电子邮件 网上办公

邀兵请将  
您现在所在位置: 德衡商法网  >   业务领域  >   互联网与TMT业务中心   >   网络安全专业委员会

陈国彧、姚雨飞:美国《加州消费者隐私保护法案》(CCPA)已生效 ——最严数据保护法案要易主了吗?

发布日期:2020-01-06

前  言

数字化技术给各行各业带来了颠覆性的变革。

继2018年5月25日,欧盟《通用数据保护条例》(“General Data Protection Regulation”,简称“GDPR”)正式实施并陆续由各欧盟成员国开出大额罚单后,美国西海岸的另一部重量级隐私保护法律《加州消费者隐私保护法案》(“California Consumer Protection Act”,简称“CCPA”)已于2020年1月1日生效。本文旨在分析美国加州CCPA与欧盟GDPR对数据主体权益保护的异同,协助有出海业务的中国企业做好数字化转型的商业合规。 

 


一、立法背景


 

(一)GDPR —— 立法者意志的体现

 

欧洲的个人数据保护意识由来已久,早在1995年10月24日,《欧洲数据保护指令》(指令95/46/EC,简称“95指令”)就已对个人资料的处理和资料的自由流动对个人的保护作出规定。互联网技术的飞速发展及应用的普及,昭示着数字经济时代必将到来,欧洲立法者逐渐意识到数据保护法规亟需完善。

 

2011年6月22日,欧洲数据保护监管机构(“EDPS”)便发表了一份关于欧洲委员会通讯的意见。次年1月,欧盟委员会提议对欧盟“95指令”进行全面改革,以加强网络隐私权,促进欧洲的数字经济。同年3月,EDPS采纳了欧盟委员会数据保护改革方案的意见,并由第29条工作组(“WP29”)通过了一项关于数据保护改革提案的意见。2014年3月12日,欧洲议会在全体会议上以621票赞成、10票反对、22票弃权的结果对GDPR表示了强烈支持。2016年4月27日,GDPR文本正式通过,并同时规定废止“95指令”。2018年5月25日,GDPR正式生效,自此欧盟数据保护委员会(“EDPB”)取代第29条工作组行使相关职权。[1]

 

(二)CCPA —— 消费者隐私保护意识的崛起

 

与立法者推动欧盟GDPR诞生所不同的是,加州消费者隐私法案“CCPA”最初是由地产大亨Alastair Mactaggart与其团队在2017年11月发起的。原是一项关于隐私保护的倡议投票,以完善加州隐私法律体系,最终竟获得超60万人签名,但当时被科技巨头们纷纷反对。

 

2018年4月,因扎克伯格参加美国国会参议院司法委员会和商业、科学和交通委员会联合举行的听证会提出的证词,导致Facebook撤回了对加州隐私保护法案的反对意见。随即在同年5月,“加州消费者隐私组织”宣布已经获得足够数量的签名,《加州消费者个人信息披露和销售倡议》(Californian Consumer Personal Information Disclosure and Sale Initiative)将会在11月进行全民投票。2018年6月28日,州议会成员Ed Chau和州参议员Robert Hertzberg通过了2018年《加州消费者隐私法案》(“CCPA”)。自2018年9月至2019年10月,CCPA已完成多次修正,并于2020年1月1日正式开始生效。

 

(三)基本立场和出发点:基本人权vs 消费者权益保护

 

 GDPR 的条款设计主要基于监管者的立场,以保护基本人权为出发点。强调有关责任主体主动规范数据处理的行为。数据使用“原则上禁止,有合法授权时允许”。

 

 CCPA则偏向消费者的立场,侧重规范数据的商业化利用。数据使用“原则上允许,有条件禁止”。

 

(四)适用对象:海外适用 vs 属人原则

GDPR 采用属地+属人+保护原则

主要适用于在欧盟内部设立的数据控制者或处理者。但如果存在以下几种情况,即使控制者和处理者没有设立在欧盟内,GDPR同样适用:

1.向欧盟境内数据主体提供商品和服务的(不论该商品或服务是否需要支付对价);

2.监控数据主体在欧盟境内行为的;

3.对个人数据的处理由欧盟外控制者进行,但根据欧盟成员国法律可以通过国际公法适用于该控制者所在地的;

 

 CCPA采用属人原则

CCPA 约束的是处理加州居民个人数据的营利性实体,且要求:年度总收入超过2500万美元,或为商业目的购买、出售、分享超过50000个消费者、家庭或设备的个人信息,或通过销售消费者个人数据取得的年收入超过总收入50%。

与GDPR的规定类似,CCPA也会对州外企业的违法行为产生法律效力 —— 即公司在加州没有办公室或雇员,但在加州做生意,也可能受CCPA约束。

 


二、个人权利与企业义务


 

(一)对“个人信息”的定义

 

GDPR:个人信息范围更广泛

约定“个人数据”指与已识别或可识别的自然人(“数据主体”)有关的任何数据;可识别的自然人是指可以直接或间接地特别是通过以下标识确定的,比如名字、身份证号码、位置数据、在线标识或自然人特定的一个或多个物理、生理、遗传、心理、经济、文化或社会身份要素。

 

CCPA:个人信息保护范围更具体并有除外条款

“个人信息”系指直接或间接地识别、关系到、描述、能够相关联或可合理地连结到特定消费者或家庭的信息,包括但不限于以下内容: 诸如真实姓名、别名、邮政地址、社会安全号码、驾驶证号码、护照号码、商业信息、生物信息、电子网络活动信息、地理位置数据、音频、电子、视觉、热量、嗅觉或类似信息、职业或就业相关信息等。

 

综上可见,CCPA对于个人信息的定义比GDPR更为具体、全面,并侧重于消费者和家庭信息。此外CCPA还特别规定“个人信息”不包含:

 

1. 公开可得信息,即从联邦、州或地方政府记录中可合法获取到的信息,但需要同时满足:

(1)不属于在消费者不知情的情况下收集的生物特征信息;(2)数据使用目的与政府记录中维护和提供数据或公开维护数据的目的一致。

2. 也不包含去标识化的或已聚合的消费者信息。

 

(二)主要数据权利与义务类型

 


GDPR

CCPA – 最终法律文本

个人权利

√通知数据主体

√ 数据访问权

√遗忘权(Right to Be Forgotten)

√更正权

√有权反对处理/撤销同意

√通知数据主体

√ 数据访问权

√被遗忘权(Right to Delete)

√选择不销售个人信息的权利(Right to Opt-out)

√享有平等服务与价格/不得差别对待的权利

安全措施

√需要适当的数据安全措施

√数据泄露通知

√需要适当的数据安全措施

服务提供商

√服务提供商协议中的要求

√服务提供商协议中的要求

数据处理

√按许可目的

√数据最小化

无规定

数据跨境传输(欧盟外)

√适当性保障措施(任何未制定与欧盟相似法律的国家)

无规定

问责制/ 公司治理

√内部文件和记录保存

√指定的DPO(如有必要)或其他负责人

无规定

与GDPR相比,CCPA规定的主要数据权利与义务类型差异性较大。在个人权利方面,除了通知数据主体、数据访问权、被遗忘权都有所规定之外,CCPA并没有直接对更正权、数据主体的反对及撤销同意权加以规定,不过赋予数据主体选择不销售个人信息权和享有平等服务与价格的权利,更体现其侧重规范数据的商业化利用的特征。

 

在企业义务方面,两部法律均要求企业采取一定的安全措施及遵守服务提供商协议,但是CCPA未对数据泄露通知做明确要求。此外,CCPA对数据处理、跨境传输、公司治理等问题并未涉及。

 

(三)隐私政策的法律要求

具体要求

GDPR

CCPA – 最终法律文本

适用行业范围广泛,并不局限于个别行业,例如:金融业

适用于在线和离线收集个人信息

提供关于企业如何使用和处理他们收集的个人信息的详细信息

通知用户有权获取企业所持有的其个人信息

通知用户有权删除他们的信息

在网站和隐私通知中加入“不要出售我的个人信息”的链接

×

描述企业与服务提供商所共享的信息

×

描述企业向何种实体类型出售信息

 

以上图表可以看出,在隐私政策条款设置方面,CCPA相较GDPR而言有更特殊的规定,例如需要在网站或隐私政策相关的通知中增加“不要出售我的个人信息”的链接,还需要对企业与服务提供商所共享的信息类型。

(四)数据访问权

数据主体有权访问个人数据和以下信息

GDPR

CCPA – 最终法律文本

处理数据的目的

数据类型

数据接收者或其类型

存储的预设期限

×

关于数据收集来源的任何信息(如果没有直接从数据主体处收集)

包括识别分析在内的自动化决策所运用的逻辑,以及对数据主体产生的法律效果或重大影响

×

可通过邮件或电子的方式,向消费者披露和传送

 

数据访问权是指数据主体具有要求企业确认是否有关于他或她的个人信息的,以及访问收集的个人信息的类型和索要副本的权利。

 

GDPR对于数据访问权的规定更全面,它除了赋予数据主体访问处理数据的目的、类型、接收者、数据收集来源的任何信息之外,还包括存储预设期限、识别分析在内的自动化决策所运用的逻辑,以及对数据主体产生的法律效果或重大影响。在数据主体访问的方式方面,GDPR规定企业根据数据主体的具体要求提供多种访问方式,而CCPA规定企业提供不少于两种以上的方式即可,如电话、网页或邮件等。

 

(五)删除权(被遗忘权)

豁免类型

GDPR

CCPA – 最终法律文本

该信息是完成数据主体所请求的交易或履行合约所必需的

该信息是检测安全事件所必需的

在某些情况下可能需要删除

该信息是防止欺骗、欺诈或非法活动所必需的

在某些情况下可能需要删除

该信息是识别和修复错误所必需的

在某些情况下可能需要删除

该信息是促进言论自由所必需的

该信息是为了科学、历史或统计研究的公众利益所必需的

该信息是公司内部使用所必需的(消费者对使用行为有合理预见)

在某些情况下可能需要删除

该信息是履行法律义务所必需的

在某些情况下可能需要删除

该信息在内部以其他合法方式被使用(该方式与消费者提供其信息的场景相匹配)

在某些情况下可能需要删除

 

简单来说,删除权(又称被遗忘权)是指数据主体有权要求企业删除其数据的权利。该权利因对个人数据的商业化利用影响较大,因此颇受争议。虽然GDPR对该权利设置了相应的豁免情形,但是部分豁免条款界限不清,很容易导致企业因未满足数据主体的删除权要求而受到制裁。

 

相比较而言,CCPA因侧重规范数据的商业化利用,因而在豁免类型方面比GDPR要清晰很多,企业只需要符合规定的豁免情形,即视为合规。

 

(六)选择不销售个人信息权/选择退出权

CCPA 的“选择退出权”是指个人有权指示公司不得出售其掌握的个人信息。CCPA并不是第一个授予个人选择退出组织使用或披露其信息的权利的法律。其他联邦法律,包括《金融服务现代化法案》(“GLBA法案”)和《控制非自愿色情和促销攻击法案》(“CAN- SPAM法案”),都包含了某些选择退出的要求。

 

GDPR 没有专门针对出售个人信息的条款约定,但赋予了反对处理个人信息或撤销同意的有限权利。GDPR第21条规定,若个人数据处理是用于直销(direct marketing)的目的,数据主体有权随时拒绝为此类营销目的而处理其个人数据的行为,包括一定程度上关联到这种直销的分析行为。同时,第7条也规定了数据主体有撤销同意的权利。

 

(七)选择销售个人信息权/选择加入权(未成年人)

 

CCPA 的“选择加入权”是指企业不得出售未满16岁消费者的个人信息,除非该企业获得“选择加入”的同意,即,对出售信息的明确授权(affirmative authorization ):

❖ 如果孩子的年龄在13岁到16岁之间,他们可以直接向企业提供必要的授权许可。

❖ 如果孩子不满13岁,父母或监护人必须提供明确授权。

 

在美国,《儿童在线隐私保护法》(" COPPA ")要求公司告知家长,公司是否向第三方(例如,他们是否出售信息)披露了儿童的信息,然后获得家长或监护人的选择同意。与CCPA不同,COPPA仅适用于从13岁以下儿童收集的信息。

 

GDPR 规定,“信息社会服务” ( Information Society Service )不得收集16岁以下儿童的信息,除非它告知家长该公司是否向第三方披露儿童信息,并获得家长或监护人的选择同意。另外各成员国允许颁布自己的立法,将要求父母同意的年龄降低到13岁。

 

(八)安全措施及处罚


GDPR

CCPA – 最终法律文本

数据保护标准

数据控制者和处理者应实施适当的技术和组织措施,以确保达到与风险相适应的安全级别

企业应实施和维持与信息性质相适应的合理安全程序和实践之义务, 以保护个人信息不受未经授权的访问、破坏、使用、修改或披露

处罚

最高罚款可达上一财年全球年营业额的2%或1000万欧元,(以较高者为准);或上一财年全球营业额4%或2000万欧元,(以较高者为准)

每次违规罚款2500美元;

每次故意违规罚款7500美元。

对受害者个人的责任

承担损害赔偿

为每个消费者每次事件赔偿不少于一百美元(100美元)且不超过七百五十美元(750美元)的损害赔偿金或实际损害赔偿金,以数额较大者为准。

 

在安全措施及处罚方面,虽然CCPA的安全标准几乎与GDPR使用的标准相同,但它明显倾向于私人诉讼的执行,而GDPR则通过监管机构来激励执行。另外,违反GDPR条款的单次处罚金额明显要比CCPA大得多,但若结合CCPA侧重私人集体诉讼的特点来看,因数据安全事故波及人数普遍较多,企业实际损失金额依旧不容小觑。

 


三、监管机制


 


GDPR

CCPA – 最终法律文本

监管机构

欧盟数据保护委员会(EDPB)及各成员国数据监管机构

加州总检察长(California Attorney General)

罚金

最高罚款可达上一财年全球年营业额的2%或1000万欧元,(以较高者为准);或上一财年全球营业额4%或2000万欧元,(以较高者为准)

每次违规罚款2500美元;

每次故意违规罚款7500美元。

个人救济机制

1. 申诉权;

2. 司法救济权;

3. 求偿权等

私人诉讼权

(为了避免产生集体诉讼的狂热,CCPA通过赋予州检察长执法的专有权力和规定一些必须满足的条件,如对企业进行书面违规通知,给予其30日解决违规行为的机会,若企业实际上改正了被通知到的违规行为, 并向消费者提供明确的书面声明,表明违规行为已经改正,并且不会再发生违规行为,则不会发生基于个人或全类别的法定损害赔偿诉讼。从而对私人诉讼权加以约束。)

 

GDPR的主要监管机构为欧盟数据保护委员会(EDPB)及各成员国数据监管机构,而CCPA为加州司法部长。在罚金方面,如前所述,违反GDPR条款的单次处罚金额明显要比CCPA大得多。此外在个人救济机制方面,两部法律均赋予数据主体诉讼权利,但CCPA为了防止个人集体诉讼的频繁出现,给司法机关及企业造成负担,还给予企业30天内解决违规行为的缓冲期:企业如果在30天内纠正了违规行为且不会再发生此类行为,则不会产生相关的民事损害赔偿诉讼。

 

后  记

CCPA于2020年1月1日正式生效实施,预示着企业在数字化经济转型过程中的新角色、新义务、新要求。

商业模式的IT化、SaaS化、PaaS化、移动化、智能化融入各个行业的速度比我们预想中的要迅速的多。这些根本性的变革,各国立法者已经通过类似GDPR,CCPA等立法设立了法律红线,提示企业需要遵照执行。

技术本身是为了顾客创造新的价值,而非侵犯客户的合法权益。对于企业数字化转型过程中产生的数字资产,需要在合法合规的红线范围内挖掘新价值。正如比尔.盖茨所说,既保护客户的隐私又以一种正面积极的方式使用数据,这两个目标是可以同时达成的。而最终,每个国家都会逐渐建立起一套类似于GDPR的监管体系。

德和衡律师事务所数字化商业合规部,致力于为企业及机构提供数字化变革过程中所需要的法律合规和风险控制服务。

 

注释:[1] European Data Protection Supervisory, The History of the General Data Protection Regulation
https://edps.europa.eu/data-protection/data-protection/legislation/history-general-data-protection-regulation_en

陈国彧律师,北京德和衡(上海)律师事务所高级联席合伙人,国际隐私保护协会专家会员、上海律协法律合规业务研究委员会委员。执业领域:数据隐私保护、跨境投资、公司合规。陈国彧律师分别于2005年及1999年在上海华东政法学院和北京中国人民大学获得法学学位及历史学位。陈律师于2019年加入北京德和衡(上海)律师事务所,此前服务于上海市海华永泰律师事务所及北京市大成律师事务所。她在公司治理及合规、数字资产合规管理及商业应用、中国企业境外投资、企业员工关系管理方面拥有丰富的实务经验。服务的客户行业领域包括:高科技企业、公共交通、房地产、私募基金、证券类基金、重型制造、健康生活、新能源等。

联系方式

电话:13795200212

邮箱:chenguoyu@deheng.com

姚雨飞,北京德和衡(上海)律师事务所律师助理。专长领域:公司合规、数据隐私合规、劳动争议。姚雨飞律师分别于2015年及2018年在华东政法大学及英国利兹大学取得文学学士及国际商法硕士学位。此前服务于多家国内知名律所。服务的客户行业领域包括: 金融科技、互联网、房地产、私募基金、金融机构等。

联系方式

电话:18817318343

邮箱:yaoyufei@deheng.com

质控人:赵可青 公司业务中心副总监、公司并购专业委员会主任

本文仅代表作者观点,如需转载、节选,请在后台留言联系小编

网络安全专业委员会

  • 娄鹤

    主任

    金融科技合规应用,境内IPO及再融资,公司争议解决

    更多 》

团队其他成员

  辛小天       江智茹       史蕾       陈国彧       周杨       许瑛毅       范思佳    

Copyright@2016    版权所有    德衡商法网    免费服务监督热线:    800-8600-880    400-1191-080

ICP备案号:鲁ICP备05011736号    网站统计