查看原文
其他

域外观察 | 美国加州参议院通过“数据经纪人”相关修订条款 聚焦消费者集中行使删除权

全文约1300字,预计阅读时间8分钟

文 | 张君蔓 中国信息通信研究院互联网法律研究中心助理研究员


2023年5月31日,美国加州参议院通过对“数据经纪人”相关条款的修订(以下简称“本修订”)。2018年,加州消费者隐私法案 (California Consumer Privacy Act of 2018,“CCPA”)授予消费者被企业收集或出售的个人信息有关的各种权利,包括要求:(1)要求企业披露已收集的有关消费者的特定信息的权利;(2)要求企业应删除有关消费者的个人信息的权利;(3)要求企业不出售或共享消费者的个人信息等。同时,CCPA建立加州隐私保护局,并赋予该机构执行 CCPA 的相关权力。另外,CCPA要求数据经纪人需在加州司法部长处注册,并支付一定注册费、披露一定信息等。本修订针对数据经纪人做了如下更改:
一是变更数据经纪人管理机构。本修订将统筹数据经纪人相关规定,更改数据经纪人注册机构为加州隐私保护局,由加州隐私保护局收取注册费用,并维护数据经纪人信息公开网站。二是变更数据经纪人登记信息以及公开途径。数据经纪人登记时需要提供:(1)数据经纪人的名称、主要物理位置、电子邮件及网站地址;(2)收到隐私请求等内容的情况记录;(3)是否收集未成年人个人信息;(4)是否收集消费者精确地理位置信息、(5)是否收集消费者生殖与健康信息;(6)合规审计情况(从2029年起);(7)数据经纪人网站的消费者行使个人信息权利相关途径页面等。数据经纪人的登记信息将由加州隐私保护局通过网站向公众披露。三是要求加州隐私保护局建立通用消费者个人信息删除机制及具体要求。一方面,本修订要求加州隐私保护局建立通用消费者个人信息删除机制,也就是允许消费者通过单次身份验证,则可以删除任何数据经纪人(包括其相关的服务提供者和合同方)持有的该消费者的个人信息。另一方面,明确前述通用消费者个人信息删除机制的具体要求。首先,本修订要求从2026年8月1日开始,数据经纪人至少每31天访问一次该系统,对消费者相关申请进行处理。其次,自2028年1月起,每三年数据经纪人需要向加州隐私保护局提交由独立第三方完成的审计报告以证明其履行了删除相关义务。最后,本修订授权加州隐私保护局向数据经纪人收取费用以使用该删除系统。
数据经纪人相关条款修订后,美国舆论存在两种完全相反态度。一方面,部分言论认为该法案落实了消费者个人信息删除权。加州参议员贝克(Josh Becker)介绍该法案时,也表示“本法案基于一个非常简单的前提,加州消费者应该可以控制谁访问他的个人信息以及利用他的个人信息的行为”。CCPA授予了消费者个人信息删除权,但前提是消费者可以知悉处理其个人信息的公司名称、联系方式等信息,并单独联系每个这样的公司对其个人信息进行删除,这显然可操作性很低。另外,部分言论认为由于个人信息大量流通导致了当前日益严重的隐私犯罪。另一方面,部分言论认为该法案将严重打击数据经纪人产业。部分数据经纪人表示,他们通常只提供无法识别到个人的信息数据,该法案无法改变隐私泄露相关问题,并且会很大程度上限制行业的发展。另外,联邦执法人员协会主席拉里·科斯梅(Larry Cosme)表示该法案将对刑事调查产生严重影响。国土安全部退休人员相关人员表示,来自数据经纪人服务的信息帮助解决和预防剥削儿童的相关案件,而此删除机制可能导致该目的无法实现。
END


往期精彩回顾



域外观察 | 赢得未来的7项关键技术中心会议 | 《数据安全法》出台两周年研讨会在京顺利召开域外观察 | 日本修订《个人信息保护法》,呈现六大亮点域外观察 | GDPR赋予了数据主体算法解释权吗?月度热点 | 国际ICT立法跟踪5月热点域外观察 | 新西兰信息专员办公室发布《生成式人工智能指南》要求AI企业遵守《隐私法》域外观察 | 欧盟委员会根据《数字服务法》指定第一批超大型在线平台和搜索引擎域外观察 | OECD发布《人工智能语言模型》报告域外观察 | 欧洲议会关于“通用人工智能”的观察动态观察 | 欧盟成员国GDPR重点执法案例汇编(2023.04)动态观察 | 主要国家和地区AIGC监管动态汇总月度热点 | 国际ICT立法跟踪4月热点中心活动 | 网络空间治理“三人谈”:“吃瓜”要有度 底线不能丢域外观察 | FCC垃圾短信和骚扰电话治理规则简析中心研究 | 数据法案例(一)—Meta爱尔兰案(个性化广告的合法性基础之辩)域外观察 | 美国智库发布《全球云竞争概述》认为中国全球云竞争存在优势域外观察 | 欧盟稳步推进《媒体自由法》,将强化对媒体自由的保护域外观察 | 美-荷-日半导体出口管制协议“可窥一斑”中心研究|从最高检发布的典型案例看如何保护生物识别信息域外观察|美国发布《促进数据共享与分析中的隐私保护国家战略》域外观察|欧盟委员会发布2023-2024年数字欧洲工作计划动态观察|欧盟成员国GDPR重点执法案例汇编(2023.03)月度热点 | 国际ICT立法跟踪3月热点域外观察|ChatGPT遭遇数据泄露,人工智能安全如何保证?域外观察|国外隐私增强技术监管和实践域外观察 | 欧洲数字身份提案最新进展专家解读|推进依法行政 护航数字经济高质量发展域外观察|美国商会发布《人工智能委员会报告》专家解读|新时代网络法治建设稳步推进 制度体系持续完善专家解读|《新时代的中国网络法治建设》彰显网络法治建设是全面依法治国的题中应有之义月度热点|国际ICT立法跟踪2月热点
动态观察|欧盟成员国GDPR重点执法案例汇编(2023.02)动态观察|欧盟成员国GDPR重点执法案例汇编(2023.01)域外观察|美国CSIS发布《投资于联邦网络弹性》报告域外观察|美智库研究认为两类网络安全问题值得关注
中心研究|《个人信息出境标准合同办法》出台,具体场景适用可参考欧盟成熟经验中心研究|欧盟发布《医疗数据空间条例》,为重点行业数据共享提供经验域外观察|联合国发布《隐私增强技术指南》中心研究|我国主要立法中数据处理者相关评估义务规定研究域外观察|瑞典发布一份欧盟《数据法案》妥协方案域外观察|ITIF发布《不损害人工智能创新发展的十项监管原则》报告域外观察|美国NIST发布《人工智能风险管理框架》年度观察|2022年网络法治盘点与回顾(一):数据治理篇年度观察|2022年网络法治盘点与回顾(二):数字平台篇
年度观察|2022年网络法治盘点与回顾(三):数字内容篇
年度观察|2022年网络法治盘点与回顾(四):数字安全篇
中心会议│第六届互联网法律研讨会在京顺利召开中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?中心研究|2022年美国ICT领域重要立法进展
中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
中心研究|《数字市场法》案例梳理系列—(一)谷歌购物案
中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何中心研究 | 我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》,加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察 | 欧盟《网络弹性法案》研究报告域外观察|亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析
域外观察|爱尔兰DPC针对Meta爱尔兰公司的数据泄露问题做出决定
域外观察|美国出口管制政策真的能扼制中国AI发展未来吗?域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)
域外观察|国外聚焦“黑暗模式”探索监管路径域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》专家解读|加快规范深度合成技术应用

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存