魏书音
摘要:美国加州颁布的《 2018 年加州消费者隐私法》(CCPA),在借鉴《通用数据保护条例》(GDPR)个人信息保护模式的同时,探索适合美国互联网产业发展的特有路径。文章将CCPA和GDPR进行对比,从其共性中分析美国顺应世界个人信息保护模式的新趋势,从其特性中探索美国个人信息保护权益衡量的特有路径。我国应该借鉴美国个人信息保护立法的灵活性、具体性和有效性,建立个人信息保护集体诉讼机制,为个人提供更多的救济渠道;分业制定个人信息具体规则和国家强制性标准,为个人信息保护提供有效依据;加强源头治理,提升行政执法能力。
关键词:GDPR;CCPA;个人信息保护立法
中图分类号:DF92 文献标识码:A
1 引言
2018年脸书数据泄露事件发生后,个人信息管理缺失以致于有关团队通过政治营销对选举造成影响,触动了美国人民的敏感神经。美国加州颁布的《 2018 年加州消费者隐私法》(California Consumer Privacy Act,CCPA),将于 2020 年 1 月 1 日起生效。CCPA借鉴了《通用数据保护条例》(GDPR)的立法模式,顺应世界个人信息保护立法潮流,将企业收集、储存、销售和分享消费者信息的若干控制权利授予消费者,同时保留了美国特有的个人信息保护特色,高度重视产业利益,进行权益衡量,探索美国的个人信息保护路径。
2 从CCPA与GDPR共性看美国个人信息保护立法新趋势
2.1统一个人信息保护标准
美国采取分散立法模式,没有一部统一的个人信息保护法,而是根据个人信息的具体内容进行分业监管,根据个人信息主体类型施加不同的保护力度。GDPR 发布后,欧盟的统一立法模式成为全球个人数据保护立法范式。印度、巴西等国家紧随其后,纷纷制定出台统一个人信息保护法。脸书数据泄露事件发生后,美国两党、民众以及主要科技公司就在联邦层面制定统一隐私保护立法达成共识。CCPA在此背景下出台,在一定程度上体现了美国建立个人信息保护统一标准的趋势。一是不细分具体领域,确立适用各领域的统一规则和框架。与GDPR相似,CCPA紧扣信息处理合法、对信息主体救助、透明公开与信息控制者责任四大核心框架,法律内容涵盖了各个领域。二是授予数据主体统一的信息权益和信息处理标准。通过立法界定个人信息、数据主体、数据控制者等核心概念,统一授予数据主体权利,保障数据主体对本人信息流转的控制。
2.2 強调个人对个人信息的控制权
CCPA指明,《加利福尼亚州宪法》将隐私权纳为全体人民“不可剥夺”的权利之一,赋予每位加利福尼亚州人法定且可执行的隐私权。个人就其个人信息的使用、出售的控制力对于保护隐私权具有基础性意义。与GDPR一样, CCPA强调消费者对个人信息的控制,创建了一系列消费者个人信息权利。如访问权,消费者有权要求收集个人信息的企业向消费者披露其收集的信息类别和具体内容;删除权,消费者有权要求企业删除其所收集的任何个人信息;知情权,消费者有权知道其个人信息被转移到何处,企业必须发布有关消费者的个人信息出售或披露的范围、流向、方式等。企业需要遵守的义务包括需要根据消费者要求披露收集了哪些消费者的个人信息,根据消费者的要求删除相关数据;尊重消费者选择不出售个人数据的权利,不得通过拒绝给消费者提供商品或服务,或对商品或者服务收取不同的价格、费率的方式歧视消费者。
2.3 设定较严格的处罚措施
CCPA与GDPR都对违规行为设定了较重的处罚。GDPR规定企业会面临最高2000万欧元或上一财年全球营业额4%的行政处罚,以较高者为准;而CCPA规定,如果企业违反义务而未实施和维护合理安全程序以及采取与信息性质相符的做法来保护个人信息,从而遭受了未经授权的访问和泄露、盗窃或披露,则消费者可因以下任何一项提起民事诉讼,企业将面临支付给每位消费者最高750美元的赔偿金以及最高7500美元的损害赔偿金或实际损害赔偿金,以数额较大者为准。
3 从CCPA与GDPR的区别看美国个人信息保护路径选择
3.1“个人信息”的定义更为广泛
CCPA和GDPR对于个人信息都作了较宽的界定,而CCPA对于个人信息的定义比GDPR更为广泛。个人信息是指能够直接或间接的识别、描述与特定的消费者或家庭相关或合理相关的信息,包括但不限于真实姓名、别名、邮政地址、唯一的个人标识符、在线标识符、互联网协议地址、电子邮件地址、生物信息、商业信息、地理位置数据以及教育信息等。一是CCPA将与家庭和身份关联的设备相关信息纳入了个人信息的范畴。例如,反映家庭年度用水或能源消耗、或者特定员工的工作描述(IP地址、网络浏览记录等)也被规定为个人信息范畴。二是GDPR将构建数据主体的“概要”性语言作为个人信息范畴,而CCPA将有关消费者的推断也作为个人信息的一部分。个人信息包括从已识别的任何信息中得出的推论,用于创建一个关于消费者的档案,反映消费者的偏好、特征、心理趋势、倾向、行为、态度、智力、能力和资质。美国的司法实践中对于个人隐私边界的认定一直是随着技术的发展而不断变化的。2011年,法院判定警察在使用GPS追踪设备获取嫌犯位置移动信息时,必须获取搜查令。2014年,法院禁止警察在没有搜查令的情况下搜查被拘捕人手机内的信息。最高法院进一步扩大了个人隐私信息的范围,把生成并存放在第三方的位置信息也纳入了宪法第四修正案的保护范畴。
3.2 高度关注产业利益,采取权益衡量的折中保护措施
CCPA仍然保持了美欧个人数据保护法对产业利益的强烈关注。一是继续沿用选择退出(opt-out)模式。在GDPR下,公司收集、处理消费者个人数据之前必须要获得消费者的同意,即选择进入(opt-in)模式;而在CCPA中,对于16岁以上的消费者的个人信息处理,采取美国一以贯之的“opt-out”模式(如《格雷姆-里奇-布莱利法案》和《控制未经征求的色情和营销攻击法案》也包含某些选择退出要求),除非用户拒绝或退出,公司可继续处理用户的个人信息。为了全力促进数据产业发展,美国在个人信息保护理念上更加注重对个人信息的利用,而非收集。正如美国的《大数据与隐私报告》指出:信息所具有敏感性,以及与来自一般商业活动、政府行政或者来自公共场合的大量数据的难以分割性,使得规制这些信息的使用比规制收集更合适。二是提出“财务激励计划”,赋予个人信息财产属性。企业可以为个人信息的收集、出售或者删除提供财务激励,包括向消费者支付赔偿金。如果消费者通过提供其数据而产生价值,企业还可以据此以不同的价格、费率、水平或质量向消费者提供商品或服务而不构成歧视。三是重视对中小企业的保护。在欧盟GDPR下,任何规模的实体都受GDPR的约束,而加州消费者隐私法仅涵盖了收入超过2500万美元的企业,以及销售大量个人信息的数据经纪人。
3.3 赋予消费者个人获得赔偿的权利,采取集体诉訟的救济路径
不同于隐私权的私法属性,个人信息所具有的公共属性越来越明显,美欧都没有将个人数据受到保护的权利泛化为一般性的私法权利,而是采取公法保护或消费者权益保护的路径。GDPR主要以行政监管和处罚来规制数据处理者和控制者的个人信息收集使用行为,尤其是通过高额罚款形成震慑。CCPA采取消费者保护路径,将损害赔偿一事授予了个人,规定了私人诉讼权,同时限定为集体诉讼模式。通过赋予州检察长执法的专有权力和规定一些必须满足的条件,如对企业进行书面违规通知,给予其30日解决违规行为的机会,从而对私人诉讼权加以约束。
4 启示
4.1 建立个人信息保护集体诉讼机制,为个人提供更多的救济渠道
现代信息社会中个人与互联网企业等网络运营在信息能力方面存在巨大差异,以至造成公民个人信息保护举证困难、维权困难。单一个体或消费者很难对企业等信息收集者与处理者进行监督,但各类公益组织和政府机构可以成为消费者集体或公民集体的代言人,对个人信息保护进行有效监督。
我国的个人信息法律保护不仅应当推动公法制定进程,还应当重视消费者权益保护等公民个人的救济路径,真正发挥司法在保护公民隐私权益方面的作用。一是修订消费者权益保护法,明确个人可对网络运营者侵犯个人信息权益的责任追究,并且采用集体诉讼方式索要赔偿。二是成立个人信息保护委员会,对网络运营者的个人信息保护工作进行社会监督,对个人信息保护侵权投诉进行统一受理,针对企业在个人信息保护方面的一些不当行为提起公益诉讼。
4.2 分业制定个人信息具体规则和国家强制性标准,为个人信息保护提供有效依据
一方面,加快推动《个人信息保护法》的立法进程,明确公民在个人信息保护方面的各项权益,进一步细化网络运营者的个人信息保护要求以及网络运营者之间的责任分配。另一方面,各行业、各领域主管部门根据本行业的特征,在特定领域和特定情形中赋予个体明确的个人信息权益,以及个人信息保护要求。
4.3 加强源头治理,提升行政执法能力
近年来,对个人信息保护的举措主要集中在对相关犯罪的刑事打击上,《刑法修正案(七)》和《刑法修正案(九)》不断加重个人信息违法犯罪的打击力度,但是民事和行政保护力度严重不足。重末端治理、轻源头治理,仅以威慑力压制,而无规则指引,导致违法犯罪依然屡禁不止,良好的秩序和生态环境难以生成。一是强化对数据收集、存储、使用等行为的监督检查力度,督促并指导企业加强对数据生态管理。二是建立以风险控制为导向的监管方式,改变合规性逐项检查监管模式,采取“多元化策略+外部认证监督”的方式,由网络运营者根据保护用户信息安全的需要,设定多元化的权利保障政策或措施,政府根据评估认证结果对内部政策、制度是否合规进行的外部监督。三是培养企业数据安全保护的战略意识。将数据安全保护作为企业占有市场和增强用户粘性的战略举措,把数据安全融入业务发展的各个环节,同步设计、同步建设、同步更新,变被动为主动,逐步建立起安全与发展并重的良性大数据产业生态环境。
5 结束语
近几年,个人信息保护立法趋向统一立法模式,将逐渐赋予用户更多的控制权,美国也转变其宽松政策路径,着重消费者权益的保护。同时,其通过选择退出等模式力图最大程度地缩小对互联网企业的强制固化的限制。我国对此应该充分借鉴,在制度建设过程中继续寻求个人信息保护与互联网产业发展的平衡途径。
参考文献
[1] 吴沈括,孟洁,薛颖,赵小琳.《2018年加州消费者隐私法案》中的个人信息保护[J].信息安全与通信保密,2018(12):83-100.
[2] 闫晓丽.欧盟数据保护制度的变革及启示[J].网络空间安全,2017,8(Z1):22-26.
[3] 王胜.《欧盟数据保护通用条例》详解[J].大数据,2016,2(04):93-101.