整理人:何渊,上海交通大学法学院副教授,DataLaws主理人。
引言:《加州消费者隐私法(CCPA)》将于2020年1月1日正式生效,这是继欧盟《通用数据保护条例(GDPR)》之后最重要的数据法律。由于美国并没有联邦层面的统一立法,所以CCPA的重要性再怎么强调也不为过,它必将会重塑加州企业及美国企业的“数据隐私”观,其“数据合规”的成本也必将大幅上升,而对律师来说则是一个巨大的商业机会。同时,对于中国企业来说也有潜在的影响,尤其是在美国有投资的跨国企业必须充分重视海外的“数据合规”,即所谓“数据合规,合则生,不合则亡”!加利福尼亚州的议会的最后一次立法会议于9月13日结束,《加州消费者隐私法(CCPA)》最终版获得通过,目前等待州长签署。这项具有开创意义的法案将于2020年1月1日正式生效。
以下是CCPA最终版本的主要实质性修订:
一、员工等个人信息的豁免
在CCPA最终版本中, 一些员工等个人信息将暂时(为期一年)排除在CCPA的适用范围之外,如CCPA将不适用于企业收集的有关求职者、员工、所有者、董事、高级职员和承包商的个人信息,前提是上述个人信息仅在业务范围内收集和使用。而豁免适用的具体情境包括:基于消费者请求而提供员工等个人信息:员工等个人信息的删除;员工等个人信息的收集类别;员工等个人信息的收集来源;收集或出售员工等个人信息的目的;以及共享员工等个人信息的第三方机构的类型等。
但是,加州企业将有法律义务明确告知员工其收集的个人信息的类别以及使用目的,并且有权在受到数据泄露事件影响的情况下提起民事诉讼。根据诉讼权利条款,如果员工的未加密或原始的个人信息受到未经授权的访问和泄露、盗窃或披露,并在企业违反履行和维护合理安全保障的义务的情况下,员工有权提起民事诉讼,包括集体诉讼。 但是, 加州企业将有法律义务明确告知员工其收集的个人信息的类别以及使用目的,并且有权在受到数据泄露事件影响的情况下提起民事诉讼。根据诉讼权利条款,如果员工的未加密或原始的个人信息受到未经授权的访问和泄露、盗窃或披露,并在企业违反履行和维护合理安全保障的义务的情况下,员工有权提起民事诉讼,包括集体诉讼。
特别说明的是,涉及上述内容的AB25是日落条款, 即这只是暂时性制度安排,将于2021年1月1日失效。到时,加州立法机构将考虑制定更全面的员工隐私立法。
二、“个人信息”的定义AB 874将“公共信息”纳入统一的“个人信息”范畴。CCPA生效后,公共信息将被定义为“联邦、州或地方政府合法提供的信息”。按照之前CCPA草案的规定:一旦信息的使用目的与政府记录中的公开目的不符,则该信息将不公开。但CCPA的最终版本删除了上述限制。
CCPA最终版本还限缩了“个人信息”的定义,CCPA草案将“个人信息”定义为可能与特定消费者或家庭有关的信息。但很多企业提出疑惑:按照上述定义,“去识别”或“匿名化”的数据也可能属于个人信息,CCPA的最终版本将个人信息的定义改为:可以 “合理地”与特定消费者或家庭相关联的信息。
此外,AB 1355澄清了个人信息 不包括已识别或汇总的消费者信息。
三、技术更正AB 1355对 “企业对企业”(B2B)的通信或交易中涉及的个人信息做了例外的规定。许多企业一直关注如何合法合规地处理业务联系人的个人信息。严格来说,这些个人信息,并不是一般意义上的“消费者数据”,而是与企业交易的关联者信息。对于这些信息, AB 1355将减轻CCPA的某些要求,如提供通知并授予访问和删除权利:
“以书面或口头形式存在并涉及企业与消费者之间交易的个人信息。这时,消费者是自然人,其身份可能是公司、合伙企业,独资企业,非营利组织或政府机构的雇员、雇主、董事、高管或承包商等,而上述信息是其与企业的沟通或交易,或向该公司,提供或接收产品或服务的情境下产生的。”值得注意的是,类似于AB 25中对员工个人信息的临时处理,这个条款也是暂时性的 - 它将于2021年1月1日失效。
四、车辆及所有权人信息的例外
AB 1146并 没有赋予消费者选择退出的权利。基于预期保修或召回的目的,汽车经销商和车辆制造商有权持有和共享车辆和所有权人的信息。
AB 1146 也没有赋予消费者要求删除的权利,车辆和所有权人的信息对于企业履行车辆保修或召回的法律义务或合同义务是必需的。 CCPA草案公布以后,引起美国社会各界的强烈反响, 一些企业和利益相关者一直呼吁修订CCPA,如加州隐私和消费者保护委员会于今年4月下旬提出了详细的修订意见,很多内容已被这次的修订所吸收!
声明:本文来自数据法盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。