德恒探索

数据保护系列:《加州消费者隐私法案》及其启示

2020-02-13


微信图片_20200214092213_副本.jpg


2020年1月1日,美国《加州消费者隐私法案(California Consumer Privacy Act)》(“CCPA”)正式生效。美国加利福尼亚州早在2003年就颁布了《在线隐私保护法案》,并在2013年进行了修订,对消费者在线隐私进行保护。近几年,随着互联网和信息技术的发展,企业收集的消费者信息越来越多,风险也越来越大。2018年3月,剑桥分析公司滥用消费者信息事件一经曝光,美国社会一片哗然,要求立法加强消费者隐私保护的呼声日益高涨。顺应时代和公众要求,加州政府率先通过了CCPA。[1]截止至2019年,美国有15个州也提议了类似的法案。目前除了加州外,内华达州也已通过了新的消费者隐私保护法案。CCPA以及其他州的类似法案证明美国正在逐步加大对消费者隐私的保护力度。目前,我国关于个人信息保护的法规尚在完善中,借鉴CCPA相关规定可以为我国完善个人信息保护相关立法提供启示和借鉴。


一、《加州消费者隐私法案》的特点和主要内容


CCPA包括以下四点特点:一是适用范围及调整对象十分广泛;二是法案确立了消费者信息处理基本规则;三是法案赋予消费者更大的信息控制权;四是提供可明确且具备可执行性的救济措施。


(一)适用范围及调整对象


1.适用企业


CCPA明确了适用企业(Business)的范围,从营业收入、信息规模、信息收入占比3个维度对所适用的企业范围进行定义。如果某企业满足以下任何一种情况,那么该企业就受到CCPA管辖:(1)年度总收入超过2500万美元[2];(2)基于商业目的,每年购买、收集、出售、分享至少50,000名加州消费者、家庭、或设备的信息资料;(3)每年收入的50%或更多是来自于销售加州消费者的信息资料。以下关联企业也会受到CCPA管辖:(1)控制、或者被满足以上任何一种情况的企业所控制的企业;(2)与满足以上任何一种情况的企业共享商业品牌的企业。


根据美国的长臂管辖原理,向加州居民出售商品或提供服务的所有公司,即使企业注册或经营地址不在州内,也应当遵守该法案。可以看出,CCPA适用于任何收集加州消费者个人信息的企业,对美国境外企业也能够产生影响。例如,我国在加州提供民航航线服务的航空公司或者提供电子商务服务的电子商务平台公司,都涉及收集加州消费者个人信息,需要参考上述标准,确定自身是否受到CCPA的影响。另外,CCPA还规定,对每年收集、处理超过4百万个消费者信息资料的企业会有额外的法律合规要求。


CCPA明确了所适用企业的范围,有利于明确承担具体保护加州消费者隐私权的具体义务承担主体范围。根据CCPA《标准化监管影响评估(Standardized Regulatory Impact Assessment)》的估计,CCPA将保护加州每年用于广告宣传的价值超过120亿美元的个人信息,而有关CCPA的合规成本在2020至2030年间则预计达到4.67亿美元至164.54亿美元。[3]从监管的角度,在营业收入、信息规模、信息收入等方面达到一定规模的企业更有能力承担CCPA的相关合规成本,对于保护加州消费者隐私信息也发挥更重要的作用。我国关于个人信息保护的义务主体尚没有对所适用企业的适格条件予以规定,未来可以考虑借鉴CCPA的实践做法。


2.个人信息和消费者


CCPA对个人信息及其范围进行定义。个人信息是指能够直接或间接地识别、关系到、描述、能够相关联或可合理地连接到特定消费者或家庭的信息。按照法案定义,消费者信息、家庭信息或特定电子设备信息均属于个人信息的范畴。CCPA对消费者也进行了定义。消费者指居住在加州的自然人,包括因临时或暂时目的在州内居住的人,或因临时或暂时目的而在州外居住的加州居民。


(二)消费者信息相关权利


法案赋予消费者多项信息权益,提高消费者对其个人信息的控制能力。


1.知情权


消费者有权知道企业收集了哪些个人信息、个人信息的来源、收集或出售个人信息的企业或商业目的、与企业共享信息的第三方等情况。企业在收集消费者个人信息时或之前,应告知消费者所要收集个人信息的种类和目的,所收集信息不得用于与所通知内容不相关的其他目的。企业只有在收到消费者可经证实的请求后才会向消费者免费提供其相关个人信息。向消费者提供其个人信息的方式可以为邮寄方式或电子方式,但提供信息的频率12个月内不超过2次。[4]


关于信息采集,CCPA要求企业在采集个人信息时,只要在采集行为发生前或发生时通知消费者即可,无需取得消费者授权。这与我国2018年《信息安全技术个人信息安全规范》中的要求不同,其5.3条要求个人信息控制者在收集个人信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型,以及收集、使用个人信息的规则(例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等),并获得个人信息主体的授权同意。相比可知,CCPA一方面从更有利于企业收集消费者个人信息的角度的出发,促进企业和商业的发展,另一方面从消费者知情权、删除权、选择退出权等方面给予消费者个人信息方面的保护。


2.删除权


CCPA规定消费者有权要求企业删除从消费者处收集的个人信息,并指示任何服务提供者从其记录中删除该消费者的个人信息。企业应告知消费者其有删除权。在特定情况下,企业或服务提供者有权拒绝消费者提出的关于删除其个人信息的请求,包括:(1)完成收集个人信息相关的交易;(2)诊断安全事件;(3)确认和修复错误;(4)保护自由言论权;(5)符合《加州电子通讯隐私法(California Electronic Communications Privacy Act)》的相关情形;(6)为公共利益从事公共或同行评议的科学、历史或统计研究;(7)仅用于符合消费者合理预期的企业内部使用;(8)遵守其他法律义务;(9)其他合法使用消费者个人信息情形。[5]


我国2018年《信息安全技术个人信息安全规范》关于个人信息删除的规定与CCPA也不同,虽然其7.6条[6]规定了个人信息控制者在个人信息主体提出删除要求时也应及时删除个人信息,但相关情形是附条件的,主要条件之一就是个人信息控制者违反法律法规规定或者违反了与个人信息主体的约定,即在个人信息控制者存在过错违法或违约的情形下,个人有权提出删除其个人信息,而在个人信息控制者合法合规的情况下,则未明确个人的信息删除权。


3.选择权


CCPA规定消费者有权在任何时候要求一个欲将其个人信息出售给第三方的企业不得出售其个人信息,即选择退出权。出售消费者个人信息的企业需要告知消费者其个人信息可能被出售,并告知其有选择退出权(right to opt-out)。对于未成年人(不满16岁)的个人信息,企业应当在取得消费者本人(13-16岁之间的消费者)或其父母、监护人(对于小于13岁的消费者)明确同意的情况下方可出售其消费者个人信息,即选择加入权(rightto opt-in)。企业在收到消费者不同意出售其个人信息的指示后,不得再出售相关消费者个人信息,除非该消费者后来明确同意可以出售。[7]


我国2018年《信息安全技术个人信息安全规范》有关于个人信息主体撤回同意的相关规定,其7.7条规定对个人信息控制者的要求包括:a)应向个人信息主体提供方法撤回收集、使用其个人信息的同意授权。撤回同意后,个人信息控制者后续不得再处理相应的个人信息;b)应保障个人信息主体拒绝接收基于其个人信息推送的商业广告的权利。对外共享、转让、公开披露个人信息,应向个人信息主体提供撤回同意的方法。撤回同意不影响撤回前基于同意的个人信息处理。


CCPA关于消费者信息保护的选择退出权主要针对出售消费者个人信息的情形,而我国《信息安全技术个人信息安全规范》第7.7条个人信息主体撤回同意的相关规定则范围更广泛,不限于出售消费者个人信息的情形。


4.公平交易权


CCPA规定企业不得因消费者行使新法案赋予的任何权利而歧视消费者,包括拒绝提供商品和服务、收取不同的价格或费率、提供不同档次或质量的商品或服务、暗示消费者将收到不同价格或不同质量的商品或服务等。企业可以为消费者提供经济激励措施,例如经济补偿,以鼓励其同意收集、出售或删除其个人信息。对于价值与使用消费者个人数据直接相关的产品或服务,企业可以提供不同价格或质量的商品或服务。企业如提供上述激励措施,应将相关经济激励措施告知消费者。如果企业和消费者就经济激励措施达成一致,必须获得消费者事前明确同意,并且该同意随时可以被消费者撤销。上述经济激励措施不应是不公正、不合理、威胁性或盘剥性的。[8]


我国关于个人信息保护方面的立法尚缺乏相关经济激励措施和公平交易权方面的规定,可以考虑借鉴CCPA的相关规定。


(三)救济措施


CCPA提供可明确且具备可执行性的救济措施。CCPA规定企业有30天的纠错期。如果企业违反了CCPA的规定并且在接到通知后30天内没有纠正违规行为,那么加州总检察长可以就其每次违规行为处以$2500的罚款,和每次故意违规行为处以$7500的罚款。加州总检察长将从2020年6月1日或者发布正式管理执行条例6个月以后(以更早的日期为准)开始执法。虽然总检察长的执法至少要从2020年6月以后开始,但企业违规行为是可以被追溯到2020年1月1日,并且由消费者提出的个人诉讼不受任何时间限制。


二、CCPA对我国个人信息保护立法的启示


我国对于个人信息保护的立法体系由法律、行政法规、地方性法规和规章、各类规范性文件和部门规章等共同组成,形成多层次、多领域、内容分散、体系庞杂的个人信息保护模式。但目前,我国尚未制定专门针对个人信息保护的专门立法。个人信息保护的法律规定分散在《宪法》、《民法总则》、《侵权责任法》、《网络安全法》、《电子商务法》、《消费者权益保护法》、《刑法》及其修正案、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《信息安全技术个人信息安全规范》等法律规范中,其保护目的、方式和范围也不尽相同:有的直接对个人信息收集和使用行为加以规范而进行保护,有的则通过对人格尊严、个人隐私、人格自由等与个人信息相关的权益的确权而进行保护。


我国个人信息保护的监管则采用“多头监管”的模式,国家互联网信息办公室、公安部、工信部、中国人民银行等相关部门都在各自负责的职责范围内有监管权。此外,我国还在个人信息保护的行业自律方面作出了一些尝试:2019年1月8日中国互联网协会发布了《网络数据和用户个人信息收集、使用自律公约》,华为、阿里巴巴、腾讯、中国电信等28家企业签署该自律公约,就个人信息收集、使用行为进行了承诺。但是,总体看来,还远未达到能够为个人信息提供适当保护的程度。[9]


相比加州对于个人信息保护的立法而言,我国对个人信息保护的立法存在以下三方面的问题:(1)立法较为分散,不成体系,并且法律位阶不高;(2)没有明确隐私权在法律中的地位,对隐私权以间接保护为主,直接保护很少,尤其是对电子隐私信息保护的法律力度不够;(3)我国现有相关规定比较笼统,如对主管部门的职权范围和相关措施的规定较为模糊,对违法者的惩罚措施也没有明确提及。执法不具可操作性。[10]


CCPA可以为我国的个人信息保护立法提供以下启示及借鉴:


一是颁布专门的个人信息保护的立法。从欧盟的GDPR到美国加州的CCPA,制定全面、统一的个人信息保护法已经成为一种立法趋势。我国也应在结合现实环境的基础上,制定一部专门的个人信息保护法律,在该法中确定公民对个人信息享有的权利、个人信息遭受侵害的救济途径以及有效的监管制度。个人信息保护法应当将公民对个人信息享有的权利作为核心,进行概括式、总则式的规定,避免过于细致的统一立法扼杀创新,为孕育新兴技术留出空间。[11]


二是明确界定消费者的信息权益。CCPA在原有消费者权益基础上,创设了信息删除权、选择加入和退出权,赋予消费者对个人信息更大的控制权。可以说,新法案从根本上改变了个人信息商业化利用活动中企业和消费者的关系,消费者享有更大的自主决策权,真正体现了“我的信息我做主”这一权属理念。


三是建立个人信息侵权行为责任追究机制。明确企业侵犯消费者信息权益行为的内容、形式及相应的法律责任。设定严格的法律责任,加大惩戒力度。如要求侵权企业承担停止侵害、恢复名誉、赔偿损失等民事责任,对侵权企业处以高额行政罚款,追究侵权企业刑事责任等。明确消费者可以通过举报、投诉、诉讼等方式维护自身合法权益,畅通消费者维权渠道。[12]


文中备注

[1] 谢业华,彭星,张龙:《美国加利福尼亚州<消费者隐私法案>研究》,征信,2018年10期

[2]关于2500万美元收总收入是指在加州产生的还是全美产生的,法案并没有明确说明,但普遍共识是指企业的全美总收入。

[3]California Consumer Privacy Act (CCPA) Fact Sheet, 载于https://www.oag.ca.gov/system/files/attachments/press_releases/CCPA%20Fact%20Sheet%20%2800000002%29.pdf,最后一次浏览于2020年1月31日。

[4]CCPA Section 1.

[5]CCPA Section 2.

[6]《信息安全技术 个人信息安全规范》7.6个人信息删除:对个人信息控制者的要求包括:

a)符合以下情形的,个人信息主体要求删除的,应及时删除个人信息:1)个人信息控制者违反法律法规规定,收集、使用个人信息的;2)个人信息控制者违反了与个人信息主体的约定,收集、使用个人信息的。

b)个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止共享、转让的行为,并通知第三方及时删除;

c)个人信息控制者违反法律法规规定或与个人信息主体的约定,公开披露个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止公开披露的行为,并发布通知要求相关接收方删除相应的信息。

[7]CCPA Section 5.

[8]CCPA Section 6.

[9] 晋瑞,王玥:《美国隐私立法进展及对我国的启示——以加州隐私立法为例》,保密科学技术,2019年08期

[10]王敏,江作苏:《大数据时代中美保护个人隐私的对比研究—基于双方隐私保护最新法规的比较分析》,新闻界,2016年15期

[11]晋瑞,王玥:《美国隐私立法进展及对我国的启示——以加州隐私立法为例》,保密科学技术,2019年08期

[12]谢业华,彭星,张龙:《美国加利福尼亚州<消费者隐私法案>研究》,征信,2018年10期 第3页共3页


本文作者:

6410.jpg                                        

 


贾 辉

                                       

合伙人 / 律 师

 


                       

贾辉,德恒北京办公室合伙人、律师;主要执业领域为并购和保险。贾辉律师拥有美国纽约州和中国的律师执业资格,任一带一路服务机制主席助理和秘书长、新能源海外发展联盟副秘书长、中国保险行业协会首席律师顾问团代表、中国保险资产管理业协会法律合规委员会委员,入选为司法部“全国千名涉外律师人才库”和2018中国保险行业“千人计划”。

邮箱:jiahui@dehenglaw.com                        


微信图片_20200214092223.jpg                                       

 


朱可亮

                                       

合伙人 / 律 师



                       

朱可亮,德恒硅谷办公室管理合伙人、律师;主要执业于美国公司与金融法、国际税务规划、美国商务诉讼及高端移民。朱可亮律师拥有美国威廉米特大学法学院的法学博士(J.D.)学位,并同时拥有加州和俄勒冈州的律师执照,已经在美国拥有十六年的律师执业经验。

邮箱:czhu@dehenglaw.com                         

               

微信图片_20190904095000.jpg                                               

 


鞠 光


律师助理

 


                               

鞠 光,德恒北京办公室律师助理;新加坡南洋理工大学理学硕士、香港城市大学法学硕士;主要执业领域为跨境投资并购。        

邮箱:juguang@dehenglaw.com                                

        

声明:
               

本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。                

相关律师

相关搜索

手机扫一扫

手机扫一扫
分享给我的朋友