魏書音

摘要：美國加州頒布的《 2018 年加州消費者隱私法》（CCPA），在借鑒《通用數(shù)據(jù)保護條例》（GDPR）個人信息保護模式的同時，探索適合美國互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的特有路徑。文章將CCPA和GDPR進行對比，從其共性中分析美國順應(yīng)世界個人信息保護模式的新趨勢，從其特性中探索美國個人信息保護權(quán)益衡量的特有路徑。我國應(yīng)該借鑒美國個人信息保護立法的靈活性、具體性和有效性，建立個人信息保護集體訴訟機制，為個人提供更多的救濟渠道;分業(yè)制定個人信息具體規(guī)則和國家強制性標(biāo)準(zhǔn)，為個人信息保護提供有效依據(jù);加強源頭治理，提升行政執(zhí)法能力。

關(guān)鍵詞：GDPR;CCPA;個人信息保護立法

中圖分類號：DF92????????? 文獻標(biāo)識碼：A

1 引言

2018年臉書數(shù)據(jù)泄露事件發(fā)生后，個人信息管理缺失以致于有關(guān)團隊通過政治營銷對選舉造成影響，觸動了美國人民的敏感神經(jīng)。美國加州頒布的《 2018 年加州消費者隱私法》（California Consumer Privacy Act，CCPA），將于 2020 年 1 月 1 日起生效。CCPA借鑒了《通用數(shù)據(jù)保護條例》（GDPR）的立法模式，順應(yīng)世界個人信息保護立法潮流，將企業(yè)收集、儲存、銷售和分享消費者信息的若干控制權(quán)利授予消費者，同時保留了美國特有的個人信息保護特色，高度重視產(chǎn)業(yè)利益，進行權(quán)益衡量，探索美國的個人信息保護路徑。

2 從CCPA與GDPR共性看美國個人信息保護立法新趨勢

2.1統(tǒng)一個人信息保護標(biāo)準(zhǔn)

美國采取分散立法模式，沒有一部統(tǒng)一的個人信息保護法，而是根據(jù)個人信息的具體內(nèi)容進行分業(yè)監(jiān)管，根據(jù)個人信息主體類型施加不同的保護力度。GDPR 發(fā)布后，歐盟的統(tǒng)一立法模式成為全球個人數(shù)據(jù)保護立法范式。印度、巴西等國家緊隨其后，紛紛制定出臺統(tǒng)一個人信息保護法。臉書數(shù)據(jù)泄露事件發(fā)生后，美國兩黨、民眾以及主要科技公司就在聯(lián)邦層面制定統(tǒng)一隱私保護立法達成共識。CCPA在此背景下出臺，在一定程度上體現(xiàn)了美國建立個人信息保護統(tǒng)一標(biāo)準(zhǔn)的趨勢。一是不細(xì)分具體領(lǐng)域，確立適用各領(lǐng)域的統(tǒng)一規(guī)則和框架。與GDPR相似，CCPA緊扣信息處理合法、對信息主體救助、透明公開與信息控制者責(zé)任四大核心框架，法律內(nèi)容涵蓋了各個領(lǐng)域。二是授予數(shù)據(jù)主體統(tǒng)一的信息權(quán)益和信息處理標(biāo)準(zhǔn)。通過立法界定個人信息、數(shù)據(jù)主體、數(shù)據(jù)控制者等核心概念，統(tǒng)一授予數(shù)據(jù)主體權(quán)利，保障數(shù)據(jù)主體對本人信息流轉(zhuǎn)的控制。

2.2 強調(diào)個人對個人信息的控制權(quán)

CCPA指明，《加利福尼亞州憲法》將隱私權(quán)納為全體人民“不可剝奪”的權(quán)利之一，賦予每位加利福尼亞州人法定且可執(zhí)行的隱私權(quán)。個人就其個人信息的使用、出售的控制力對于保護隱私權(quán)具有基礎(chǔ)性意義。與GDPR一樣， CCPA強調(diào)消費者對個人信息的控制，創(chuàng)建了一系列消費者個人信息權(quán)利。如訪問權(quán)，消費者有權(quán)要求收集個人信息的企業(yè)向消費者披露其收集的信息類別和具體內(nèi)容;刪除權(quán)，消費者有權(quán)要求企業(yè)刪除其所收集的任何個人信息;知情權(quán)，消費者有權(quán)知道其個人信息被轉(zhuǎn)移到何處，企業(yè)必須發(fā)布有關(guān)消費者的個人信息出售或披露的范圍、流向、方式等。企業(yè)需要遵守的義務(wù)包括需要根據(jù)消費者要求披露收集了哪些消費者的個人信息，根據(jù)消費者的要求刪除相關(guān)數(shù)據(jù);尊重消費者選擇不出售個人數(shù)據(jù)的權(quán)利，不得通過拒絕給消費者提供商品或服務(wù)，或?qū)ι唐坊蛘叻?wù)收取不同的價格、費率的方式歧視消費者。

2.3 設(shè)定較嚴(yán)格的處罰措施

CCPA與GDPR都對違規(guī)行為設(shè)定了較重的處罰。GDPR規(guī)定企業(yè)會面臨最高2000萬歐元或上一財年全球營業(yè)額4%的行政處罰，以較高者為準(zhǔn);而CCPA規(guī)定，如果企業(yè)違反義務(wù)而未實施和維護合理安全程序以及采取與信息性質(zhì)相符的做法來保護個人信息，從而遭受了未經(jīng)授權(quán)的訪問和泄露、盜竊或披露，則消費者可因以下任何一項提起民事訴訟，企業(yè)將面臨支付給每位消費者最高750美元的賠償金以及最高7500美元的損害賠償金或?qū)嶋H損害賠償金，以數(shù)額較大者為準(zhǔn)。

3 從CCPA與GDPR的區(qū)別看美國個人信息保護路徑選擇

3.1“個人信息”的定義更為廣泛

CCPA和GDPR對于個人信息都作了較寬的界定，而CCPA對于個人信息的定義比GDPR更為廣泛。個人信息是指能夠直接或間接的識別、描述與特定的消費者或家庭相關(guān)或合理相關(guān)的信息，包括但不限于真實姓名、別名、郵政地址、唯一的個人標(biāo)識符、在線標(biāo)識符、互聯(lián)網(wǎng)協(xié)議地址、電子郵件地址、生物信息、商業(yè)信息、地理位置數(shù)據(jù)以及教育信息等。一是CCPA將與家庭和身份關(guān)聯(lián)的設(shè)備相關(guān)信息納入了個人信息的范疇。例如，反映家庭年度用水或能源消耗、或者特定員工的工作描述（IP地址、網(wǎng)絡(luò)瀏覽記錄等）也被規(guī)定為個人信息范疇。二是GDPR將構(gòu)建數(shù)據(jù)主體的“概要”性語言作為個人信息范疇，而CCPA將有關(guān)消費者的推斷也作為個人信息的一部分。個人信息包括從已識別的任何信息中得出的推論，用于創(chuàng)建一個關(guān)于消費者的檔案，反映消費者的偏好、特征、心理趨勢、傾向、行為、態(tài)度、智力、能力和資質(zhì)。美國的司法實踐中對于個人隱私邊界的認(rèn)定一直是隨著技術(shù)的發(fā)展而不斷變化的。2011年，法院判定警察在使用GPS追蹤設(shè)備獲取嫌犯位置移動信息時，必須獲取搜查令。2014年，法院禁止警察在沒有搜查令的情況下搜查被拘捕人手機內(nèi)的信息。最高法院進一步擴大了個人隱私信息的范圍，把生成并存放在第三方的位置信息也納入了憲法第四修正案的保護范疇。

3.2 高度關(guān)注產(chǎn)業(yè)利益，采取權(quán)益衡量的折中保護措施

CCPA仍然保持了美歐個人數(shù)據(jù)保護法對產(chǎn)業(yè)利益的強烈關(guān)注。一是繼續(xù)沿用選擇退出（opt-out）模式。在GDPR下，公司收集、處理消費者個人數(shù)據(jù)之前必須要獲得消費者的同意，即選擇進入（opt-in）模式;而在CCPA中，對于16歲以上的消費者的個人信息處理，采取美國一以貫之的“opt-out”模式（如《格雷姆-里奇-布萊利法案》和《控制未經(jīng)征求的色情和營銷攻擊法案》也包含某些選擇退出要求），除非用戶拒絕或退出，公司可繼續(xù)處理用戶的個人信息。為了全力促進數(shù)據(jù)產(chǎn)業(yè)發(fā)展，美國在個人信息保護理念上更加注重對個人信息的利用，而非收集。正如美國的《大數(shù)據(jù)與隱私報告》指出：信息所具有敏感性，以及與來自一般商業(yè)活動、政府行政或者來自公共場合的大量數(shù)據(jù)的難以分割性，使得規(guī)制這些信息的使用比規(guī)制收集更合適。二是提出“財務(wù)激勵計劃”，賦予個人信息財產(chǎn)屬性。企業(yè)可以為個人信息的收集、出售或者刪除提供財務(wù)激勵，包括向消費者支付賠償金。如果消費者通過提供其數(shù)據(jù)而產(chǎn)生價值，企業(yè)還可以據(jù)此以不同的價格、費率、水平或質(zhì)量向消費者提供商品或服務(wù)而不構(gòu)成歧視。三是重視對中小企業(yè)的保護。在歐盟GDPR下，任何規(guī)模的實體都受GDPR的約束，而加州消費者隱私法僅涵蓋了收入超過2500萬美元的企業(yè)，以及銷售大量個人信息的數(shù)據(jù)經(jīng)紀(jì)人。

3.3 賦予消費者個人獲得賠償?shù)臋?quán)利，采取集體訴訟的救濟路徑

不同于隱私權(quán)的私法屬性，個人信息所具有的公共屬性越來越明顯，美歐都沒有將個人數(shù)據(jù)受到保護的權(quán)利泛化為一般性的私法權(quán)利，而是采取公法保護或消費者權(quán)益保護的路徑。GDPR主要以行政監(jiān)管和處罰來規(guī)制數(shù)據(jù)處理者和控制者的個人信息收集使用行為，尤其是通過高額罰款形成震懾。CCPA采取消費者保護路徑，將損害賠償一事授予了個人，規(guī)定了私人訴訟權(quán)，同時限定為集體訴訟模式。通過賦予州檢察長執(zhí)法的專有權(quán)力和規(guī)定一些必須滿足的條件，如對企業(yè)進行書面違規(guī)通知，給予其30日解決違規(guī)行為的機會，從而對私人訴訟權(quán)加以約束。

4 啟示

4.1 建立個人信息保護集體訴訟機制，為個人提供更多的救濟渠道

現(xiàn)代信息社會中個人與互聯(lián)網(wǎng)企業(yè)等網(wǎng)絡(luò)運營在信息能力方面存在巨大差異，以至造成公民個人信息保護舉證困難、維權(quán)困難。單一個體或消費者很難對企業(yè)等信息收集者與處理者進行監(jiān)督，但各類公益組織和政府機構(gòu)可以成為消費者集體或公民集體的代言人，對個人信息保護進行有效監(jiān)督。

我國的個人信息法律保護不僅應(yīng)當(dāng)推動公法制定進程，還應(yīng)當(dāng)重視消費者權(quán)益保護等公民個人的救濟路徑，真正發(fā)揮司法在保護公民隱私權(quán)益方面的作用。一是修訂消費者權(quán)益保護法，明確個人可對網(wǎng)絡(luò)運營者侵犯個人信息權(quán)益的責(zé)任追究，并且采用集體訴訟方式索要賠償。二是成立個人信息保護委員會，對網(wǎng)絡(luò)運營者的個人信息保護工作進行社會監(jiān)督，對個人信息保護侵權(quán)投訴進行統(tǒng)一受理，針對企業(yè)在個人信息保護方面的一些不當(dāng)行為提起公益訴訟。

4.2 分業(yè)制定個人信息具體規(guī)則和國家強制性標(biāo)準(zhǔn)，為個人信息保護提供有效依據(jù)

一方面，加快推動《個人信息保護法》的立法進程，明確公民在個人信息保護方面的各項權(quán)益，進一步細(xì)化網(wǎng)絡(luò)運營者的個人信息保護要求以及網(wǎng)絡(luò)運營者之間的責(zé)任分配。另一方面，各行業(yè)、各領(lǐng)域主管部門根據(jù)本行業(yè)的特征，在特定領(lǐng)域和特定情形中賦予個體明確的個人信息權(quán)益，以及個人信息保護要求。

4.3 加強源頭治理，提升行政執(zhí)法能力

近年來，對個人信息保護的舉措主要集中在對相關(guān)犯罪的刑事打擊上，《刑法修正案（七）》和《刑法修正案（九）》不斷加重個人信息違法犯罪的打擊力度，但是民事和行政保護力度嚴(yán)重不足。重末端治理、輕源頭治理，僅以威懾力壓制，而無規(guī)則指引，導(dǎo)致違法犯罪依然屢禁不止，良好的秩序和生態(tài)環(huán)境難以生成。一是強化對數(shù)據(jù)收集、存儲、使用等行為的監(jiān)督檢查力度，督促并指導(dǎo)企業(yè)加強對數(shù)據(jù)生態(tài)管理。二是建立以風(fēng)險控制為導(dǎo)向的監(jiān)管方式，改變合規(guī)性逐項檢查監(jiān)管模式，采取“多元化策略+外部認(rèn)證監(jiān)督”的方式，由網(wǎng)絡(luò)運營者根據(jù)保護用戶信息安全的需要，設(shè)定多元化的權(quán)利保障政策或措施，政府根據(jù)評估認(rèn)證結(jié)果對內(nèi)部政策、制度是否合規(guī)進行的外部監(jiān)督。三是培養(yǎng)企業(yè)數(shù)據(jù)安全保護的戰(zhàn)略意識。將數(shù)據(jù)安全保護作為企業(yè)占有市場和增強用戶粘性的戰(zhàn)略舉措，把數(shù)據(jù)安全融入業(yè)務(wù)發(fā)展的各個環(huán)節(jié)，同步設(shè)計、同步建設(shè)、同步更新，變被動為主動，逐步建立起安全與發(fā)展并重的良性大數(shù)據(jù)產(chǎn)業(yè)生態(tài)環(huán)境。

5 結(jié)束語

近幾年，個人信息保護立法趨向統(tǒng)一立法模式，將逐漸賦予用戶更多的控制權(quán)，美國也轉(zhuǎn)變其寬松政策路徑，著重消費者權(quán)益的保護。同時，其通過選擇退出等模式力圖最大程度地縮小對互聯(lián)網(wǎng)企業(yè)的強制固化的限制。我國對此應(yīng)該充分借鑒，在制度建設(shè)過程中繼續(xù)尋求個人信息保護與互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的平衡途徑。

參考文獻

[1]?吳沈括，孟潔，薛穎，趙小琳.《2018年加州消費者隱私法案》中的個人信息保護[J].信息安全與通信保密，2018（12）：83-100.

[2]?閆曉麗.歐盟數(shù)據(jù)保護制度的變革及啟示[J].網(wǎng)絡(luò)空間安全，2017，8（Z1）：22-26.

[3]?王勝.《歐盟數(shù)據(jù)保護通用條例》詳解[J].大數(shù)據(jù)，2016，2（04）：93-101.