加州颁布消费者隐私法

美国加州颁布了 2018 年加州消费者隐私法（CCPA， California Consumer Privacy Act ），并将自 2020 年 1 月 1 日起生效。该法案将企业收集、储存、销售和分享消费者信息的若干权利授予消费者本身。其中，消费者指的是居住在加州的“自然人”。这是美国首个此类立法。

概述

消费者有权要求企业披露其所拥有的信息、收集信息的来源类别、收集或销售的业务目的，以及共享信息的第三方企业类别。企业必须根据消费者经验证的请求删除其个人信息。消费者也有权知道企业提前收集了哪些信息。

通常情况下，消费者必定默认不允许（opt-out）采集数据。

该法案禁止企业歧视提出此类请求的消费者。歧视的定义涵盖各种质量的商品或服务，除非它与消费者数据的价值相关。该法律将如何适用于那些提供免费服务以换取信息采集的企业，目前尚未明确。

企业必须公布隐私政策，以及如何使用和销售消费者信息的政策。企业可以保留一些信息用于内部目的。但是法律并未界定什么是企业内部目的。

个人信息的定义

CCPA 给出了个人信息的一个宽泛定义，该定义超出了通常被认为是敏感信息或财务信息的范围。“个人信息”是指能与特定消费者或其家庭直接或间接地识别、关联、描述并能够与之相关联或可能合理地相关联的信息。其中包括但不限于：

• “标识符。例如真实姓名、别名、邮政地址、个人唯一标识符、在线标识符、互联网协议地址、电子邮件地址、帐户名称、社会保险号码、驾驶证号码、护照号码或其它类似的标识符。”
• “商业信息，包括购买、获得或被考虑的个人财产、产品或服务的记录，以及其它一些购买或消费的历史或趋势。”
• “生物信息。”
• “互联网或其他电子网络活动的信息，包括但不限于浏览历史、搜索历史，以及有关消费者与 Web 网站、应用或广告的交互信息。”
• “地理位置数据。”
• “音频、电子、视觉、热量、嗅觉或其它类似的信息。”
• “专业或就业相关信息。”
• “受教育信息。”
• “可从上述细分信息中推理确定消费者相关概况的任何信息，包括偏好、特征、心理趋势、偏好、倾向、行为、态度、智力、能力和资质等。”

个人信息中并未包括公开可用的信息。

一些允许的例外情况

通常小企业和非营利组织似乎是免税的，同样它们如果从事某些信息收集活动也可以获得保障。但它们必须符合联邦、州或当地法律，遵守法律和监管传票，响应传票或合理的执法调查。

对于去识别的信息或汇总信息，企业可以使用、保留、出售或披露。

如果交易的各个方面都完全发生在加州以外，那么企业可以收集或出售个人信息。但是如果消费者身处加州，那么企业不能在设备上存储其个人信息，并用于收集加州以外的数据。

对不遵守法规行为的处罚

按法案规定，由加州检察长负责执法，并支持个人消费者在数据泄露后提起诉讼。数据泄露定义为由于企业未能维护合理的安全程序，而造成未经加密或未经编辑的信息产生未授权的访问、被盗或泄露。纸质数据的丢失也将被追责。司法部长可执行立法中的所有规定。

该法案规定了总检察长诉讼收益的分配方法。该法案将在普通基金（General Fund）中设立消费者隐私基金（Consumer Privacy Fund）。经立法机关批准后，基金中的款项将用于支持法案及法案执行的目的。该法案规定罚款也将存入基金。

该法案并未对合理的安全程序做出定义。加州司法部长此前曾引用互联网安全中心（ Center for Internet Security’s Critical Security Controls ）的 20 个关键安全控制控件，依此作为对使用个人信息的企业的最低信息安全级别定义。

该法案“将放弃豁免按条款规定的消费者权利。”

为便于法规通过，该法案要求司法部长按规定征求公众参与。该法案将授权企业、服务提供商或第三方企业寻求司法部长对如何遵守法案规定的意见。

立法史

该法案是在一周时间内完成由州长重新提起、通过并签署的。

该法案的这种速度，是为了抢在一项投票倡议的前面。该投票倡议将在2018 年11 月选举中出现。投票的发起人表示，如果加州消费者隐私法案能于6 月29 日通过并由州长签署，那么他们将从投票中撤回该提案。

自“进步时代”（ The Progressive Era ）以来，加州公民可对建议法律诉诸投票。如果投票通过，那么该法律将成为州立法机关无法修改的州法。修正案必须由其他倡议作出。

影响

虽然该法律保护仅适用于加州公民，但事实上将影响美国的绝大部分。加州是美国人口最多的州。假定加州是一个独立的国家，那么它的经济排名世界第五，超过英国或法国。该州之外的许多企业会发现，在隐私政策或退出规定方面，对加州和非加州居民采取不同的处理方式会造成很多麻烦。从理论上讲，即便是非加州的IP 地址也可以在加州境内使用，加州居民也可暂时在加州境外办理业务。

与欧盟GDPR 的对比

二者尽管从表面上看类似，但其实它们截然不同。加州立法的范围受到了更多的限制。此外，符合GDPR 并不会导致自动符合CCPA 。

加州立法局限于消费者隐私权和消费者披露。GDPR 不仅规范了消费者披露、而且还包括数据泄露程序、个人和监管机构的通知、如何实施数据安全以及跨境数据传输规则等。GDPR 授予诸如纠正等权利，不受基于自动决策制定的决定的约束，并且可能是被遗忘的权利。GDPR 要求用户主动选择同意（opt-in），而CCPA 通常要求默认选择不使用（opt-out）个人数据。CCPA 要求提供免费电话号码，而GDPR 则不需要。目前尚不清楚企业应如何遵守一些相互冲突的要求。

GDPR 不允许根据隐私数据的不同许可程度制定不同的定价机制。CCPA 并未明确企业为鼓励数据采集，可以为企业提供哪些经许可的财务激励。 CCPA 中对消费者数据定义要比 GDPR 中的定义更广泛。 此外，两者对披露和删除的允许例外情况有所不同。

启示

距该法案生效还有一年半的时间。这将为法律的修改提供充足的时间，或者期间可能会通过超越加州法律的国家立法。后者完全可能发生，因为可能会通过多个相互冲突的州法。业界可能认为该法案需要弱化，进而通过一些国家立法，尤其是在去除消费者诉讼方面。行业团体和国家立法者也陷入了客户当前所期望的以及他们认为企业所需要的这两者之间。类似于此类立法，国家政府要么设立新的机构，要么让联邦贸易委员会制定新的法规。

另一个有趣的方面在于，一些大型的科技企业可能会希望法规越复杂、越详细越好，这样只有他们才有时间、金钱和资源去实施。这将为竞争对手的进场制造障碍。有报道称由于GDPR 过于繁琐，欧洲的一些小型企业正在关闭。

查看英文原文： California Creates Consumer Privacy Act