文 | 石月 信通院互联网法律研究中心高级研究员

魏儒淇 信通院互联网法律研究中心实习生

2022年3月24日,美国犹他州州长Spencer J. Cox正式签署《犹他州消费者隐私法》(UtahConsumer Privacy Act,简称UCPA)。继加利福尼亚州、弗吉尼亚州和科罗拉多州之后,犹他州成为美国第四个颁布综合性消费者隐私法的州。UCPA在大量借鉴《弗吉尼亚州消费者数据保护法》(VirginiaConsumer Data Protection Act,VCDPA)、《科罗拉多隐私法》(ColoradoPrivacy Act,CPA)以及《加州消费者隐私法》(California Consumer Privacy Act,CCPA)的基础上,采取了一种更为宽松且商业友好型的消费者隐私保护方案。本文拟对UCPA法案主要内容进行分析介绍,以供参考。

一、UCPA的主要内容

(一)法律适用范围

UCPA第13-61-102节第(1)条明确规定,该法案仅适用于符合以下条件的控制者或处理者:

“(a)(i)在本州开展业务;或(ii)生产针对本州居民消费者的产品或服务。

(b)年收入(Revenue)为$25,000,000及以上;并且

(c)达到以下一个或多个标准:(i)在一个日历年内,控制或处理100,000人及以上消费者的个人数据;或(ii)通过销售个人数据取得的收入占总收入的50%以上,并且控制或处理25,000人及以上消费者的个人数据。”[1]

由此可见,年收入门槛的设置意味着年收入在2500万美元以下的实体不会受到UCPA的管辖,而年收入高于2500万美元的实体也仅在同时满足上述(c)项所述条件之一的情况下才会受到UCPA的约束。相比之下,2500万美元的年收入门槛是CCPA适用于实体的独立条件,CPA和 VCDPA均不包括基于收入的豁免,显然UCPA 的适用范围比其他三个州隐私法更为狭窄。

在限缩了法案适用范围的前提下,UCPA还另行规定了豁免适用的诸多情形,包括实体层面的豁免和信息(information)层面的豁免。前者主要指政府、与政府有合同关系并代表其行事的第三方、高等教育机构、非营利组织等实体,此类实体并不落入UCPA的管辖范围;后者则主要指UCPA不适用于受《健康保险携带和责任法》(HealthInsurance Portability and Accountability Act)、《格雷姆-里奇-比利雷法》(Gramm-Leach-BlileyAct)、《公平信用报告法》(FairCredit Reporting Act)、《驾驶员隐私保护法》(Driver’s Privacy Protection Act)、《家庭教育权利和隐私法》(FamilyEducational Rights and Privacy Act)以及《农业信贷法》(FarmCredit Act)等保护的信息。就业过程中处理或维护的数据,包括求职者数据,也不在UCPA的保护范围内。

(二)相关定义

根据UCPA,“消费者”是指“在个人或家庭范围内行动的本州居民”,而不包括“在雇佣关系中或从事商业活动的个人”。同时,UCPA将“个人数据”定义为“与已识别或可识别的自然人有关联或可合理关联的数据”,并且将去标识化的数据、公开数据以及汇总数据排除在保护范围之外,其中“汇总数据”是指“与一组或一类消费者有关的以下信息:(a)其中的个人消费者的身份已被删除;并且(b)不与任何消费者相关联或不能合理地与任何消费者相关联的信息。”

值得注意的是,CCPA和CPA对“销售”的定义涵盖了以货币或其他有价值的对价(for money or other valuable consideration)而进行的交易,相比之下,UCPA将“销售”限定为控制者与第三方以可以用货币衡量的对价(monetary consideration)交换个人数据的行为,而未引入含义不明的“其他有价值的对价”这一概念。

除此以外,UCPA和VCDPA、CPA一样将符合特定情形的“披露个人数据”的行为排除在“销售”行为之外,例如向代表控制者处理个人数据的处理者披露、向控制者的关联方披露、为提供消费者要求的产品或服务而向第三方披露等,均不属于销售行为。除此之外,UCPA规定,如果结合消费者在向控制者提供个人数据时的情况,控制者向第三方披露个人数据的目的符合消费者的合理期待,亦不构成“销售”。

(三)控制者的义务

UCPA对控制者主要规定了以下几方面的义务:

一是应向消费者提供可合理访问的清晰隐私声明。

二是建立、实施和维护旨在保护个人数据的保密性和完整性的合理的数据安全制度。

三是不得通过以下方式歧视行使权利的消费者:“(i)拒绝向消费者提供商品或服务;(ii)就商品或服务向消费者收取不同的价格或费率;或(iii)向消费者提供不同质量水平的商品或服务。”但是,如果消费者已经退出定向广告,或者该要约与消费者自愿参与善意的忠诚度计划相关,则控制者可以提供“不同的价格、费率、水平、质量或对商品或服务的选择”。

四是如果控制者将消费者的个人数据销售或用于提供定向广告,则应当清楚地、醒目地向消费者告知其可行使退出相关处理的权利的行使方式。

五是关于儿童个人数据保护。控制者在处理已知是13岁以下的儿童(a known child)的个人数据时,控制者应取得其父母或其他法定监护人的同意,并遵守《儿童在线隐私保护法》(Children"sOnline Privacy Protection Act)的规定。

六是关于敏感数据处理的规则。根据UCPA,以下内容被视为敏感数据:(1)揭示个人的种族或民族血统、宗教信仰、性取向、公民身份或移民身份的个人数据,或有关个人病史、心理或身体健康状况或医疗保健专业人员的医疗或诊断的信息;(2)以识别特定个人为目的时处理的个人基因数据或生物特征数据;和(3)具体的地理位置数据。同时,UCPA还规定了敏感数据不包括由视频通信服务处理的揭示个人种族或民族血统的个人数据,以及根据《卫生保健设施许可和检查法》(Health Care Facility Licensing and Inspection Act)和《职业和专业》(Occupationsand Professions)被许可提供医疗保健服务的人员处理的有关个人病史、心理或身体健康状况或医疗保健专业人员的医疗或诊断的信息。与其他数据隐私法一样,UCPA明确创建了围绕“敏感数据”的额外保护,控制者在处理敏感数据时必须“首先向该消费者提供明确的通知,并提供选择退出(opt-out)处理的机会”。

此外,与VCDPA和CPA不同,UCPA不包括对数据保护评估或进行网络安全审计或风险评估的要求。

(四)消费者的权利

UCPA为犹他州的消费者创设了访问权、删除权、数据可携带权以及决定退出某些处理的权利。具体要求包括:

一是消费者的访问权。法律的规定了消费者有权:(a)确认控制者是否正在处理消费者的个人数据;(b)获取消费者的个人数据。

二是消费者删除权。法律规定消费者有权删除其提供给控制者的个人数据。

三是消费者的可携带权。法律规定消费者可以以可携带且易于使用的格式获取消费者个人数据的副本,使消费者能够不受阻碍地将数据传输到另一个实体。

四是消费者的选择退出权。消费者有权出于以下目的选择不处理其个人数据:(a)定向广告;或(b)个人资料的销售。

法律规定可以通过控制者规定的方式向控制者提交请求以行使权利,通常情况下,控制者应当在收到行使权利要求之日起45日内采取行动并告知对应的消费者,如果控制者决定不针对消费者的请求采取行为,亦应当在收到行使权利要求之日起45日内通知其不采取行动的理由,如需延长上述期限还应当通知消费者延期长度及合理理由。

值得注意的是,UCPA并未授予犹他州消费者纠正其个人数据不准确之处的纠正权,且未为消费者创设私人诉讼权。

(五)执法程序

根据UCPA,犹他州的消费者保护部门将建立消费者投诉接收管理系统,该部门可以针对消费者投诉展开调查以确定控制者或处理者是否存在违反本法规定的行为。如果该部门主管发现有合理理由相信存在实质性的(违法)证据,则需要将其提交给司法部长。司法部长拥有专属执法权,如果其决定对移交的事项采取行动,须首先向控制者或处理者提供书面通知,控制者或处理者有30天的时间以纠正违法行为并向司法部长提供一份书面声明,说明违法行为已得到纠正并且承诺不再发生违法行为。如果控制者或处理者未能纠正违法行为,或在提供书面声明后继续违法,司法部长可以要求控制者或处理者赔偿消费者的实际损失,并就每次违法行为处以最高7500美元的损害赔偿金。

二、对于UCPA的评价

整体上来看,UCPA被认为采取了一种宽松、商业友好型的隐私保护方案。对此,该法案的主要提案人、犹他州参议员KirkCullimore在3月1日举行的该法案最后一次众议院听证会上称:“该法案通过直接关注犹他州消费者及其受保障的权利,而不是困惑企业和消费者的繁冗条款,实现了一种平衡。它为企业和犹他州消费者创建了一个清晰可行的标准。”

从企业的角度出发,Foley&Lardner的合伙人JaredBraithwaite认为,法案并不会对企业造成太大的合规成本,他表示:“我不认为这项法案中有什么地方能让它成为一个例外或需要特殊考虑的东西。”但另一方面,也有人对法案表示失望,例如,《消费者报告》高级政策分析师MaureenMahoney认为,法案并没有保护公民的隐私权,它缺乏使其对消费者可行的关键要素,并且可能无法有效约束谷歌和脸书等科技巨头的隐私实践。

此外,多层次的执行程序是该法案提出的少数几个独特概念之一,也引起了各方的高度关注。根据UCPA的规定,犹他州的消费者不享有私人诉讼权,如果他们希望就违法行为提出索赔,需要先经消费者保护部门和司法部长办公室的双重调查和处理。犹他州司法部副部长Sonnenreich认为这有利于为企业提供一些保护措施,对于执法部门和企业来说都是更为理想的结果。就执法力度而言,Sonnenreich认为:“执法部门和企业不想看到一大堆执法行动,而是把重点放在最有可能造成伤害的地方……如果没有人受到巨额罚款,一项法律就会被视为是失败的,但目标应该是遵守法规,而不是罚款。”

三、结语

UCPA将于2023年12月31日生效,其实施效果仍有待观察。但正如提案人KirkCullimore所言,该法案目前的形式只是一个起点。UCPA要求犹他州的消费者保护部门和司法部长在2025年7月1日前提交一份评估该法案的实施有效性的报告。

[1]https://le.utah.gov/~2022/bills/static/SB0227.html

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。