如何处理敏感个人信息？美国CPRA、CPA和VCDPA比较分析

来源：Jdsupra

翻译：汪越洋，上海交大法学院硕士生

要点：敏感个人信息是加州隐私权法案 (CPRA)、科罗拉多州隐私法案 (CPA) 和弗吉尼亚消费者数据保护法案 (VCDPA)这三部法律共同关注的重点，但三者的相关规定又各有不同。其中，CPRA 要求企业仅将某些类型的敏感个人信息用于有限目的，否则必须将其他目的通知消费者并为消费者提供选择退出此类处理的机会，而 VCDPA 和 CPA 则要求控制者获得消费者同意并在处理敏感数据之前进行数据处理的影响评估（DPIA）。

本文将研究这三部法律如何处理敏感的个人信息。CPRA 对敏感个人信息有广泛的定义，但要遵守法律的限制，企业必须出于“推断消费者特征的目的”才能收集或处理该信息。如果是这样，CPRA将授予企业对此类数据的处理的权利，但这些权利限制于法律规定的某些目的。相反，VCDPA 和 CPA 对敏感数据的定义与 CPRA 不同，其要求控制者在处理此类信息之前获得消费者同意并进行数据处理的影响评估(DPIA)。

加州隐私权法案 (CPRA)

当前的加州消费者隐私法 (CCPA) 没有定义或处理不同的敏感信息。而加州隐私权法案（CPRA） 引入了“敏感个人信息”，作为个人信息的一个子类别，并将其定义为：

(1) 披露以下内容的个人信息：

(A) 消费者的社会保障、驾驶执照、州身份证或护照号码。

(B) 消费者的账户登录信息、金融账户、借记卡或信用卡号以及任何所需的安全和访问代码、密码，以及允许访问账户的凭据。

(C) 消费者的精确地理位置。

(D) 消费者的种族、民族、血统、宗教或哲学信仰以及工会会员资格。

(E) 消费者的邮件、电子邮件和短信的内容。其中企业是通信的预期接收者的情形除外。

(F) 消费者的基因数据。

(2) (A) 为唯一识别消费者而处理生物特征信息。

(B) 收集和分析的有关消费者健康的个人信息。

(C) 收集和分析的有关消费者性生活或性取向的个人信息。

(3) 根据第 (v) 款第 (2) 款“公开”的敏感个人信息不应被视为敏感个人信息或个人信息。

在这三部法律之间，金融账户信息、消费者政府颁发的身份证明数据以及消费者电子通信的内容是CPRA 的定义所独有的。更重要的是，加州隐私保护局 (CPPA) 也有权更新或添加其他类别。

尽管定义中包含了广泛的信息类别列表，但 CPRA 指出，敏感的个人信息“应被视为个人信息，并且适用于 CPRA 的所有部分”，除非是为了“推断消费者特征”而收集或处理这些信息。

如果企业为了推断消费者的特征而收集或处理敏感的个人信息，则需要将其对该信息的使用自我限制为 CPRA 中规定的某些目的，或者，如果超出这些目的，它将需要向消费者提供通知，并有义务将企业对信息的使用限制在法定目的范围内。加州隐私保护局 (CPPA)负责发布相应的法律规范，以确保这种例外仅“适用于偶然收集或处理的信息，或不以推断消费者特征为目的的信息”，并确保“企业不会将这种例外用于规避消费者限制使用和披露其敏感个人信息的权利。”

如果企业出于推断消费者特征的目的收集或处理敏感个人信息，CPRA 确定了企业可以使用敏感个人信息的三个目的。

首先，如果“有必要实施服务或提供请求这些商品或服务的普通消费者合理预期的商品”，企业可以使用敏感的个人信息。

其次，企业可以使用敏感的个人信息来执行§1798.140(e)(2)、(4)、(5) 和 (8) 中规定的服务，这些服务是：

·帮助确保安全性和完整性，以达到这些目的合理必要且相称的消费者个人信息的使用。

·短期的、短暂的使用，包括但不限于作为消费者当前与企业互动的一部分而展示的非个性化广告，前提是消费者的个人信息未透露给其他第三方且未用于建立关于消费者或以其他方式改变消费者在当前与企业互动之外的体验。

·代表企业执行服务，包括维护或服务账户、提供客户服务、处理或履行订单和交易、验证客户信息、处理付款、提供融资、提供分析服务、提供存储或代表代表提供类似服务商业。

·开展活动以验证或维护企业拥有、制造或控制的服务或设备的质量或安全，并改进、升级或增强其拥有、制造或控制的服务或设备。

第三，企业可以将敏感的个人信息用于 CPPA 在其规则制定中授权的目的。

如前所述，如果企业处理不属于上述三类用途的敏感个人信息并推断消费者的特征，则必须 (1) 向消费者提供解释这些用途的通知并 (2) 允许消费者选择通过在企业的互联网主页上提供的方式推出，并且这些主页上的退出方式必须“存在清晰且显眼的链接”、标题为“限制使用我的敏感个人信息”。如果企业还出售或共享个人信息，则此链接可以与“请勿出售或共享我的个人信息”链接混合使用。

或者，如果企业允许消费者通过表示消费者选择退出意图的退出偏好信号来行使他们的权利，则企业不需要提供链接。我们将在以后的文章中探讨 CPRA 的退出信号规定。

如果消费者行使限制企业使用或披露敏感个人信息的权利，企业必须避免使用或披露这些信息，并等待至少 12 个月，然后再要求消费者授权出于其他目的使用或披露此类信息.

鉴于 CPRA 规则制定过程正在进行中，迄今为止还没有任何规则草案，CPRA 处理敏感个人信息的确切轮廓尚未确定。2021 年 9 月，CPPA 发布了一份初步评论邀请函，为了解 CPPA 对此问题的思考提供了一些窗口。具体而言，CPPA 就以下与此问题相关的主题征求并收到了书面意见：

·应制定哪些规则和程序以允许消费者限制企业对其敏感个人信息的使用。

·哪些要求和技术规范，会定义选择退出偏好信号，以表明消费者打算退出销售或共享消费者的个人信息或限制使用或披露消费者的敏感个人信息。

·企业应采取哪些措施，为先前通过退出偏好信号表达了退出偏好的消费者，提供同意出售或共享其个人信息或使用和披露其敏感个人信息的机会。

·什么构成“敏感个人信息”，哪些情况应被视为“在没有推断消费者特征的情况下收集或处理”，从而不受限制使用和披露的权利。

·尽管消费者指示限制使用或披露消费者的敏感个人信息，但应允许企业使用或披露消费者的敏感个人信息。

弗吉尼亚消费者数据保护法 (VCDPA)

VCDPA 对敏感数据的定义和处理在几个方面与 CPRA 不同。

首先，VCDPA的定义不同：

“敏感数据”是指一类个人数据，包括：

·表示种族或民族血统、宗教信仰、心理或身体健康诊断、性取向或公民身份或移民身份的个人数据；

·为唯一识别自然人而处理遗传或生物特征数据；

·从已知的儿童收集的个人数据；

·精确的地理位置数据。

与 CPRA 不同，VCDPA 的定义不包括政府签发的身份证明、某些财务账户信息、工会会员资格、性生活信息或企业不是预期接收者的消费者电子通信的内容。相反，加利福尼亚州不包括从已知儿童和公民身份或移民身份收集的个人数据。正如我们在之前的文章中所讨论的，法律对生物特征信息/数据的定义也不同。同样，加州的定义必须在其资格的背景下阅读，即信息用于“推断消费者特征的目的”。

其次，VCDPA 要求控制者在处理敏感数据之前征得消费者同意，或者对于已知的儿童，根据联邦儿童在线隐私保护法 (COPPA) 处理此类数据。这与 CPRA 的退出模型形成对比（尽管 CPRA 对儿童数据的处理需要进一步探索，以后的文章会进行分析）。同意必须基于“消费者自由给出的、具体的、知情的和明确的协议”，以便控制者处理数据。

第三，VCDPA 要求控制者在处理敏感数据之前进行并记录数据保护评估。我们在本系列的前一篇文章中分析了数据保护评估。CPPA 可能会发布法规，要求对 CPRA 下的敏感个人信息处理进行类似评估。但是，截至本文发表时，并没有这样的要求。

最后，该分析受制于这些法案的未来修订。弗吉尼亚州立法机构目前正在考虑一项法案——HB 1259——旨在修改 VCDPA 对敏感数据的处理方式。

科罗拉多州隐私法 (CPA)

CPA 对敏感数据的处理通常与 VCDPA 一致——这是一种同意模式，还要求控制者进行数据保护评估。

但是，这两项法律对“敏感数据”的定义不同。例如，CPA 的定义不包括精确的地理位置，尽管这两项法律的定义都包括性取向和心理或身体健康诊断，但 CPA 的定义扩大到包括性生活（如 CPRA）和心理或身体健康状况。此外，虽然这两项法规都包括为唯一识别自然人而处理的生物特征数据，但正如我们在本系列的前一篇文章中总结的那样，法律对此类数据的处理方式有所不同。

最后，虽然这两项法律都要求控制者获得处理敏感数据的同意，但它们对同意的定义并不相同。有趣的是，VCPDA 和 CPA 并未明确规定控制者必须允许消费者随时撤回同意（例如 GDPR 第 7 条）。CPA 确实在通用退出机制的背景下解决了撤回同意的问题，但在敏感数据处理的背景下却没有。

企业如何做到数据合规？

与CPRA相比，VCDPA 和CPA 之间的相似性将使这些法律之间的合规性更加简化，这取决于科罗拉多州隐私保护局可能就该主题制定的规则以及可能对 VCDPA 采取的立法行动。也就是说，根据企业收集的信息类型，CPRA 的合规性可能更容易实现，因为它不需要消费者同意来处理敏感的个人信息，也不会在处理不是为了推断特征的情况下施加额外的义务。然而，CPRA 合规的复杂性取决于进一步的规则制定，特别是围绕选择退出信号的规则制定。

一个有趣的问题是，一个组织是否可以采取这样的立场，即获得消费者的事先同意就足以满足所有三项法律。实质上，CPRA暗示了消费者的同意，但仅限于上述三个特定的法定类别。换句话说，只要企业只处理这三个允许的法定类别的敏感个人信息，它就不必提供选择退出。

问题是企业是否会从收集消费者对超出三个允许法定类别的处理活动的预先同意中获得任何好处，因为它可能已经需要这样做以达到 VCDPA 和 CPA 合规性。但是，CPRA §§ 1798.121 或 .135 中没有任何内容表明获得消费者同意无需向消费者提供限制其敏感个人信息使用的权利。相反，同意的概念只有在消费者行使此权利后才会出现。例如，CPRA § 1798.135(c)(4) 规定，如果企业收到限制消费者使用敏感个人信息的请求，则需要等待至少 12 个月才能请求消费者授权使用。识别选择退出偏好信号的企业也被允许寻求消费者同意忽略该信号，但该同意必须是可撤销的。也许 CPPA 在其规则制定过程中会得出不同的结论，但目前看来，消费者同意并不是确保这些法律之间互操作性的可行方法。

归根结底，遵守这三项法律的最佳方法也许是让企业关注其数据收集实际要求，而不是不必要地收集没有业务需要的敏感个人信息。将企业的数据收集限制在必要的范围内可以减轻合规性工作。

声明：本文来自数据法盟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。