四节内容。摘要简单介绍了法律的主要内容和实施日期。第一节法律的官方名称,即《2018年加州消费者隐私法》;第二节介绍了立法机构的认定和申明,主要是立法的背景情况;第三节是法的主体内容;第四节主要是规定何条款被认定无效不影响其他条款的适用。本文主要介绍第三节,即法律本身的主要内容。

(一)明确了适用范围

与美国传统隐私保护中根据不同行业分散立法模式不同,此次加州CCPA普遍适用于收集加州消费者个人信息的企业。根据CCPA的相关规定,在加利福尼亚州开展相关业务(business)收集加州消费者个人信息的主体(包括独资企业、合伙、有限责任公司、公司、组织或其他为盈利而组建的法律实体),其本身及其母公司或者子公司在满足以下列情形之一的,需要遵守CCPA的要求:(A)年总收入超过2500万美元,根据1798.195 节第(a)分部第(5)段调整;(B)单独或合计地,基于商业目的,年均购买、接收、出售或分享超过50 000 消费者、家庭或设备的个人信息;(C)年收入不低于50%来自出售消费者个人信息。

法律进一步指出,这里的“消费者”指属于加州居民的自然人。收集和使用某个消费者的个人信息,如果商业行为的每个方面均完全是在加州境外进行的,那么本法所对企业施加的限制和义务将不适用。但是法律也明确规定,不允许企业在消费者在加利福尼亚时存储(包括在设备上)有关消费者的个人信息,然后在消费者和存储的个人信息在加州境外时收集该个人信息。

(二)扩展了个人信息定义

根据CCPA的界定,“个人信息”是指识别、关联和描述的信息,可以直接或间接地被连接至或可以被合理地连接至某一特定消费者或家庭,个人信息包括但不限于下列内容:(A)标识符,例如真实的姓名,或是邮寄地址、唯一个人识别符、IP 地址的线上标识符、邮箱地址、账户名、社保号码,驾驶证证号、护照号或其他类似的标识符;(B)1798.80 节第(e)分部所描述的任何种类个人信息;(C)加利福尼亚法律或联邦法律项下受保护的分类的特征;(D)商业信息,包括个人财产、产品或所购买、获取或考虑的服务,或者其他购买或消费的历史或倾向;(E)生物识别信息;(F)互联网或其他电子网络的活动信息,包括但不限于浏览历史、检索历史以及有关消费者和网站、应用程序或广告的交互所产生的信息;(G)地理位置信息;(H)语音、电子、视觉、热量、嗅觉或类似的信息;(I)职业信息或相关雇佣信息;(J)教育信息,即《家庭教育权利和隐私法案》定义的不可公开获取的个人可识别信息;(K)从本分部界定的任何信息中得到的推论,前述信息旨在创建关于消费者的画像,以反映消费者的偏好、性格、心理倾向、犯罪倾向、行为、态度、智力、能力和天赋。

CCPA主要以描述加列举的方式对“个人信息”作了界定,与加州民法典以及其他隐私保护立法不同,CCAP对消费者个人隐私的定义范围更加宽泛,不仅将主体扩大到“个人和家庭”,也明确将生物识别信息、网络浏览记录等纳入个人信息的范畴,还对消费者画像作出了规定。与此同时,CCPA也明确规定,个人信息不包括可公开获取的信息,即根据联邦、州或者地方管理规定可以合法获取的信息。

(三)强化消费者隐私权利保护

CCPA将赋予消费者对其个人信息的更多的控制权,规范企业收集、使用、转让消费者个人信息的行为,主要包括数据披露请求权、数据删除权请求权、选择退出权、公平服务权以及诉讼权等。

一是信息披露请求权。CCPA规定,消费者有权请求收集消费者个人信息的企业向该消费者披露企业所收集个人信息的种类和具体的部分。收集消费者个人信息的企业应当在收集信息的时候或之前,告知消费者即将被收集的个人信息的种类、该种类的个人信息将被用于何种目的。在没有依据本节规定告知消费者的情况下,企业不得收集其他种类的个人信息,也不得将所收集的个人信息用于其他目的。收集消费者个人信息的企业应当依据规定披露已收集的有关消费者的个人信息的种类;收集个人信息的来源的种类;收集或出售个人信息的企业或商业目的;同企业分享个人信息的第三方的种类;以及已收集的有关消费者的个人信息的具体部分。

二是数据删除请求权。CCPA规定,消费者有权要求企业删除有关企业从消费者处收集的消费者个人信息,企业收到可验证的消费者删除消费者个人信息的请求,应当从其记录中删除消费者的个人信息,并指示所有服务提供者从其记录中删除消费者的个人信息。删除权的行使存在例外情况,例如,完成收集个人信息的交易,提供供消费者要求的商品或服务,或企业和消费者持续业务关系背景下的合理预期,或履行企业消费者之间的合同;检测安全事件,防止恶意、欺骗、欺诈或非法的活动;行使言论自由,确保其他消费者行使言论自由的权利,或行使法律规定的另外的权利;以及为遵守法律规定履行法律义务等。

三是退出选择权。CCPA规定,任何时候,消费者均有权要求向第三方出售该消费者个人信息的企业不得再出售该消费者的个人信息。向第三方出售消费者个人信息的企业应当根据CCPA的规定,告知消费者此种信息可能被出售,以及消费者有免于个人信息被出售的选择退出权。企业在收到消费者不出售其个人信息的指示后,依据CCPA的规定,自收到消费者指示时起即不得再出售消费者的个人信息,除非随后得到消费者就消费者个人信息出售的明确授权。

四是公平服务权,也即禁止歧视。CCPA明确禁止企业歧视要求访问、删除或选择停止销售其个人信息的消费者,包括但不限于:(A)拒绝向消费者提供商品或服务;(B)对商品或服务收取不同的价格或费率,包括通过使用折扣或其他福利或处罚;(C)如果消费者根据本标题行使消费者权利,向消费者ᨀ供不同级别或质量的商品或服务;(D)向消费者暗示其将接受不同的商品或服务价格或费率,或不同水平或质量的商品或服务。但是,CCPA并不禁止企业向消费者收取不同的价格或费率,或向消费者提供不同级别或质量的商品或服务,如果这种“差别服务”与通过消费者数据提供给消费者的价值合理相关。

五是诉讼权。如果个人信息受到未经授权的访问和泄露、盗窃或披露,且是由于企业违反保护个人信息的义务造成的,该义务是实施和维护合理的安全程序和与信息的本质相适应的实践,消费者可以提起民事诉讼。

(四)未成年人特殊保护

对未成年人信息加以特殊保护是各国立法的通行做法,美国早在1998年的“儿童在线隐私保护法”(The Children's OnlinePrivacy Protection Act)中就对13岁以下儿童的隐私权保护作了规定,要求收集或使用其的任何个人信息,必须征得父母同意。CCPA继承了美国立法保护未成年人隐私的传统,规定在消费者是未成年的情况下,若没有得到关于出售该未成年消费者个人信息的同意,则出售行为被禁止。如果企业确实知晓消费者未满16 周岁的,则企业不得出售该消费者的个人信息,除非该消费者在13 到16 周岁之间,且对出售消费者个人信息的行为进行了肯定性授权,或者该消费者虽不满13 周岁,但其父或母或监护人进行了此类肯定性授权。企业故意忽视消费者年龄的,应被视为确实知晓该消费者年龄。

此外,CCPA还就“收集”“处理”等术语的界定、违法处罚以及下一步法律实施适用等问题作了规定。

三、小结

从法律内容上来看,CCPA赋予了消费者更多的权利,给企业施加了更严苛的义务,与当前全球个人信息保护立法的发展趋势基本一致。因此,有观点认为,CCPA与GDPR是殊途同归,但从立法价值来看,欧盟和加州是存在本质上的差异的。GDPR将个人数据权作为一种基本人权,其立法目的是强化对数据权利的保护,原则上禁止商业使用,例外情况下合法授权允许;而CCPA的立法意旨更多是出于规范数据商业利用的目的,原则上允许出售等商业使用,在特定条件下禁止。

从影响力来看,CCPA的对利用个人信息的规范不仅限于加州或者美国。加州是全球科技创新和互联网发展的中心与引领者,对全球经济发展也有着举足轻重的影响,很多跨国公司在加州设有分公司,加州企业在全球也设有很多分支机构,这些企业也可能需要遵守CCPA的相关要求。

根据法律的规定,在2020年1月1日正式生效当天或者之前,司法部长应当征广泛征求公众参与,通过接受法律而进一步促进立法目的的实现。因此,反对者和部分议员认为,CCAP也还存在变数,法律本身可能会在2020年之前得到修改和完善。

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。