美国《加州消费者隐私法》(CCPA)最终版在2019年9月获得通过,2020年1月1日起正式生效。CCPA是继欧盟《通用数据保护条例》(GDPR)之后最重要的数据保护法律,被称为美国“最严厉、最全面的个人隐私保护法案”。研究CCPA的内容和创新点,对制定我国个人信息保护方案具有参考意义。

一、CCPA的主要内容

明确适用对象,对受规制的经营实体及受保护的数据类别进行了排除。CCPA适用于在加州开展业务的内容涉及收集或处理消费者个人信息的企业。非盈利机构、接受数据控制者委托而提供数据处理服务的企业,以及未达到适用门槛的中小企业,可以不受CCPA的约束。 此外,在适用保护数据方面,CCPA也非常务实地排除了集合信息、去身份数据、政府公开数据、雇员信息、个人车辆和所有权信息,以及联邦法已经覆盖的医疗、征信、驾驶、金融等数据。

对“个人信息”范围的限定较为宽泛。CCPA将“个人信息”界定为“直接或间接地识别、描述、关联或可合理连接到特定消费者或家庭的信息”,并进行了举例说明。这种“抽象定义+不完全列举”的界定方式,既为企业提供了相对明确的指引,又为未来个人信息内涵的拓展预留了空间。此外,将“特定家庭”信息纳入管辖范围,也体现出CCPA在为物联网时代的到来做准备。

强化消费者隐私权利保护,尤其对未成年人信息给予了特殊保护。CCPA 赋予了消费者多项信息权益,包括数据披露请求权、数据删除权、选择退出权、公平服务权以及民事诉讼权等,以提高消费者对其个人信息的控制能力。同时,CCPA延续了加州注重对未成年人给予特殊保护的传统,并扩大了适用主体的范围,不再局限于线上经营者,符合条件的所有企业都必须履行未成年人保护条款下的义务。

二、CCPA的亮点分析

个人信息保护标准由分散迈向统一。在个人信息保护方面,美国采取分散立法模式,根据个人信息的所属类别进行分业监管。2014年通过的《学生在线个人信息保护法》,旨在保护学生的网上个人信息,禁止运营商对其进行出售、披露;2017年通过的《电子邮件隐私法案》,更新了1986年的《电子通讯隐私法案》,并明确规定,执法部门需在获得搜查令后方可访问存储在运营商服务器上的电子邮件等电子通讯内容。这次通过的CCPA,不同于以往美国联邦层面针对特定行业、特定事项的隐私法案,而是广泛适用于在加州开展业务、收集处理加州居民个人信息并符合一定门槛条件的企业,在一定程度上体现了美国建立个人信息保护统一标准的趋势。

合理平衡个人信息保护与产业发展。CCPA在强化保护消费者隐私权利的同时,也给予了企业充分利用信息的空间。区别于欧盟GDPR将数据主体的同意作为数据处理合法的条件,CCPA采用“选择退出”机制保护用户信息。企业收集个人信息无需事先征得信息主体同意,但在后续使用、售卖过程中需要给用户拒绝的权利。这种做法对信息主体而言更为真实有用,也能减少新进入市场企业的发展阻碍。同时,CCPA还兼顾关照了中小企业的发展。它并未像GDPR那样将任何规模的实体都纳入约束范围,而是将消费者隐私保护义务限定在比较大型、收集了大量消费者个人信息,以及将消费者个人信息作为主要盈利手段的企业,对未达到适用门槛的中小企业进行了豁免。

赋予消费者个体获得赔偿的权利,使民事集体诉讼成为可能。CCPA赋予了个人追究该法案下损害赔偿的权利,规定了某些数据泄漏的私人诉讼权,使得民事集体诉讼成为可能。每个消费者都可就个人信息安全事件要求损害赔偿,同时还可申请禁令救济或宣告性救济。CCPA通过赋予加州检察官提起诉讼的权力,并规定一些诉讼在提起前必须满足的条件(如给予经营实体30天的提前通知和补救时间),对私人诉讼权加以约束,以避免产生集体诉讼的狂热。

三、对我国的启示

制定全面、统一的个人信息保护法。从欧盟的GDPR到美国的CCPA,不难看出,制定全面、统一的个人信息保护法已成为一种立法趋势。然而,迄今我国一直未能出台一部关于个人信息保护的统一法律,有关个人信息保护的规定分散在《民法总则》、《网络安全法》、《电子商务法》和《消费者权益保护法》等法律法规中,且其保护范围、方式和目的也不尽相同。面对个人信息保护这一互联网领域立法中的共性问题,分散立法可能导致政出多门、立法重复,相关的个人信息保护社会化服务体系建设也可能难以实现突破。基于此,建议我国结合实际情况, 制定一部专门的、统一的个人信息保护法,以确定公民对其个人信息享有的权利、个人信息处理者应尽的义务、个人信息遭受侵害的救济途径,以及有效的监管制度和严格的惩处机制等。统一的个人信息保护法可以做概括式、总则式的规定,从而为技术的创新发展留出空间。

建立健全个人信息保护集体诉讼机制,为个人提供更多的救济渠道。目前,我国对消费者个人信息保护的事后救济和保障制度还有待完善。消费者在个人信息权益遭受侵害时,除了向有关行政部门投诉外,并没有其他可以得到充分保护的救济方式。为此,我国应当尽快完善诉讼机制,真正发挥司法在保护个人信息方面的重要作用。对于同一网络运营者侵害多个消费者个人信息的情况,可采用集体诉讼的方式进行处理,审判结果适用于所有被侵害权益的消费者;对于单一消费者个人信息遭受侵害的情况,可采用小额诉讼的方式,减轻其诉讼成本,减少发生消费者因诉讼成本高而放弃起诉的情况。此外,个人信息保护监管机构、各类公益组织也应积极发挥作用,充分利用自身掌握的信息资源帮助消费者维权,或针对企业在个人信息保护方面的一些不当行为提起公益诉讼。

探索构建“选择进入”与“选择退出”相结合的双轨制个人信息保护体系。在个人信息保护方面,我国目前主要推行“选择进入”机制,即数据获取方需得到数据主体同意才可收集处理其个人信息。但在现实中,却存在着“若用户不同意授权则无法使用网络服务”这类“强制同意”现象,用户的选择权形同虚设。“选择进入”机制还可能导致个人信息收集机构在责任承担上“一劳永逸”,因为“知情同意”的法律责任会归属于用户一方。此外,在“选择进入”机制下,用户对其个人信息的实际利用情况也不得而知。针对此类问题,建议我国对个人信息收集的相关场景与范围进行划分,衡量不同场景下个人信息的风险与价值等级,借鉴CCPA中的“选择退出”机制,探索建立“选择进入”与“选择退出”相结合的双轨制个人信息保护体系,并在适宜的行业或企业开展相关试点示范工作,保障用户的知情权,提高信息主体对个人信息的控制力。

本文作者:赛迪智库网络安全研究所 周千荷

声明:本文来自赛迪智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。