美加州消费者隐私法案(CCPA) 修正案汇总中译文(DPO沙龙出品)
2019年10月,美国加州州长正式签署五份对美国《加利福尼亚州消费者隐私法案》(California Consumer Privacy Act, "CCPA")的修正案。CCPA终于完成了漫长而艰难的修正之旅。经过DPO社群中热心同学的努力,CCPA修正案汇总中译文出炉了。现将译文序言贴出来。
译者序
美国《加利福尼亚州消费者隐私法案》(California Consumer Privacy Act, "CCPA")无疑是继欧盟GDPR后全球数据隐私领域最为引人关注的明星立法。和其诞生过程一样,2018年6月28日颁布的CCPA在美国也持续引发了很多争论,并随后在2018年9月和2019年9月的州立法会议期间均做了修订,其中2019年9月的修订是最为重要的和有实质性变化的CCPA立法进展。
CCPA修正之议案
2019年9月13日通过、10月10日经州长批准的五份修正案对2018年6月CCPA做了多方面修订:
议案 AB 1355 个人信息(2019-2020)
议案 AB-25 2018年加州消费者隐私法案(2019-2020)
议案 AB1564 消费者隐私:消费者提交披露信息请求的方法(2019-2020)
议案 AB1146 豁免:车辆信息(2019-2020)
议案AB874 2018加州消费者隐私法案(2019-2020)
2018年9月23日通过的参议院SB 1121号法案多为对2018年6月的CCPA做一些技术修订和行文澄清。
因此,2020年1月1日生效的CCPA并不是2018年6月颁布的原始法案(指AB-375号议案,加州Civil Code项下1798.100-1798.199),而是包括了2018年6月原始法案和2018-2019上述修正案的立法成果合集。目前官方尚未颁布一份清洁完整版的、体现了修正内容的CCPA,因此后续我们也会这一法典梳理并整理合集译文。
其他的数据隐私议案
2019年同期还通过的两份加州议案虽然并不是针对CCPA的修正案,但也是较为重要的与数据隐私保护有关的法案,因此我们也顺便一并翻译出来:
议案AB1202 隐私:数据经纪商(2019-2020)
议案AB1130 个人信息:数据泄露(2019-2020)
从2019年通过的CCPA修证案来看,此轮修订主要聚焦在给予某些行业/场景一定的豁免权以及对某些定义的调整。其中最为重要的几点修订简单列举如下:
(A) 关于员工个人信息的豁免
AB25号议案提出,企业收集与申请职位者或其员工有关的个人信息应享有豁免,这些信息包括紧急联络人以及其他所必需的个人信息。不过,这并不影响员工了解哪些个人信息被收集、被用于何种目的、为数据泄露提起私人诉讼的权利。但至少访问和删除权利不会适用于员工的个人信息。不过这一豁免规定是一个“日落条款”,只有一年期限(至2021年1月1日)。
(B) 关于B2B场景下获得的个人信息豁免
AB1564号议案豁免了企业在B2B环境下获得的特定个人信息。根据该修正案,在个人与企业进行交流或交易时,如果该个人以另一家公司的雇员或代表等专业身份出现,并提供了姓名、电子邮件、电话号码和其他个人信息,这些信息将不再需要按照CCPA的规定提供通知、访问权和删除权。如果企业出售此类个人信息,则该企业必须回应个人的“不销售”请求,但无需在其网页上显示“不销售此数据”。对于许多处在特定行业并受其行业数据隐私法管辖的企业来说(如金融机构、医疗企业等),这一B2B场景下的豁免规定会大大减少企业对于CCPA的合规负担。
AB1564号议案不再要求仅在线上运营的企业(仅有网站地址、没有线下实体)为消费者提供免费电话号码来进行数据隐私方面的联络。线上企业只需为消费者提供一个有效的电子邮件地址供其提交申请即可。
(C)对“个人信息”定义的限定
2018年6月CCPA的一大特点(亮点/槽点)就是对个人信息的宽泛定义。AB 874号议案回应了企业和各行业的这一重大关切,重新限定了个人信息的概念:在“个人信息”的定义中加上了“合理地”一词,而不只是简单地与个人“相关联”。该议案还进一步简化了“公共信息”的定义,规定无论使用方式如何,从政府记录中合法获得的个人信息均不受CCPA约束。
不过同时,AB 874号议案也延伸了数据泄露报告义务:拓展了能够触发数据泄露规定及加州现有数据泄露通知要求的个人信息类别,加入了生物数据、税收身份证号码、护照号码、军事身份证号以及政府文件签发的、通常用于验证特定个人身份的其他唯一身份证号码。
(D) 对“销售”个人信息的特定场景豁免限定
根据AB 1146号议案规定,CCPA所定义的“销售”将不再包括机动车经销商与制造商之间的个人信息交换。因此,如果该信息的共享是为了汽车的维修、保修或召回,则消费者在此种情况下无法行使其选择退出权。
此外,AB 1146号议案还补充体现了最小化原则,不再要求企业收集其在正常过程中不会收集的个人信息,或超出正常期限保留信息,或重新标识、链接至平常不会获取的其他信息。这意味着保护隐私的数据最小化原则已被加入到了法案中,企业不必再为了回应CCPA的要求而收集其在正常业务过程中本不会收集的个人信息或将这些信息存储更长时间。
总体而言,2019年的CCPA修正案虽然对企业合规负担有所豁免,但并没有真正克减消费者的隐私保护权利。2018年6月的CCPA项下赋予消费者的核心个人信息权利,包括消费者的信息访问权、删除权、知情权、选择退出的权利、享有平等服务与价格/不得差别对待的权利,仍然予以保留。因此2020年1月1日生效的CCPA将继续保持美国史上“最全面”也“最严格”的隐私法案这一高基准领跑地位,仍对企业在数据方面的合规提出了很高要求。
考虑到CCPA适用的阈值比较低,在加州从事经营活动(do business)满足以下之一条件即会触发适用:在加州年度总收入超过2500万美元;为了商业目的每年单独或组合购买、收取、出售或共享50,000人甚至更多的个人信息;通过销售消费者的个人信息获得其年收入的50%甚至更多,因此会有大量加州或加州之外的企业都将受到这一高标准、严要求之法律的影响。一家独立研究机构为加州总检察长办公室准备的“经济影响评估”显示,CCPA将使得公司须承担的初始合规成本总计高达550亿美元。
在对企业的实际合规工作和成本产生实际影响之外,CCPA的颁布、修订和生效也是继GRPR之后又一剂强有力的催化剂,加速推进了全球隐私保护立法的进程,同时在美国本土也引发了一系列的立法动向。加州总检察长已经在2019年10月10日发布了CCPA实施细则的征求意见稿,并对公众开放征求意见至12月6日;华盛顿特区的议员也在考虑制定联邦隐私法。随着各州都开始着手制定自己的隐私法,一些科技公司和团体也不断呼吁制定全美联邦层面的隐私法律,毕竟统一的联邦立法对企业来说更易理解和遵守,合规成本也更低(不妨想象一下,假如同时存在50个司法辖区的不同版本的GDPR需要遵守,企业是不是很崩溃?)。可以预见,2020年1月1日CCPA及其修正案的生效在促成全美隐私立法体系完善和趋同的道路上,也将是一个重要节点。
就中国国内企业而言,2020年1月1日意味着落入CCPA适用范围(这本身是个需要仔细识别的问题)的这些企业需要届时做好准备:除了结合CCPA及其修正案规定进行数据地图摸排、更新隐私政策、加强数据安全保护、制定数据安全事件流程、采用合同等手段控制销售个人信息环节的风险等常规数据隐私合规事项外,如何全面落实和应对CCPA项下消费者权利的实现机制恐将是成为企业最为烧脑的问题之一(例如“删除权”就是大坑),仅仅依据此前在GDPR项下和中国法律项下的数据隐私合规工作将是肯定确定以及一定不够的……
在CCPA修正之外,2019年加州立法会通过的议案AB1202对数据产业中的“数据经纪商”进行了特殊规定,也值得我们关注:
AB1202号议案将数据经纪商被定义为“有意收集并向第三方出售与该企业没有直接关系(存在特定的例外情况)的消费者的个人信息的企业”。传统意义上不被视为“数据经纪商”的企业现在也有可能需要向加州总检察长注册、披露“关于其数据收集行为的任何其他信息或解释”并支付年度注册费,否则可能会被加州总检察长起诉并面临民事处罚。
数据经纪商从多种渠道收集收集、聚合和出售成百上千的与其没有直接关系的消费者数据,如网络浏览历史、在线购买记录、公共记录、地理位置、忠诚度计划、订阅信息,然后分析和评估并打包出售给第三方,而消费者通常意识不到数据经纪商在处理他们的个人信息,也不知道如何行使退出权利。立法者希望通过规定数据经纪商每年向州总检察长注册以及披露必要信息的方式,进一步保障消费者的知情权和隐私权。不过AB1202号议案尚未规定数据经纪商该如何披露和确保消费者行使选择退出权。
参与此处翻译工作的的的各位同学均为在职工作中,能够从他们微乎其微的休息时间中挤出一点点空闲来检索、整理、翻译这个大部头法典,全凭他们对专业知识的真爱和对域外立法的好奇(bagua)。大家在核对2018年原文和多份修正案的过程中顺便深深体会到了立法者的精益求精(chui mao qiu cii)。预计此后关于CCPA的立法修订、实施细则、实际案例等还会不断产生,我们也会持续关注,既自我学习,亦以飨读者。译文如有疏漏之处,还请大家不吝指正。
温馨提示:此次翻译采用中英双语对照格式,以便大家同时了解原文。全文合计约240页,如有偏好使用纸质法典的读者,最好双面打印,力行环保。(薛颖、李明倩)
下载“美加州消费者隐私法案(CCPA) 修正案汇总”中译文,请点击文末左下角的“阅读原文”。【提取码:qki2】
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
时评见:
DPO社群成员观点