涉外法律 | 简述美国加州个人隐私保护法案

关键词：区块链；人工智能；大数据；智能合约；涉外法律服务；专业律师

本期关键词：《个人信息保护法》；《加州消费者隐私法》；《加州隐私权法案》

本文约3300字，大约需要阅读8分钟。

《个人信息保护法》于8月20日颁布，我们也通过立法动态 | 蹭热点：《个人信息保护法》的八个“不得”和立法动态 |蹭热点：《个人信息保护法》个人信息处理者应当遵循的十一条义务两篇文章对新法的内容做了简单的梳理。近年来，个人信息保护立法在世界范围内如火如荼地展开，目前境外法规中以欧盟《通用数据保护条例》（以下简称GDPR），美国加利福尼亚州隐私保护法（CCPA&CPRA）为最具有影响力的法律文本。

之前我们已有推文简单介绍过欧盟《通用数据保护条例》赋予数据主体的权利GDPR赋予数据主体的权利，本文将介绍美国加州隐私保护法——《加州消费者隐私法》 (CCPA)和《加州隐私权法案》（CPRA）。

《加州消费者隐私法》（CCPA）

01

适用对象

如果企业从加州居民那里收到个人数据并且该企业（或其母公司/子公司）满足以下阈值中的一个或多个，则企业必须遵守CCPA的规定：

• 年总收入超过 2500 万美元（根据每个奇数年 1 月消费者价格指数的任何增长进行调整）；

• 每年购买、接收、出售或分享 50,000 或更多消费者、家庭或设备的个人信息；

• 其年收入的 50% 或更多来自出售消费者的个人信息。

02

适用范围：个人信息

个人信息的范围包括：

• 能识别的；

• 涉及到的；

• 描述；

• 能够与之相关联；或

• 可以合理地联系起来（直接或间接）

• 与特定的消费者或家庭。

个人信息的例子包括：

• 个人标识符

• 商业信息

• 生物特征信息

• 互联网或其他电子网络活动信息

• 地理位置数据

• 音频、电子、视觉、热、嗅觉或类似信息

• 专业或就业相关信息

• 教育信息（如联邦家庭教育权利和隐私法中所定义）

这里需要注意的是，公开信息包括从联邦、州或地方政府记录中合法提供的信息，不被视为个人信息。

03

个人权利

根据 CCPA，个人有权：

• 了解是否被收集个人信息以及被收集了哪些个人信息

• 要求企业删除其收集的任何个人信息

• 下载他们的数据（以使用不同的服务）

• 选择不出售他们的个人信息

• 选择加入信息销售（未成年人）

• 在不受歧视的情况下行使他们的权利

01

知情权

从加州居民处收集个人信息的企业必须在收集点提供通知（它可以是隐私政策的链接），其中包含收集的个人信息类别列表和每个类别的商业目的。他们还需要包括对 CCPA 权利的描述，并解释如何提出请求或接收更多信息。

个人可以要求企业对下列信息进行披露：

• 它收集的有关他们的个人信息类别

• 收集个人信息的来源类别

• 收集或出售个人信息的商业或商业目的

• 企业与之共享个人信息的第三方类别

• 它收集的有关他们的特定个人信息

02

删除权

加州居民可以要求企业删除从他们那里收集的任何个人信息。删除权规定的要求企业删除的个人信息不包括以下情形：

• 如果业务/服务提供商有必要维护它以完成收集它的交易

• 关于安全事件

• 防止恶意、欺骗、欺诈或非法活动

• 行使言论自由

03

下载权

加州居民个人有权下载他们的数据，以便他们可以将其用于不同的服务。企业必须免费提供此服务，并以可移植、技术上可行且易于使用的格式提供数据。

04

选择退出信息销售的权利

企业必须在其网站主页上提供一个明确的链接（声明“请勿出售我的个人信息”），该链接可以让个人（或授权代表）选择不出售其个人信息。

05

选择加入信息销售的权利

（未成年人）

当企业知道个人未满 16 岁时，只有在他们（13-16 岁）或其父母/监护人（13 岁以下）提供肯定授权的情况下，才能出售他们的个人信息。

06

不受歧视的权利

企业不得歧视行使隐私权的个人，包括：

• 拒绝商品或服务

• 对商品或服务收取不同的价格/费率（包括使用折扣/其他好处或施加罚款）

• 提供不同水平或质量的商品或服务

• 暗示此人将收到不同价格/价格的商品或服务或不同水平/质量的商品或服务

CCPA 不会阻止企业提供与个人数据价值合理相关的价格或服务差异。

04

其他内容

加州总检察长拥有主要执法权，可以对不遵守 CCPA 的行为人实行强制执行。企业可能会受到禁令的约束，并且每次违规将被处以不超过 2,500 美元的民事罚款，每次故意违规将被处以不超过 7,500 美元的民事罚款。

根据CCPA的规定，企业可在收到涉嫌违规行为的通知后 30 天内纠正任何涉嫌违规行为。

CCPA 包含一个内置的资助机制，称为消费者隐私基金。任何民事罚款或和解收益都存入该基金，专门用于抵消州法院和总检察长与 CCPA 相关的任何费用。

此外，在有限的私人诉讼权下，如果企业未能实施和维护合理的安全程序导致个人信息受到未经授权的访问，个人可以起诉要求赔偿损失：

• 访问和泄露；

• 盗窃；或

• 披露

每人每次事故或实际损失（以较高者为准）可获得 100 至 750 美元的赔偿。他们还可以获得禁令或宣告性救济（或法院认为适当的任何其他救济）。

《加州隐私权法案》（CPRA）

《加州隐私权法案》（CPRA）是一项在2020年大选中通过的全州性数据隐私法案，它强调了加利福尼亚作为美国数据隐私立法前沿的地位，大大扩展了于 2020 年 1 月 1 日生效的现有《加州消费者隐私法》 (CCPA)。

《加州隐私权法案》（CPRA）于 2020 年 11 月 3 日获得56%以上选民的通过，将于2023年1月1日全面生效，执行计划于 2023 年 7 月 1 日开始。回溯期为 2022 年 1 月 1 日，即从该日期起收集的数据应遵守该法案的规定。

在 2023 年 1 月之前，加州总检察长办公室将继续执行 CCPA。在此期间，人们仍然可以起诉在数据泄露中暴露其个人信息的企业，但在 2023 年 1 月 1 日之前无法起诉暴露用户名和密码。在过渡期间，CCPA授予的个人权利（以及附带的业务要求）将保持不变。

CPRA在内容上可相当于是 CCPA 的补充。加强加州居民的权利、收紧对个人信息使用的商业法规、并为全州范围的数据隐私建立一个新的政府机构加州隐私保护局 (CPPA) 的执法机构等规定是数据隐私制度的主要变化之一。

加州隐私权法案 (CPRA) 要点归纳

1、成立加州隐私保护局 (CPPA) 作为 CPRA/CCPA 数据隐私制度的主要执行者和监督者。

2、改变了企业的定义，将小型企业排除在外，并包括通过收集、共享和（或）出售加州人的个人信息 (PI) 产生大量收入的大型企业。
3、赋予加州居民四项全新权利和五项修改后的权利。

4、创建新类别敏感个人信息 (SPI)，该类别单独监管且比个人信息 (PI) 更强。
5、更改选择退出权，以专门规范跨上下文行为广告及其对个人信息的使用。
6、让企业对第三方如何使用、共享或出售企业最初收集的个人信息负责。
7、在 CCPA 中添加了类似 GDPR 的规定。

8、扩大了同意要求以涵盖更多场景。

01

新权利

纠正不准确信息的权利

当加州居民行使访问信息的权利并且提供的信息不准确时，他们可以要求企业更正该信息。然后，如果企业收到可验证的消费者请求（某些例外情况适用），则需要采取商业上合理的努力来更正该信息。

在数据最小化和目的限制下收集个人信息的权利

企业需要尽量减少对个人信息的使用、保留和共享，以达到实现信息收集目的的合理必要和相称。

从计划使用敏感个人信息的企业收到通知并要求他们停止的权利

如果企业计划收集或使用任何敏感的个人信息，则需要特别通知加州居民，个人可以要求企业停止出售、共享和使用这些信息。此类信息包括：

• 显示社会保障、驾驶执照、州身份证或护照号码的信息

• 帐户登录、金融帐户、借记卡或信用卡号以及访问代码、密码或凭据

• 精确定位

• 种族或族裔血统、宗教或哲学信仰或工会会员身份

• 邮件、电子邮件和短信的内容

• 基因数据

• 用于识别某人的生物特征信息

• 收集和分析的有关个人健康、性生活或性取向的信息

02

扩展权利

获取信息的权利

根据 CCPA 要求访问企业在过去 12 个月内收集的有关某人的个人信息的权利，CPRA将其扩展到包括收集的任何信息——无论何时收集——除非这样做证明是不可能的，或者需要付出不成比例的努力。

选择不与第三方共享信息的权利

CPRA阐明，加州可以选择不向第三方出售和共享他们的个人信息。这是 CCPA 下的一个争论点，其中出售的定义没有明确包括共享。

在企业公开用户名和密码时起诉企业的权利

CCPA 赋予加州居民在企业因未能使用合理的安全措施而导致数据泄露而暴露其个人信息时直接起诉企业的权利。CPRA对此进行了扩展，以涵盖暴露的个人信息包括用户名和密码的数据泄露。

03

创建新机构

CPRA创建了一个新的专门的隐私机构来处理相关执法问题，即加州隐私保护机构。它将由总督（任命主席和一名其他成员）、司法部长、参议院规则委员会和议会议长任命的五人委员会管理。这些被任命者必须具备隐私、技术和消费者权利领域的专业知识（有一些限制以帮助确保他们不受外部影响）。

董事会成员连续任职不得超过八年，在此期间可由其任命机构免职。在他们离开该机构后的两年内，他们也无法为目前遇到问题或在任命董事会成员之前的五年期间受到执法行动的任何个人或组织工作。

该机构由董事会任命的执行董事领导，部分资金来自执法行动，评估的任何行政罚款或结算收益直接进入消费者隐私基金。它还将每年从普通基金获得 10,000,000 美元（每年调整）。

新的加州隐私保护局最早可以在 2021 年 7 月 1 日或在通知司法部长准备开始制定规则后六个月开始行使其规则制定权。最终法规应在 2022 年 7 月 1 日之前制定。

陆续更新，敬请期待

如认为本文侵犯版权，请及时联系闪涛律师团队。

关键词：区块链；人工智能；大数据；智能合约；涉外法

团队介绍

闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域。

闪涛律师，广东广信君达律师事务所高级合伙人，广东外语外贸大学法学院教授、硕士研究生导师，中南财经政法大学博士研究生。

闪涛律师是中华全国律师协会涉外法律事务领军人才库人选，司法部“全国千名涉外律师人才名录”，司法部、全国律师协会“一带一路”跨境律师人才库首批成员，司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人，广东省涉外律师领军人才库成员。

案例分享 | 更新网站隐私政策的法律风险

立法动态 | 《关键信息基础设施安全保护条例》，网络安全保护再添坚强后盾

数据安全|个人信息处理中的“同意撤回权”

点一下在看再走吧