美国《加州消费者隐私保护法案》(CCPA)已生效 ——最严数据保护法案要易主了吗？

前言

数字化技术给各行各业带来了颠覆性的变革。继2018年5月25日，欧盟《通用数据保护条例》（“General Data Protection Regulation”，简称“GDPR”）正式实施并陆续由各欧盟成员国开出大额罚单后，西太平洋的另一部重量级隐私保护法律《加州消费者隐私保护法案》（“California Consumer Protection Act”，简称“CCPA”）已于2020年1月1日生效。本文旨在分析美国加州CCPA与欧盟GDPR对数据主体权益保护的异同，协助有出海业务的中国企业做好数字化转型的商业合规。

立法背景

（一）GDPR —— 立法者意志的体现

欧洲的个人数据保护意识由来已久，早在1995年10月24日，《欧洲数据保护指令》(指令95/46/EC，简称“95指令”)就已对个人资料的处理和资料的自由流动对个人的保护作出规定。互联网技术的飞速发展及应用的普及，昭示着数字经济时代必将到来，欧洲立法者逐渐意识到数据保护法规亟需完善。

2011年6月22日，欧洲数据保护监管机构（“EDPS”）便发表了一份关于欧洲委员会通讯的意见。次年1月，欧盟委员会提议对欧盟“95指令”进行全面改革，以加强网络隐私权，促进欧洲的数字经济。同年3月，EDPS采纳了欧盟委员会数据保护改革方案的意见，并由第29条工作组（“WP29”）通过了一项关于数据保护改革提案的意见。2014年3月12日，欧洲议会在全体会议上以621票赞成、10票反对、22票弃权的结果对GDPR表示了强烈支持。2016年4月27日，GDPR文本正式通过，并同时规定废止“95指令”。2018年5月25日，GDPR正式生效，自此欧盟数据保护委员会（“EDPB”）取代第29条工作组行使相关职权。[1]

（二）CCPA —— 消费者隐私保护意识的崛起

与立法者推动欧盟GDPR诞生所不同的是，加州消费者隐私法案“CCPA”最初是由地产大亨Alastair Mactaggart与其团队在2017年11月发起的。原是一项关于隐私保护的倡议投票，以完善加州隐私法律体系，最终竟获得超60万人签名，但当时被科技巨头们纷纷反对。

2018年4月，因扎克伯格参加美国国会参议院司法委员会和商业、科学和交通委员会联合举行的听证会提出的证词，导致Facebook撤回了对加州隐私保护法案的反对意见。随即在同年5月，“加州消费者隐私组织”宣布已经获得足够数量的签名，《加州消费者个人信息披露和销售倡议》（Californian Consumer Personal Information Disclosure and Sale Initiative）将会在11月进行全民投票。2018年6月28日，州议会成员Ed Chau和州参议员Robert Hertzberg通过了2018年《加州消费者隐私法案》（“CCPA”）。自2018年9月至2019年10月，CCPA已完成多次修正，并于2020年1月1日正式开始生效。

（三）基本立场和出发点：基本人权vs 消费者权益保护

• GDPR 的条款设计主要基于监管者的立场，以保护基本人权为出发点。强调有关责任主体主动规范数据处理的行为。数据使用“原则上禁止，有合法授权时允许”。

• CCPA则偏向消费者的立场，侧重规范数据的商业化利用。数据使用“原则上允许，有条件禁止”。

（四）适用对象：海外适用 vs 属人原则

• GDPR 采用属地+属人+保护原则

主要适用于在欧盟内部设立的数据控制者或处理者。但如果存在以下几种情况，即使控制者和处理者没有设立在欧盟内，GDPR同样适用：

1.   向欧盟境内数据主体提供商品和服务的（不论该商品或服务是否需要支付对价）；

2.   监控数据主体在欧盟境内行为的；

3.   对个人数据的处理由欧盟外控制者进行，但根据欧盟成员国法律可以通过国际公法适用于该控制者所在地的；

• CCPA采用属人原则

CCPA 约束的是处理加州居民个人数据的营利性实体，且要求：年度总收入超过2500万美元，或为商业目的购买、出售、分享超过50000个消费者、家庭或设备的个人信息，或通过销售消费者个人数据取得的年收入超过总收入50%。

与GDPR的规定类似，CCPA也会对州外企业的违法行为产生法律效力 —— 即公司在加州没有办公室或雇员，但在加州做生意，也可能受CCPA约束。

 个人权利与企业义务

（一）对“个人信息”的定义

• GDPR：个人信息范围更广泛

约定“个人数据”指与已识别或可识别的自然人(“数据主体”)有关的任何数据；可识别的自然人是指可以直接或间接地特别是通过以下标识确定的，比如名字、身份证号码、位置数据、在线标识或自然人特定的一个或多个物理、生理、遗传、心理、经济、文化或社会身份要素。

• CCPA：个人信息保护范围更具体并有除外条款

“个人信息”系指直接或间接地识别、关系到、描述、能够相关联或可合理地连结到特定消费者或家庭的信息，包括但不限于以下内容: 诸如真实姓名、别名、邮政地址、社会安全号码、驾驶证号码、护照号码、商业信息、生物信息、电子网络活动信息、地理位置数据、音频、电子、视觉、热量、嗅觉或类似信息、职业或就业相关信息等。

综上可见，CCPA对于个人信息的定义比GDPR更为具体、全面，并侧重于消费者和家庭信息。此外CCPA还特别规定“个人信息”不包含：

1. 公开可得信息，即从联邦、州或地方政府记录中可合法获取到的信息，但需要同时满足：

（1）不属于在消费者不知情的情况下收集的生物特征信息；（2）数据使用目的与政府记录中维护和提供数据或公开维护数据的目的一致。

2. 也不包含去标识化的或已聚合的消费者信息。

（二）主要数据权利与义务类型

与GDPR相比，CCPA规定的主要数据权利与义务类型差异性较大。在个人权利方面，除了通知数据主体、数据访问权、被遗忘权都有所规定之外，CCPA并没有直接对更正权、数据主体的反对及撤销同意权加以规定，不过赋予数据主体选择不销售个人信息权和享有平等服务与价格的权利，更体现其侧重规范数据的商业化利用的特征。

在企业义务方面，两部法律均要求企业采取一定的安全措施及遵守服务提供商协议，但是CCPA未对数据泄露通知做明确要求。此外，CCPA对数据处理、跨境传输、公司治理等问题并未涉及。

（三）隐私政策的法律要求

以上图表可以看出，在隐私政策条款设置方面，CCPA相较GDPR而言有更特殊的规定，例如需要在网站或隐私政策相关的通知中增加“不要出售我的个人信息”的链接，还需要对企业与服务提供商所共享的信息类型。

（四）数据访问权

数据访问权是指数据主体具有要求企业确认是否有关于他或她的个人信息的，以及访问收集的个人信息的类型和索要副本的权利。

GDPR对于数据访问权的规定更全面，它除了赋予数据主体访问处理数据的目的、类型、接收者、数据收集来源的任何信息之外，还包括存储预设期限、识别分析在内的自动化决策所运用的逻辑，以及对数据主体产生的法律效果或重大影响。在数据主体访问的方式方面，GDPR规定企业根据数据主体的具体要求提供多种访问方式，而CCPA规定企业提供不少于两种以上的方式即可，如电话、网页或邮件等。

（五）删除权（被遗忘权）

简单来说，删除权（又称被遗忘权）是指数据主体有权要求企业删除其数据的权利。该权利因对个人数据的商业化利用影响较大，因此颇受争议。虽然GDPR对该权利设置了相应的豁免情形，但是部分豁免条款界限不清，很容易导致企业因未满足数据主体的删除权要求而受到制裁。

相比较而言，CCPA因侧重规范数据的商业化利用，因而在豁免类型方面比GDPR要清晰很多，企业只需要符合规定的豁免情形，即视为合规。

（六）选择不销售个人信息权/选择退出权

CCPA 的“选择退出权”是指个人有权指示公司不得出售其掌握的个人信息。CCPA并不是第一个授予个人选择退出组织使用或披露其信息的权利的法律。其他联邦法律，包括《金融服务现代化法案》(“GLBA法案”)和《控制非自愿色情和促销攻击法案》(“CAN- SPAM法案”)，都包含了某些选择退出的要求。

GDPR 没有专门针对出售个人信息的条款约定，但赋予了反对处理个人信息或撤销同意的有限权利。GDPR第21条规定，若个人数据处理是用于直销（direct marketing）的目的，数据主体有权随时拒绝为此类营销目的而处理其个人数据的行为，包括一定程度上关联到这种直销的分析行为。同时，第7条也规定了数据主体有撤销同意的权利。

（七）选择销售个人信息权/选择加入权（未成年人）

CCPA 的“选择加入权”是指企业不得出售未满16岁消费者的个人信息，除非该企获得“选择加入”的同意，即，对出售信息的明确授权（affirmative authorization ）：

• 如果孩子的年龄在13岁到16岁之间，他们可以直接向企业提供必要的授权许可。

• 如果孩子不满13岁，父母或监护人必须提供明确授权。

在美国，《儿童在线隐私保护法》(" COPPA ")要求公司告知家长，公司是否向第三方(例如，他们是否出售信息)披露了儿童的信息，然后获得家长或监护人的选择同意。与CCPA不同，COPPA仅适用于从13岁以下儿童收集的信息。

GDPR 规定，“信息社会服务” ( Information Society Service )不得收集16岁以下儿童的信息，除非它告知家长该公司是否向第三方披露儿童信息，并获得家长或监护人的选择同意。另外各成员国允许颁布自己的立法，将要求父母同意的年龄降低到13岁。

（八）安全措施及处罚

在安全措施及处罚方面，虽然CCPA的安全标准几乎与GDPR使用的标准相同，但它明显倾向于私人诉讼的执行，而GDPR则通过监管机构来激励执行。另外，违反GDPR条款的单次处罚金额明显要比CCPA大得多，但若结合CCPA侧重私人集体诉讼的特点来看，因数据安全事故波及人数普遍较多，企业实际损失金额依旧不容小觑。

监管机制

GDPR的主要监管机构为欧盟数据保护委员会（EDPB）及各成员国数据监管机构，而CCPA为加州司法部长。在罚金方面，如前所述，违反GDPR条款的单次处罚金额明显要比CCPA大得多。此外在个人救济机制方面，两部法律均赋予数据主体诉讼权利，但CCPA为了防止个人集体诉讼的频繁出现，给司法机关及企业造成负担，还给予企业30天内解决违规行为的缓冲期：企业如果在30天内纠正了违规行为且不会再发生此类行为，则不会产生相关的民事损害赔偿诉讼。

CCPA于2020年1月1日正式生效实施，预示着企业在数字化经济转型过程中的新角色、新义务、新要求。

商业模式的IT化、SaaS化、PaaS化、移动化、智能化融入各个行业的速度比我们预想中的要迅速的多。这些根本性的变革，各国立法者已经通过类似GDPR,CCPA等立法设立了法律红线，提示企业需要遵照执行。

技术本身是为了顾客创造新的价值，而非侵犯客户的合法权益。对于企业数字化转型过程中产生的数字资产，需要在合法合规的红线范围内挖掘新价值。正如比尔.盖茨所说，既保护客户的隐私又以一种正面积极的方式使用数据，这两个目标是可以同时达成的。而最终，每个国家都会逐渐建立起一套类似于GDPR的监管体系。