作者|王融 腾讯研究院 资深专家
吴怡 腾讯研究院 助理研究员
自去年6月美国加州出台《加州消费者隐私保护法案》(California Consumer Privacy Act of 2018,下文简称「CCPA」)一年多来,加州议会又陆续讨论了十几项CCPA修正案,并审议通过了其中六项法案,不断廓清制度规范,推动CCPA走向「成熟定型」。按照立法程序规定,10月13日州长将对该法案作出最后的签署决定[1]。
不同于以往美国联邦层面的,针对特定行业、特定事项的隐私法案,CCPA广泛适用于在加州开展业务,收集处理加州居民个人信息并符合一定门槛条件的企业。从全面性来说,这是美国目前最具有典型意义的州隐私立法。同时,作为科技行业聚集地,加州经济体量排名世界第五,CCPA的影响力可与欧盟GDPR比肩,并且由于二者存在部分相似之处,这引起了各方的极大关注:加州立法是否代表着美欧隐私立法将走向融合趋同?
从我们的观察而看:形式上,CCPA与GDPR有相似之处,但究其制度内核,仍然体现着美国与欧盟隐私制度的烙印差异,美国更加注重消费者保护的实际效果,以及与促进企业发展,技术创新之间的平衡。这不仅体现在CCPA在去年6月通过时的具体条文内容[2],并且,由于CCPA的出台过于仓促,立法者为进一步贴合产业实际,为条文的继续完善预留了充分时间。明确:在2020年1月1日CCPA正式生效前,加州议会可以继续对CCPA条文做出修订。因此,从法案去年通过至今这一年多来,加州议会通过不断讨论和制定修正案,推动CCPA继续走向美国隐私保护立法科学务实的一面。本文将从CCPA法案的重点条款以及后续修订入手,来进一步透视美国隐私立法与欧盟之间的差异性。
CCPA对适用范围作出了合理排除
(一)在受规制的实体方面,CCPA作出了三类排除:
1)非盈利机构,
2)提供数据服务的企业(service provider,相当于GDPR中的processor,即接受数据控制者的委托而提供数据处理服务的企业。此类企业不直接受CCPA规制,而是主要通过与数据控制者之间达成的服务协议来约束)
3)没有达到适用门槛的中小企业。这些门槛包括:
i. 年度总收入达到 2500万美元;
ii. 每年涉及50,000名以上的加州居民,家庭或相关设备上的个人信息;
iii. 出售加州居民个人信息获利占其年收入的50%或以上。
作为对比,GDPR并没有区分盈利目的、规模大小和服务性质,从企业到政府部门,从中小企业到跨国公司,甚至是个人,只要收集处理个人数据,均受规制,遵守相同的高标准合规要求[4]。
(二)对「个人信息」定义予以合理限定
6月28日通过的CCPA,其中对个人信息的定义受到了GDPR影响,即只要与任何已识别或可识别的自然人(「数据主体」)相关的信息,都可能被视为个人信息。这将在实践中,给受保护的数据范围带来极大的不确定性。在数字时代,与特定信息主体有关的信息数量庞大,统一纳入到个人信息法律保护范围,既不现实也无必要。
正是考虑到这一问题,在CCPA通过之后,加州参议院通过的议会法案874(Assembly Bill No.874)将个人信息定义修改为:「个人信息」是指直接或间接地识别、描述、能够合理地(reasonably)相关联或可合理地连接到(linked to)特定消费者或家庭的信息。修正法案通过强调「合理性」和「连接触达性」来进一步限缩CCPA所保护的「个人信息」的范畴。
立法者认为:如果不对个人信息的定义作出限缩,将会产生意想不到的后果。这将激励或迫使企业去识别那些本不需要识别的某些数据,从而产生巨大的运营成本,也破坏了数据安全理念。当然,目前的定义表述似乎也不能完全解决个人信息定义的范围问题,因为「合理的连接和触达」仍然包含了许多主观因素,这有待于加州执法部门在实践中作出进一步指南。
(三)在受保护的数据类型方面,CCPA作出了如下排除:
在适用保护的数据方面,CCPA非常务实地排除了「集合信息」、「去身份数据」、政府公开数据、雇员信息、个人车辆和所有权信息以及联邦法已经覆盖的医疗、征信、驾驶、金融数据等。
1. 集合信息(aggregate information)
「集合信息」是指与消费者群体或类别相关的信息,其中消费者的个人信息已被移除,这些信息不会与任何消费者或家庭(包括通过设备)链接或产生合理连接,不再视为个人信息。
2.去身份数据(deidentified data)
CCPA规定,对于已经使用了身份信息的企业,其可以采取技术措施使得信息不能合理识别到特定消费者,这一过程叫做「去身份化」,具体要求包括:
(1)已实施了技术保障措施,禁止重新识别信息所属的消费者。
(2)已实施了明确禁止重新识别信息的业务流程。
(3)已实施业务流程以防止无意中发布已识别的信息。
(4)不尝试重新识别身份信息。
去身份化的信息不再属于个人信息,同样不适用于CCPA。与GDPR在背景部分关于匿名化数据的抽象介绍和相关的高标准解读相比,CCPA沿袭了美国隐私立法的传统,从技术措施和管理流程着手,使得判断标准更为明确和易于操作。
3.政府公开信息(publicly available information)
6月28日通过的CCPA版本中规定:「个人信息」不包含公开可用信息。「公开可用」是指从联邦、州或地方政府记录中可合法获取到的信息。同时,立法文本中对「公开可用信息」的排除做出了适当限制。如果这些数据的用途与政府记录中公布的数据目的不相符,则信息并非「公开可用」[5]。
但在此后,立法者对上述规定进行了反思修正,并最终删除了对公开可用信息的限定,即删除了:「如果这些数据的用途与政府记录中公布的数据的目的不相符,则信息并非‘公开可用’」。因为这种限定并不合理,就企业而言,其很难知晓政府公开数据的目的,即使假设企业可以确定政府公开数据的目的,在实践中也并不可能存在企业对此类数据的使用完全与政府目的相同的情况。删除这一限定之后,CCPA不适用于政府公开数据这一结论更加明确了。
4.联邦立法已经覆盖的信息(医疗、征信、金融、驾驶员信息)
为了与联邦隐私立法做好协调,CCPA排除了联邦立法已经覆盖的受保护信息,包括[6]:
医疗信息。CCPA不适用于《医疗信息保密法(Confidentiality of MedicalInformation Act)和《健康保险流通性与可用性法》(Health insurance portability and accountability act)管辖的实体所收集的受保护健康信息。
征信信息。受联邦公平信用报告法(federal Fair Credit Reporting Act)规范的征信信息交易。
金融数据。根据金融服务法现代化法案(Gramm-Leach-Bliley法案)及实施规则来收集、处理、销售或披露个人信息。
驾驶员信息(driver’s information)。根据1994年驾驶员隐私保护法(Driver’s Privacy Protection Act of 1994)来收集、处理、出售或披露的个人信息。
5.雇员信息(employment information)
如果将雇员信息与消费者信息采用同样的保护措施,可能会影响企业对雇员信息的使用。因此,CCPA通过之后,在劳工组织的推动下,加州参议院又通过议会法案25(AssemblyBill No.25)将雇员信息排除在了CCPA规定的「个人信息」之外[7]。AB25规定,在 2021年1月1日之前,CCPA不适用于雇员信息。后续,应当由利益相关者继续协商制定一项更广泛的员工数据隐私法案,同时可以更加明确加州消费者隐私保护法的范畴。
6.「车辆信息」(vehicle information)和「所有权信息」(Ownership information)
CCPA规定了消费者对个人信息的各项权利,但是考虑到机动车的特殊性及其安全需要,议会法案1146(Assembly Bill No.1146)又作出了除外规定:如果企业或服务提供商需要保留维护消费者的个人信息,以履行根据联邦法律进行的车辆保修或产品召回的条款,则不限制车辆制造商和经销商共享或保留车辆信息和所有权信息。并且定义了「车辆信息」是指车辆信息编号、品牌、型号、年份和里程表读数。「所有权信息」是指车辆登记的一个或多个所有者的姓名以及其联系信息[8]。
CCPA仍然保持了美欧个人数据保护法的最大差异,延续了opt-out原则
依据GDPR,在绝大多数商业化场景下,收集、处理消费者个人数据之前必须要获得消费者的明确同意,即「opt-in」模式;而在加州消费者隐私法中,对于16岁以上的消费者的个人信息处理(除了出售以外),仍采取了美国隐私法中一以贯之的「opt-out」原则,即除非用户拒绝或退出,则公司可以继续处理用户的个人信息,这体现了美国一直以来在数据保护方面的务实思路。「opt-out」模式对消费者而言更为真实有用,同时对新进入市场的企业的发展阻碍也更小。
而在GDPR实施一周年的多个评估报告中,都对「opt-in」模式实际效果提出了质疑。为了履行「opt-in」机制,企业和机构向用户发送授权申请,为获取用户同意的邮件大量涌入用户邮箱,被媒体称为人为制造了最大规模的垃圾邮件潮。在网站页面获取COOKIE的授权申请,因为合规要求而冗长复杂,对于用户来说也是负累的,并不因此帮助用户真正做出判断,反而由于其复杂性而选择掠过。在GDPR生效6个月后,欧盟消费者对互联网的信任降至10年来的最低水平[9]。
此外,在知情同意机制方面,相比于严格刚性的GDPR,CCPA也体现出灵活弹性的特征。正如华盛顿邮报在欧盟市场所遭遇的困境,邮报在无法通过行为广告来补贴业务的情况下,选择直接向用户收费模式,也面临GDPR关于同意是消费者自由、自主选择的挑战。而对于此问题,加州法专门留出弹性空间,其规定:消费者行使了本法规定的隐私权利,企业不得有歧视对待,但是:如果该价格或差异与消费者所提供的数据价值直接相关,则企业还可以向消费者提供不同价格、不同费率、不同品质的商品或服务。可见加州隐私法仍然承认数据的价值,允许企业探索可行的商业模式。
除此之外,在个人权利、处罚机制和救济机制等方面,CCPA与GDPR还存在着很大不同。这些差异性均表明美欧隐私立法的根本性分歧。我们可以通过下面的图表形成一个全面的认识:
附图表:GDPR VS CCPA
结 语
不同于欧盟从人权项下出发的个人数据保护机制抽象刚性,美国从消费者权利视角出发的法律机制,天然补充了市场视角,从而更加灵活务实。
CCPA在通过之后的一系列的修正案更是表明了美国隐私立法的独特风格,从对opt-out原则的把握,到一系列合理的除外规定,再到具体的合规细节澄清,都是着眼于合理规范数据的商业化利用,平衡消费者权利和技术创新空间,使其更加符合产业实践且便于实施。
参考文献:
[1]参见CCPA Amendment Update June 2019——Twelve Bills Survive Assembly and Move to the Senate,载
https://fpf.org/2019/06/04/ccpa-amendment-update-june-2019-twelve-bills-survive-assembly-and-move-to-the-senate/
[2] CCPA草案于2017年2月发起,经历加州议会半年讨论后搁置。2018年6月21日由加州富商Alastair Mactaggart支持的隐私保护组织募集签名,重新将其作为一项隐私立法倡议(Initiative statute)启动,并与加州议会达成妥协,一周后CCPA通过.
[3]在考虑企业规模因素方面,GDPR仅规定了在250人以下的中小企业可以豁免数据活动文档记录义务,但本身对该豁免也做出了很多限制。
[4] The California Consumer Privacy Act of 2018.
https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375
[5]见CCPA1798.145
[6]AB-25 CaliforniaConsumer Privacy Act of 2018.
https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201920200AB25
[7]AB-1146 California Consumer Privacy Act of 2018:exemptions: vehicle information.
http://leginfo.legislature.ca.gov/faces/billHistoryClient.xhtml?bill_id=201920200AB1146
[8] One year on,GDPR needs a reality check,载ftchinese,http://www.ftchinese.com/story/001083486。