涉外法律|CCPA 案件中原告面临的五大障碍

依据CPPA相关规定，CCPA 授予消费者访问和控制其个人信息的权利，同时，附加给企业以数据保护的义务。

例如，CCPA 允许个人选择不出售其个人信息。而企业必须在收集其个人信息之前发出通知。如果企业未能履行这些义务，可能面临严重违法的后果。

但是，CCPA所规定的权利和义务很少与私人诉讼权相关，因此只有在个人信息因数据泄露而被盗时，个人才被允许提起诉讼。

CCPA 对“数据泄露”的定义非常具体。根据 CCPA，必须满足以下四个相互关联的要素才可以被定义为数据泄露：

1）未经授权的访问，并且

2）数据被泄露、盗窃或披露，其原因是

3）违反了为保护个人信息而实施和维护的安全措施，同时

4）该信息的种类应是法律所保护的。

因此，要确定企业或机构存在可以被起诉违规行为，作为个人的原告不仅须证明其个人信息受到了未经授权的访问，还须证明个人信息泄露的发生是因为被告没有依法实施和维护保护个人信息安全的合理措施。

例如，如果一家企业只是丢失了原告的个人信息——而原告无法证明它被访问过——那么原告则将无法根据 CCPA 提起诉讼。

这里，我们将 CCPA 对数据泄露定义与 GDPR 的定义进行一下比较。GDPR规定“违反安全措施导致意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据。”比较而言，CCPA 的定义无疑更窄。

CCPA 本身包含一个特别宽泛的对“个人信息”定义。但该定义却不适用于私人诉讼的情形。

对于私人诉讼的情况，CCPA只承认取自《加利福尼亚州的数据泄露通知法》中对于“个人信息”的定义。

简单来说，该《数据泄露通知法》中规定的“个人信息”需同时包含个人的姓名和以下几种特定的信息：

1）政府颁发的用于验证其个人身份的唯一ID号，如社会安全号码，驾驶执照号码，加州身份证号码，税号，护照号码，等；

2）帐户或信用卡号，以及访问帐户所需的信息，如安全码，密码，等；

3）医疗信息；

4）健康保险信息；

5）生物识别信息，如指纹，虹膜图像等。

举例来说，如果个人的以下信息被企业泄露，则不能根据 CCPA 提起诉讼：

1）其姓名、电话号码和私人地址；

2）其姓氏和病史，但没有泄露名字和姓名首字母

3）其姓名和信用卡号，但没有泄露安全码。

但是如果企业同时泄露了个人的姓名以及其社会安全号码，个人则可能可以根据 CCPA 提起诉讼。

即使原告的私人诉讼已经满足上述要求，其仍然需要提前三十天通知企业，以便企业可以改正其违反 CCPA 的行为。如果企业已经设法在规定时间内纠正违规行为，则可以避免诉讼。

假设原告已经清除了 CCPA 的所有其他障碍，其仍须满足美国宪法第三条的适用性，才能达到起诉的最低要求。

根据《联邦民事诉讼规则》第 12 (b) (1) 条，除非原告遭受了“事实上的伤害” 法院将驳回原告的投诉。这意味着：

1）原告所受伤害必须是具体和实际的；

2）原告所受伤害与被告有因果关系：

3）且原所受伤害很可能会通过有利的判决得到补偿。

根据第九巡回法院（涵盖加利福尼亚州）的解释，数据的“敏感性”是衡量原告是否受到“事实上的伤害”的重要因素。

这就是为什么依据CCPA对万豪提起的集体诉讼失败了。尽管万豪泄露了原告的“姓名、地址、电话号码、电子邮件地址、性别、出生日期和忠诚账户号码”。但万豪成功辩称原告不具有宪法第三条的适用性，即，他们没有受到“事实上的伤害。

鉴于万豪案的裁决，依据CCPA的私人诉讼权本身的可行性受到质疑。

笔者认为，要使消费者能够成功诉讼并获得损害赔偿，须对 CCPA 的私人诉讼权相关法律进行修订，应扩大“个人信息”的定义，将电子邮件地址和密码包括在内。对消费者进行更加全面的保护。