数据合规新法来袭——《加州消费者隐私法案》
作者:史军、邱梦赟、茅姝馨 2019-08-05在数字经济时代,对个人隐私及数据的保护成为了当今世界的关注焦点,企业的发展与产业的升级都将建立在做好数据合规的基础之上。2019年7月24日,美国贸易委员会(FTC)官网发布一则通告,Facebook因侵犯用户数据隐私而被处以高达50亿美元的罚款,堪称数据隐私保护领域的最高罚单。同时,FTC还对Facebook的业务运营提出了新的限制,并要求其修改公司结构以保证公司能够真正地对其关于用户隐私的各项决策负责。该案必将在全球范围内掀起一波数据合规的新浪潮,推动更多国家与地区的数据合规立法。
继欧盟的《一般数据保护条例(General Data Protection Regulations)》(以下简称GDPR)正式实施一个月后,美国加州政府于2018年6月28日快速通过了《消费者隐私保护法案(California Consumer Protection Act)》(以下简称CCPA)。CCPA旨在加强消费者隐私权和数据安全保护,被认为是美国国内当前最严格的消费者数据隐私保护立法,将于2020年1月1日正式生效。
鉴于加州是世界第五大经济体,CCPA的通过将对不少跨国企业产生重要影响,其中也不乏众多在加州投资的中国企业。本文将对CCPA的主要内容作简要阐释,并为拟赴加州投资的中国企业作初步提示建议,以应对新法案的到来。
一、CCPA的关键内容及要点
(一)CCPA的适用对象
依据CCPA第1798.140(c)条的规定,该法案适用于在加州组织或经营的、业务内容涉及收集及/或处理消费者个人信息的企业,且满足如下一个或多个条件:1) 年收入超过2500万美元;2)为商业目的,每年单独或组合购买、收取、出售或共享50000人或更多消费者、家庭或设备的个人信息;3)其年收入中不少于50%的部分是通过销售消费者的个人信息所获得。该法案也适用于控制或受符合上述标准的企业控制且同该等企业共享品牌的任何组织,故而这一规定将对特许经营企业和子公司产生广泛的影响。(注:CCPA下所指消费者系“加州永久居民”)
此外,如果与上述企业有业务往来或是为其提供服务的,则那些原本不直接适用于该法案的企业也可能会受到该法案的约束。
综上所述,我们认为受CCPA影响较大的主要对象主体将包括:银行业和保险公司;科技和软件公司;零售商和旅游业等。
(二)“个人信息”的定义
CCPA将个人信息定义为“直接或间接地识别、关系到、描述、能够相关联或可合理地连结到特定消费者或家庭的信息”,包括但不限于诸如真实姓名、别名、邮政地址、唯一的个人标识符、在线标识符、互联网协议地址、电子邮件地址、商业信息、生物信息、地理位置数据、英特网或其他电子网络活动信息以及从个人信息中获取推论以创建能够反映消费者偏好和态度画像的信息等。
然而,CCPA也将“公开可得”信息,即能够从联邦、州或地方政府记录中可合法获取到的信息,排除出了CCPA下“个人信息”的范围,但前提是这些数据的用途需与政府记录中公布的或其公开维护的数据的目的相符合。
相比传统美国法律下的个人信息概念,CCPA下“个人信息”所涉范围十分广泛,虽然存在“公开可得”信息的除外情况,但其适用也存在限制性条件,受管辖企业在具体操作过程中应予以特别注意。
(三)关于消费者权利/企业义务的规定
基于上述“个人信息”的范围,CCPA给予了消费者较多的对个人信息保护的权利,并同时对规制企业设置了相应的义务,主要包括:
1、披露权
根据CCPA的规定,消费者有权要求收集其个人信息的企业向其披露所收集信息的类别和具体要素。进一步地,消费者有权要求出售消费者个人信息或因商业目的而披露消费者个人信息的企业向其披露如下信息:1)该企业收集的有关该消费者的个人信息类别;2)通过对某一类或是某几类个人信息任一第三方,企业出售的消费者个人信息类别以及买售消费者个人信息的第三方类别;3)企业为商业目的而披露的个人信息类别。企业在收到消费者的可核实请求后,应按规定予以披露。
相应地,收集消费者个人信息的企业也应当在收集时或者收集前告知消费者所收集个人信息的类别及个人信息的使用目的,且在未向消费者提供符合所要求的告知情况下,企业不得收集其他类别的个人信息,或者将所收集个人信息用于其他目的。企业在收到访问或披露个人信息的请求时,应按相关要求向消费者披露和提供其要求的个人信息。
此外,CCPA区分了披露的个人信息与销售的个人信息,企业必须在披露信息及其对消费者请求的回应中明确:1)其出售的消费者个人信息的类别,或者明确披露企业未曾出售消费者的个人信息;2)其为商业目的披露的消费者个人信息的类别,或者明确披露企业尚未因商业目的披露消费者的个人信息。
2、删除权
CCPA向消费者赋予了“被遗忘权”,也即删除权。除适用CCPA规定的某些例外情况外,消费者在一般情况下均有权要求相关企业删除从该消费者处收集的个人信息。相应地,收到消费者关于删除要求的可验证请求的企业,应当从其记录中删除消费者的个人信息,并指示所有服务提供者从其记录中删除该消费者的个人信息。
3、选择退出权和反歧视禁令
CCPA还向消费者赋予了“选择退出权”(Opt-Out Right),即消费者有权在任何时候指示欲向第三方出售其个人信息的企业不得采取出售行为。相应地,相关企业也负有对应的通知义务,并应告知消费者他们有权选择其个人信息不被出售。而对于16岁以下未成年人,企业必须取得其确定性的同意授权,才可以出售其个人信息。
此外,为保障消费者的“选择退出权”,CCPA规定即使消费者行使了该权利,相关企业也不得因此歧视消费者,包括但不限于不能拒绝为其提供产品或服务,或在价格和服务质量上区别对待该消费者等。但是,受管辖企业仍然可以通过为消费者提供经济激励的方式,获得消费者对企业收集、售卖其个人信息的许可。
4、透明度和披露要求
为保障消费者权利的有效落实,CCPA要求受管辖的企业应确保其网站上载有符合CCPA要求的关于隐私操作的相关表述。包括但不限于:
对于消费者的“选择退出权”,企业应在其网站主页上提供一个清晰且明显的、名为“不得出售本人个人信息”的链接,使消费者或经消费者授权的人士可以选择不出售消费者的个人信息(根据州总检察长的规定,消费者可授权其他人士代表消费者本人行使“选择退出权”,并且企业应遵守该消费者的授权代表以消费者名义发出的退出请求)。
对于消费者的披露权、删除权等权利,企业应该向消费者提供两种或更多的形式及方法,便于消费者提交关于披露信息及/或删除信息的相关请求。
(四)个人诉讼权利和法律责任
CCPA的一大亮点是赋予了个人追究该法案项下损害赔偿的权利,规定了某些数据泄漏的私人诉讼权,并使得民事集体诉讼成为了可能。
如果由于受管辖企业违反CCPA项下的相关义务,或未实施和维护合理安全程序以及采取与信息性质相符的做法来保护个人信息,从而致使消费者的个人信息及数据遭受未经授权的访问、泄漏、盗窃或披露,那么消费者有权就以下任一诉求而向企业提起民事诉讼:1)主张被诉企业就每次违规事件对每个消费者赔偿100-750美元的损害赔偿金或实际损害赔偿金(以数额较大为准);2)主张发布禁止令或宣告性法律救济;3)法院认为适当的任何其他救济。
在行使私人诉讼权之前,消费者应当在30个工作日内通知拟诉企业,企业可以在此期间内就其违规行为进行补救,并向消费者提供书面声明,以说明数据泄露已经得到纠正且不会再发生,以避免诉讼。
二、初步提示建议
CCPA赋予了加州消费者更多的权利并给予了受管辖企业更多的义务,如同GDPR一样,CCPA将无疑对中国企业在加州的经营业务造成更多合规性方面的挑战。而中国跨国企业本身在合规把控方面的经验已相对较为欠缺,在此时期更应当对CCPA所涉要求予以尽早地关注,结合外部律师的建议做好相应的合规工作。在此,我们初步提示相关企业应当做好包括但不限于如下事项:
(一)内部审核。各涉及加州业务的企业首先应当进行内部审核,自查企业业务目前所涉数据资源,判断企业是否适用CCPA的管辖,以及目前的业务开展是否符合CCPA的初步规定。
(二)自我评估。相关企业应评估其当前实际业务开展情况与CCPA要求之间的差距,进行相应的梳理对比和风险评估,不断完善自身数据合规制度的建设。鉴于CCPA一些条款的不确定性,我们建议这一工作应持续进行。
(三)制定具体实施计划。相关企业的高管应熟悉CCPA的主要内容,制定企业的合规发展战略和具体实施计划,同时对员工进行有关CCPA要求的实时培训,确保所涉业务的员工在了解对应具体要求的前提下合规开展业务。
(四)需注意在日常业务之外对CCPA的遵守。在持续保证合规性的同时,相关企业还应注意在日常业务之外对CCPA的遵守情况,比如基于CCPA对供应商的规定,企业应该与服务供应商达成协议,禁止其对未授权的个人信息进行擅自处理;企业应当定期进行数据清理、设计流程回应个人权利请求、起草隐私通知、更新合同等;企业的并购行为也可能受到CCPA的影响,需要判断被并购企业是否受CCPA管辖,在受管辖的情况下是否存在合规缺陷以及该等缺陷能否予以改善等问题。
三、结语
尽管CCPA的部分条款目前仍存在被修改的不确定性,具体的调整还有待进一步观察,但我们认为,相关的修改及调整并不会过于降低CCPA的一些关键要求或是缩小其适用范围,反而在某些条款上可能会更加严格。除加州之外,美国内达华州、纽约州、缅因州等各州亦将相继出台有关个人隐私保护的法案。随着CCPA的出现以及其他各州相关立法的跟进,昭示着美国对消费者数据隐私的保护正日趋严格与全面。当此之际,相关中资企业只有采取积极的应对措施,方能在个人隐私信息保护的浪潮下合规地开展业务,持续稳健地发展。