數據合規新法來襲——《加州消費者隱私法案》
作者:史軍、邱夢赟、茅姝馨 2019-08-05在數字經濟時代,對個人隱私及數據的保護成為了當今世界的關注焦點,企業的發展與產業的升級都將建立在做好數據合規的基礎之上。2019年7月24日,美國貿易委員會(FTC)官網發布一則通告,Facebook因侵犯用戶數據隱私而被處以高達50億美元的罰款,堪稱數據隱私保護領域的最高罰單。同時,FTC還對Facebook的業務運營提出了新的限制,并要求其修改公司結構以保證公司能夠真正地對其關于用戶隱私的各項決策負責。該案必將在全球范圍內掀起一波數據合規的新浪潮,推動更多國家與地區的數據合規立法。
繼歐盟的《一般數據保護條例(General Data Protection Regulations)》(以下簡稱GDPR)正式實施一個月后,美國加州政府于2018年6月28日快速通過了《消費者隱私保護法案(California Consumer Protection Act)》(以下簡稱CCPA)。CCPA旨在加強消費者隱私權和數據安全保護,被認為是美國國內當前最嚴格的消費者數據隱私保護立法,將于2020年1月1日正式生效。
鑒于加州是世界第五大經濟體,CCPA的通過將對不少跨國企業產生重要影響,其中也不乏眾多在加州投資的中國企業。本文將對CCPA的主要內容作簡要闡釋,并為擬赴加州投資的中國企業作初步提示建議,以應對新法案的到來。
一、CCPA的關鍵內容及要點
(一)CCPA的適用對象
依據CCPA第1798.140(c)條的規定,該法案適用于在加州組織或經營的、業務內容涉及收集及/或處理消費者個人信息的企業,且滿足如下一個或多個條件:1) 年收入超過2500萬美元;2)為商業目的,每年單獨或組合購買、收取、出售或共享50000人或更多消費者、家庭或設備的個人信息;3)其年收入中不少于50%的部分是通過銷售消費者的個人信息所獲得。該法案也適用于控制或受符合上述標準的企業控制且同該等企業共享品牌的任何組織,故而這一規定將對特許經營企業和子公司產生廣泛的影響。(注:CCPA下所指消費者系“加州永久居民”)
此外,如果與上述企業有業務往來或是為其提供服務的,則那些原本不直接適用于該法案的企業也可能會受到該法案的約束。
綜上所述,我們認為受CCPA影響較大的主要對象主體將包括:銀行業和保險公司;科技和軟件公司;零售商和旅游業等。
(二)“個人信息”的定義
CCPA將個人信息定義為“直接或間接地識別、關系到、描述、能夠相關聯或可合理地連結到特定消費者或家庭的信息”,包括但不限于諸如真實姓名、別名、郵政地址、唯一的個人標識符、在線標識符、互聯網協議地址、電子郵件地址、商業信息、生物信息、地理位置數據、英特網或其他電子網絡活動信息以及從個人信息中獲取推論以創建能夠反映消費者偏好和態度畫像的信息等。
然而,CCPA也將“公開可得”信息,即能夠從聯邦、州或地方政府記錄中可合法獲取到的信息,排除出了CCPA下“個人信息”的范圍,但前提是這些數據的用途需與政府記錄中公布的或其公開維護的數據的目的相符合。
相比傳統美國法律下的個人信息概念,CCPA下“個人信息”所涉范圍十分廣泛,雖然存在“公開可得”信息的除外情況,但其適用也存在限制性條件,受管轄企業在具體操作過程中應予以特別注意。
(三)關于消費者權利/企業義務的規定
基于上述“個人信息”的范圍,CCPA給予了消費者較多的對個人信息保護的權利,并同時對規制企業設置了相應的義務,主要包括:
1、披露權
根據CCPA的規定,消費者有權要求收集其個人信息的企業向其披露所收集信息的類別和具體要素。進一步地,消費者有權要求出售消費者個人信息或因商業目的而披露消費者個人信息的企業向其披露如下信息:1)該企業收集的有關該消費者的個人信息類別;2)通過對某一類或是某幾類個人信息任一第三方,企業出售的消費者個人信息類別以及買售消費者個人信息的第三方類別;3)企業為商業目的而披露的個人信息類別。企業在收到消費者的可核實請求后,應按規定予以披露。
相應地,收集消費者個人信息的企業也應當在收集時或者收集前告知消費者所收集個人信息的類別及個人信息的使用目的,且在未向消費者提供符合所要求的告知情況下,企業不得收集其他類別的個人信息,或者將所收集個人信息用于其他目的。企業在收到訪問或披露個人信息的請求時,應按相關要求向消費者披露和提供其要求的個人信息。
此外,CCPA區分了披露的個人信息與銷售的個人信息,企業必須在披露信息及其對消費者請求的回應中明確:1)其出售的消費者個人信息的類別,或者明確披露企業未曾出售消費者的個人信息;2)其為商業目的披露的消費者個人信息的類別,或者明確披露企業尚未因商業目的披露消費者的個人信息。
2、刪除權
CCPA向消費者賦予了“被遺忘權”,也即刪除權。除適用CCPA規定的某些例外情況外,消費者在一般情況下均有權要求相關企業刪除從該消費者處收集的個人信息。相應地,收到消費者關于刪除要求的可驗證請求的企業,應當從其記錄中刪除消費者的個人信息,并指示所有服務提供者從其記錄中刪除該消費者的個人信息。
3、選擇退出權和反歧視禁令
CCPA還向消費者賦予了“選擇退出權”(Opt-Out Right),即消費者有權在任何時候指示欲向第三方出售其個人信息的企業不得采取出售行為。相應地,相關企業也負有對應的通知義務,并應告知消費者他們有權選擇其個人信息不被出售。而對于16歲以下未成年人,企業必須取得其確定性的同意授權,才可以出售其個人信息。
此外,為保障消費者的“選擇退出權”,CCPA規定即使消費者行使了該權利,相關企業也不得因此歧視消費者,包括但不限于不能拒絕為其提供產品或服務,或在價格和服務質量上區別對待該消費者等。但是,受管轄企業仍然可以通過為消費者提供經濟激勵的方式,獲得消費者對企業收集、售賣其個人信息的許可。
4、透明度和披露要求
為保障消費者權利的有效落實,CCPA要求受管轄的企業應確保其網站上載有符合CCPA要求的關于隱私操作的相關表述。包括但不限于:
對于消費者的“選擇退出權”,企業應在其網站主頁上提供一個清晰且明顯的、名為“不得出售本人個人信息”的鏈接,使消費者或經消費者授權的人士可以選擇不出售消費者的個人信息(根據州總檢察長的規定,消費者可授權其他人士代表消費者本人行使“選擇退出權”,并且企業應遵守該消費者的授權代表以消費者名義發出的退出請求)。
對于消費者的披露權、刪除權等權利,企業應該向消費者提供兩種或更多的形式及方法,便于消費者提交關于披露信息及/或刪除信息的相關請求。
(四)個人訴訟權利和法律責任
CCPA的一大亮點是賦予了個人追究該法案項下損害賠償的權利,規定了某些數據泄漏的私人訴訟權,并使得民事集體訴訟成為了可能。
如果由于受管轄企業違反CCPA項下的相關義務,或未實施和維護合理安全程序以及采取與信息性質相符的做法來保護個人信息,從而致使消費者的個人信息及數據遭受未經授權的訪問、泄漏、盜竊或披露,那么消費者有權就以下任一訴求而向企業提起民事訴訟:1)主張被訴企業就每次違規事件對每個消費者賠償100-750美元的損害賠償金或實際損害賠償金(以數額較大為準);2)主張發布禁止令或宣告性法律救濟;3)法院認為適當的任何其他救濟。
在行使私人訴訟權之前,消費者應當在30個工作日內通知擬訴企業,企業可以在此期間內就其違規行為進行補救,并向消費者提供書面聲明,以說明數據泄露已經得到糾正且不會再發生,以避免訴訟。
二、初步提示建議
CCPA賦予了加州消費者更多的權利并給予了受管轄企業更多的義務,如同GDPR一樣,CCPA將無疑對中國企業在加州的經營業務造成更多合規性方面的挑戰。而中國跨國企業本身在合規把控方面的經驗已相對較為欠缺,在此時期更應當對CCPA所涉要求予以盡早地關注,結合外部律師的建議做好相應的合規工作。在此,我們初步提示相關企業應當做好包括但不限于如下事項:
(一)內部審核。各涉及加州業務的企業首先應當進行內部審核,自查企業業務目前所涉數據資源,判斷企業是否適用CCPA的管轄,以及目前的業務開展是否符合CCPA的初步規定。
(二)自我評估。相關企業應評估其當前實際業務開展情況與CCPA要求之間的差距,進行相應的梳理對比和風險評估,不斷完善自身數據合規制度的建設。鑒于CCPA一些條款的不確定性,我們建議這一工作應持續進行。
(三)制定具體實施計劃。相關企業的高管應熟悉CCPA的主要內容,制定企業的合規發展戰略和具體實施計劃,同時對員工進行有關CCPA要求的實時培訓,確保所涉業務的員工在了解對應具體要求的前提下合規開展業務。
(四)需注意在日常業務之外對CCPA的遵守。在持續保證合規性的同時,相關企業還應注意在日常業務之外對CCPA的遵守情況,比如基于CCPA對供應商的規定,企業應該與服務供應商達成協議,禁止其對未授權的個人信息進行擅自處理;企業應當定期進行數據清理、設計流程回應個人權利請求、起草隱私通知、更新合同等;企業的并購行為也可能受到CCPA的影響,需要判斷被并購企業是否受CCPA管轄,在受管轄的情況下是否存在合規缺陷以及該等缺陷能否予以改善等問題。
三、結語
盡管CCPA的部分條款目前仍存在被修改的不確定性,具體的調整還有待進一步觀察,但我們認為,相關的修改及調整并不會過于降低CCPA的一些關鍵要求或是縮小其適用范圍,反而在某些條款上可能會更加嚴格。除加州之外,美國內達華州、紐約州、緬因州等各州亦將相繼出臺有關個人隱私保護的法案。隨著CCPA的出現以及其他各州相關立法的跟進,昭示著美國對消費者數據隱私的保護正日趨嚴格與全面。當此之際,相關中資企業只有采取積極的應對措施,方能在個人隱私信息保護的浪潮下合規地開展業務,持續穩健地發展。
