美國加利福尼亞州消費者隱私法(以下簡稱“CCPA”)已于2018年通過,并將于2020年1月起正式生效。近年來,如臉書等大公司對個人信息的濫用促使公眾重新審視對個人數據的保護,加州對消費者信息的保護居于美國各州前列,對其他州的立法有借鑒和引導作用。
適用于經營實體
一般來說,如果任何經營實體基于商業用途從加州居民收集個人信息,就須遵守CCPA的規定。經營實體的定義包括任何在加州經營的盈利組織,在經營中收集、指派他人收集消費者個人信息,并有權決定如何處理消費者個人信息,并且滿足以下三個條件之一:(1)年度總收入超過2500萬美元;(2)年度購買、出售或其他商業性地處理個人信息涉及至少50000消費者/設備/或家庭;(3)年度總收入一半以上來自出售消費者個人信息。
另外,如果經營實體滿足上述標準,其母公司或擁有半數以上股權的子公司也將受CCPA管轄。
個人信息的定義非常廣泛,幾乎包括任何可以直接或間接地與特定加州居民或家庭相關的非公開的信息,例如生物識別數據(指紋、臉型、血型等)、家庭購買數據、家庭信息(如有幾個子女)、地理位置、財務信息、睡眠習慣等。
設定“不準賣”條款
如果經營實體將個人信息轉移給第三方并收取金錢或其他對價,即屬于出售個人信息。如果經營實體出售個人信息,則該實體必須向消費者披露其個人信息可能被出售,并且消費者有權選擇在出售信息中排除其個人信息。值得注意的是,CCPA將以下幾種個人信息轉移排除:(1)如果消費者要求經營實體披露其個人信息或者利用經營實體有意地向第三方提供個人信息;(2)如果經營者和服務提供方根據書面合同共享個人信息并且合同明確約定服務提供方不得為提供服務外的其他目的保存、使用或披露個人信息;(3)信息轉移是基于公司并購或其他控制權轉移,前提是收購方沒有因收購而實質性改變個人信息的使用。
根據CCPA,消費者有權要求經營實體披露其收集、出售或公布了哪些類別的個人信息,消費者有權要求經營實體刪除該消費者的個人信息:如果消費者提出該請求,則經營實體必須刪除其個人信息(除少數例外的情況)。如果經營者出售個人信息,消費者有權選擇從個人信息出售中排除該消費者的個人信息。另外,經營實體還必須在其隱私政策中通知消費者在CCPA下享有的權利。任何收集、出售或因商業原因披露個人信息的經營實體必須在其隱私政策中描述其收集、出售或披露的個人信息的方式和類別。經營實體不能要求消費者必須與該實體建立個人賬戶才能獲取相關的信息披露。同時,延續以往的個人信息保護立法,CCPA還要求經營實體必須對其持有的個人信息建立并實施合理的安全保護程序。
CCPA進一步明確規定經營實體必須在網站上清楚而顯著地提供“不準出售我個人信息”的鏈接,以方便消費者行使權利。這個所謂的“不準賣”條款一般被認為是CCPA最具影響力的條款,超越了以往的隱私保護立法。以往的隱私保護立法(如歐盟的GDPR等)更強調形式上的“通知加同意”,商業機構往往通過跳出的窗口羅列出對消費者信息的使用,然后消費者可以選擇同意或不同意。這種思路表面上看起來給了消費者知情權和選擇權,可實踐中消費者為了購買商品或服務往往點擊“同意”。CCPA則給予消費者隨時要求經營實體“不準賣”其個人信息的權利,商業機構很難再將同意出售個人信息打包在其他個人信息使用許可中使消費者只能“一攬子”接受。
但CCPA的視角并不就是完美的。“不準賣”的嚴格執行,會給予一些已經擁有巨大數量個人信息的公司前所未有的優勢,并且在客觀上促成了一種對個人信息的壟斷。以往,一家小公司可以通過從臉書、谷歌這樣的個人信息巨頭那里購買一定數量的個人信息來優化自己的服務,推出更有競爭力的產品和服務。而CCPA的“不準賣”條款一旦嚴格執行,這些小公司將可能會永遠被排除在針對個人的商業洪流之外。只有臉書、谷歌這樣的個人信息既得者可以在其已經持有的個人信息基礎上繼續優化服務、推出新產品,而這無疑進一步鞏固了其壟斷地位,并且在客觀上促成了個人信息寡頭的誕生。可見,對于個人信息的規制模式,還要進一步摸索。
雙軌制處罰機制
CCPA采用了民事訴訟加政府訴訟雙軌制來執行其懲罰機制。
消費者可以根據CCPA提起損害賠償訴訟,金額為實際損害或者從100美元到750美元不等(取決于違法的嚴重程度和被告人的資產數額等)的法定損害,以高者為準。值得注意的是,這里的100美元到750美元不等的法定損害是以每個消費者的每次違反來計算的。考慮到美國集團訴訟機制,如果涉及的消費者眾多,則損害賠償數額可能特別巨大。但CCPA要求消費者提起訴訟前須提前通知經營實體,如果經營實體在30天內完成對違反事項的補救則可以免于對消費者承擔賠償責任。
同時,CCPA賦予加州檢察官提起訴訟的權力(每次違反不超過2500美元,每次故意違反不超過7500美元),但同樣要給予經營實體30天的提前通知和補救時間。不難看出,這個30天的通知和補救條款是立法機關對公司利益代表的一種妥協。
實踐效果待檢驗
在
電子商務全球化的大背景下,中國公司很有可能在不知情的情況下即落入了CCPA的管轄范圍。CCPA對公司的IT管理系統提出更高的要求,即要能夠追蹤各個用戶的選擇(是否同意出售等),并能實時提供關于個人信息的類別、用途、是否提供給第三方服務提供商等。同時,公司必須建立完善的信息安全系統保護其收集到的個人信息的安全。
在公司并購交易中,收購方則不能將被收購方公司所收集的個人信息出售,除非消費者事前收到明確通知其個人信息可能被出售,并且有選擇在信息出售中排除其個人信息的權利。在收購文件中,要加入詳盡的關于遵守CCPA的陳述保證,并在盡職調查過程中加入對CCPA遵守的特定詢問和審查。
CCPA一旦生效,對美國乃至世界涉及消費者信息的商業行為都將產生影響。要知道,像谷歌、臉書這樣的加州公司,每天處理數以億計的來自世界各地的個人信息。不同于一般的個人信息保護立法,CCPA在一般的“通知加同意”要求外,對涉及個人信息出售的商業模式提出進一步的要求,包括明確賦予消費者可以選擇在信息出售中排除其個人信息的權利。盡管其實踐效果如何還有待檢驗,但個人信息的保護在可預見的未來的方向還是十分清晰的,其將會從一般的“通知加同意”走向更細致的區分處理,如對不同的信息使用(尤其是出售)提出不同的要求,從而給予消費者真正意義上的選擇權和知情權。
版權申明:本內容來自于互聯網,屬第三方匯集推薦平臺。本文的版權歸原作者所有,文章言論不代表鏈門戶的觀點,鏈門戶不承擔任何法律責任。如有侵權請聯系QQ:3341927519進行反饋。
