從CCPA和GDPR比對(duì)看美國(guó)個(gè)人信息保護(hù)立法趨勢(shì)及路徑

魏書(shū)音

摘要：美國(guó)加州頒布的《 2018 年加州消費(fèi)者隱私法》（CCPA），在借鑒《通用數(shù)據(jù)保護(hù)條例》（GDPR）個(gè)人信息保護(hù)模式的同時(shí)，探索適合美國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的特有路徑。文章將CCPA和GDPR進(jìn)行對(duì)比，從其共性中分析美國(guó)順應(yīng)世界個(gè)人信息保護(hù)模式的新趨勢(shì)，從其特性中探索美國(guó)個(gè)人信息保護(hù)權(quán)益衡量的特有路徑。我國(guó)應(yīng)該借鑒美國(guó)個(gè)人信息保護(hù)立法的靈活性、具體性和有效性，建立個(gè)人信息保護(hù)集體訴訟機(jī)制，為個(gè)人提供更多的救濟(jì)渠道;分業(yè)制定個(gè)人信息具體規(guī)則和國(guó)家強(qiáng)制性標(biāo)準(zhǔn)，為個(gè)人信息保護(hù)提供有效依據(jù);加強(qiáng)源頭治理，提升行政執(zhí)法能力。

關(guān)鍵詞：GDPR;CCPA;個(gè)人信息保護(hù)立法

中圖分類(lèi)號(hào)：DF92????????? 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

2018年臉書(shū)數(shù)據(jù)泄露事件發(fā)生后，個(gè)人信息管理缺失以致于有關(guān)團(tuán)隊(duì)通過(guò)政治營(yíng)銷(xiāo)對(duì)選舉造成影響，觸動(dòng)了美國(guó)人民的敏感神經(jīng)。美國(guó)加州頒布的《 2018 年加州消費(fèi)者隱私法》（California Consumer Privacy Act，CCPA），將于 2020 年 1 月 1 日起生效。CCPA借鑒了《通用數(shù)據(jù)保護(hù)條例》（GDPR）的立法模式，順應(yīng)世界個(gè)人信息保護(hù)立法潮流，將企業(yè)收集、儲(chǔ)存、銷(xiāo)售和分享消費(fèi)者信息的若干控制權(quán)利授予消費(fèi)者，同時(shí)保留了美國(guó)特有的個(gè)人信息保護(hù)特色，高度重視產(chǎn)業(yè)利益，進(jìn)行權(quán)益衡量，探索美國(guó)的個(gè)人信息保護(hù)路徑。

2 從CCPA與GDPR共性看美國(guó)個(gè)人信息保護(hù)立法新趨勢(shì)

2.1統(tǒng)一個(gè)人信息保護(hù)標(biāo)準(zhǔn)

美國(guó)采取分散立法模式，沒(méi)有一部統(tǒng)一的個(gè)人信息保護(hù)法，而是根據(jù)個(gè)人信息的具體內(nèi)容進(jìn)行分業(yè)監(jiān)管，根據(jù)個(gè)人信息主體類(lèi)型施加不同的保護(hù)力度。GDPR 發(fā)布后，歐盟的統(tǒng)一立法模式成為全球個(gè)人數(shù)據(jù)保護(hù)立法范式。印度、巴西等國(guó)家緊隨其后，紛紛制定出臺(tái)統(tǒng)一個(gè)人信息保護(hù)法。臉書(shū)數(shù)據(jù)泄露事件發(fā)生后，美國(guó)兩黨、民眾以及主要科技公司就在聯(lián)邦層面制定統(tǒng)一隱私保護(hù)立法達(dá)成共識(shí)。CCPA在此背景下出臺(tái)，在一定程度上體現(xiàn)了美國(guó)建立個(gè)人信息保護(hù)統(tǒng)一標(biāo)準(zhǔn)的趨勢(shì)。一是不細(xì)分具體領(lǐng)域，確立適用各領(lǐng)域的統(tǒng)一規(guī)則和框架。與GDPR相似，CCPA緊扣信息處理合法、對(duì)信息主體救助、透明公開(kāi)與信息控制者責(zé)任四大核心框架，法律內(nèi)容涵蓋了各個(gè)領(lǐng)域。二是授予數(shù)據(jù)主體統(tǒng)一的信息權(quán)益和信息處理標(biāo)準(zhǔn)。通過(guò)立法界定個(gè)人信息、數(shù)據(jù)主體、數(shù)據(jù)控制者等核心概念，統(tǒng)一授予數(shù)據(jù)主體權(quán)利，保障數(shù)據(jù)主體對(duì)本人信息流轉(zhuǎn)的控制。

2.2 強(qiáng)調(diào)個(gè)人對(duì)個(gè)人信息的控制權(quán)

CCPA指明，《加利福尼亞州憲法》將隱私權(quán)納為全體人民“不可剝奪”的權(quán)利之一，賦予每位加利福尼亞州人法定且可執(zhí)行的隱私權(quán)。個(gè)人就其個(gè)人信息的使用、出售的控制力對(duì)于保護(hù)隱私權(quán)具有基礎(chǔ)性意義。與GDPR一樣， CCPA強(qiáng)調(diào)消費(fèi)者對(duì)個(gè)人信息的控制，創(chuàng)建了一系列消費(fèi)者個(gè)人信息權(quán)利。如訪(fǎng)問(wèn)權(quán)，消費(fèi)者有權(quán)要求收集個(gè)人信息的企業(yè)向消費(fèi)者披露其收集的信息類(lèi)別和具體內(nèi)容;刪除權(quán)，消費(fèi)者有權(quán)要求企業(yè)刪除其所收集的任何個(gè)人信息;知情權(quán)，消費(fèi)者有權(quán)知道其個(gè)人信息被轉(zhuǎn)移到何處，企業(yè)必須發(fā)布有關(guān)消費(fèi)者的個(gè)人信息出售或披露的范圍、流向、方式等。企業(yè)需要遵守的義務(wù)包括需要根據(jù)消費(fèi)者要求披露收集了哪些消費(fèi)者的個(gè)人信息，根據(jù)消費(fèi)者的要求刪除相關(guān)數(shù)據(jù);尊重消費(fèi)者選擇不出售個(gè)人數(shù)據(jù)的權(quán)利，不得通過(guò)拒絕給消費(fèi)者提供商品或服務(wù)，或?qū)ι唐坊蛘叻?wù)收取不同的價(jià)格、費(fèi)率的方式歧視消費(fèi)者。

2.3 設(shè)定較嚴(yán)格的處罰措施

CCPA與GDPR都對(duì)違規(guī)行為設(shè)定了較重的處罰。GDPR規(guī)定企業(yè)會(huì)面臨最高2000萬(wàn)歐元或上一財(cái)年全球營(yíng)業(yè)額4%的行政處罰，以較高者為準(zhǔn);而CCPA規(guī)定，如果企業(yè)違反義務(wù)而未實(shí)施和維護(hù)合理安全程序以及采取與信息性質(zhì)相符的做法來(lái)保護(hù)個(gè)人信息，從而遭受了未經(jīng)授權(quán)的訪(fǎng)問(wèn)和泄露、盜竊或披露，則消費(fèi)者可因以下任何一項(xiàng)提起民事訴訟，企業(yè)將面臨支付給每位消費(fèi)者最高750美元的賠償金以及最高7500美元的損害賠償金或?qū)嶋H損害賠償金，以數(shù)額較大者為準(zhǔn)。

3 從CCPA與GDPR的區(qū)別看美國(guó)個(gè)人信息保護(hù)路徑選擇

3.1“個(gè)人信息”的定義更為廣泛

CCPA和GDPR對(duì)于個(gè)人信息都作了較寬的界定，而CCPA對(duì)于個(gè)人信息的定義比GDPR更為廣泛。個(gè)人信息是指能夠直接或間接的識(shí)別、描述與特定的消費(fèi)者或家庭相關(guān)或合理相關(guān)的信息，包括但不限于真實(shí)姓名、別名、郵政地址、唯一的個(gè)人標(biāo)識(shí)符、在線(xiàn)標(biāo)識(shí)符、互聯(lián)網(wǎng)協(xié)議地址、電子郵件地址、生物信息、商業(yè)信息、地理位置數(shù)據(jù)以及教育信息等。一是CCPA將與家庭和身份關(guān)聯(lián)的設(shè)備相關(guān)信息納入了個(gè)人信息的范疇。例如，反映家庭年度用水或能源消耗、或者特定員工的工作描述（IP地址、網(wǎng)絡(luò)瀏覽記錄等）也被規(guī)定為個(gè)人信息范疇。二是GDPR將構(gòu)建數(shù)據(jù)主體的“概要”性語(yǔ)言作為個(gè)人信息范疇，而CCPA將有關(guān)消費(fèi)者的推斷也作為個(gè)人信息的一部分。個(gè)人信息包括從已識(shí)別的任何信息中得出的推論，用于創(chuàng)建一個(gè)關(guān)于消費(fèi)者的檔案，反映消費(fèi)者的偏好、特征、心理趨勢(shì)、傾向、行為、態(tài)度、智力、能力和資質(zhì)。美國(guó)的司法實(shí)踐中對(duì)于個(gè)人隱私邊界的認(rèn)定一直是隨著技術(shù)的發(fā)展而不斷變化的。2011年，法院判定警察在使用GPS追蹤設(shè)備獲取嫌犯位置移動(dòng)信息時(shí)，必須獲取搜查令。2014年，法院禁止警察在沒(méi)有搜查令的情況下搜查被拘捕人手機(jī)內(nèi)的信息。最高法院進(jìn)一步擴(kuò)大了個(gè)人隱私信息的范圍，把生成并存放在第三方的位置信息也納入了憲法第四修正案的保護(hù)范疇。

3.2 高度關(guān)注產(chǎn)業(yè)利益，采取權(quán)益衡量的折中保護(hù)措施

CCPA仍然保持了美歐個(gè)人數(shù)據(jù)保護(hù)法對(duì)產(chǎn)業(yè)利益的強(qiáng)烈關(guān)注。一是繼續(xù)沿用選擇退出（opt-out）模式。在GDPR下，公司收集、處理消費(fèi)者個(gè)人數(shù)據(jù)之前必須要獲得消費(fèi)者的同意，即選擇進(jìn)入（opt-in）模式;而在CCPA中，對(duì)于16歲以上的消費(fèi)者的個(gè)人信息處理，采取美國(guó)一以貫之的“opt-out”模式（如《格雷姆-里奇-布萊利法案》和《控制未經(jīng)征求的色情和營(yíng)銷(xiāo)攻擊法案》也包含某些選擇退出要求），除非用戶(hù)拒絕或退出，公司可繼續(xù)處理用戶(hù)的個(gè)人信息。為了全力促進(jìn)數(shù)據(jù)產(chǎn)業(yè)發(fā)展，美國(guó)在個(gè)人信息保護(hù)理念上更加注重對(duì)個(gè)人信息的利用，而非收集。正如美國(guó)的《大數(shù)據(jù)與隱私報(bào)告》指出：信息所具有敏感性，以及與來(lái)自一般商業(yè)活動(dòng)、政府行政或者來(lái)自公共場(chǎng)合的大量數(shù)據(jù)的難以分割性，使得規(guī)制這些信息的使用比規(guī)制收集更合適。二是提出“財(cái)務(wù)激勵(lì)計(jì)劃”，賦予個(gè)人信息財(cái)產(chǎn)屬性。企業(yè)可以為個(gè)人信息的收集、出售或者刪除提供財(cái)務(wù)激勵(lì)，包括向消費(fèi)者支付賠償金。如果消費(fèi)者通過(guò)提供其數(shù)據(jù)而產(chǎn)生價(jià)值，企業(yè)還可以據(jù)此以不同的價(jià)格、費(fèi)率、水平或質(zhì)量向消費(fèi)者提供商品或服務(wù)而不構(gòu)成歧視。三是重視對(duì)中小企業(yè)的保護(hù)。在歐盟GDPR下，任何規(guī)模的實(shí)體都受GDPR的約束，而加州消費(fèi)者隱私法僅涵蓋了收入超過(guò)2500萬(wàn)美元的企業(yè)，以及銷(xiāo)售大量個(gè)人信息的數(shù)據(jù)經(jīng)紀(jì)人。

3.3 賦予消費(fèi)者個(gè)人獲得賠償?shù)臋?quán)利，采取集體訴訟的救濟(jì)路徑

不同于隱私權(quán)的私法屬性，個(gè)人信息所具有的公共屬性越來(lái)越明顯，美歐都沒(méi)有將個(gè)人數(shù)據(jù)受到保護(hù)的權(quán)利泛化為一般性的私法權(quán)利，而是采取公法保護(hù)或消費(fèi)者權(quán)益保護(hù)的路徑。GDPR主要以行政監(jiān)管和處罰來(lái)規(guī)制數(shù)據(jù)處理者和控制者的個(gè)人信息收集使用行為，尤其是通過(guò)高額罰款形成震懾。CCPA采取消費(fèi)者保護(hù)路徑，將損害賠償一事授予了個(gè)人，規(guī)定了私人訴訟權(quán)，同時(shí)限定為集體訴訟模式。通過(guò)賦予州檢察長(zhǎng)執(zhí)法的專(zhuān)有權(quán)力和規(guī)定一些必須滿(mǎn)足的條件，如對(duì)企業(yè)進(jìn)行書(shū)面違規(guī)通知，給予其30日解決違規(guī)行為的機(jī)會(huì)，從而對(duì)私人訴訟權(quán)加以約束。

4 啟示

4.1 建立個(gè)人信息保護(hù)集體訴訟機(jī)制，為個(gè)人提供更多的救濟(jì)渠道

現(xiàn)代信息社會(huì)中個(gè)人與互聯(lián)網(wǎng)企業(yè)等網(wǎng)絡(luò)運(yùn)營(yíng)在信息能力方面存在巨大差異，以至造成公民個(gè)人信息保護(hù)舉證困難、維權(quán)困難。單一個(gè)體或消費(fèi)者很難對(duì)企業(yè)等信息收集者與處理者進(jìn)行監(jiān)督，但各類(lèi)公益組織和政府機(jī)構(gòu)可以成為消費(fèi)者集體或公民集體的代言人，對(duì)個(gè)人信息保護(hù)進(jìn)行有效監(jiān)督。

我國(guó)的個(gè)人信息法律保護(hù)不僅應(yīng)當(dāng)推動(dòng)公法制定進(jìn)程，還應(yīng)當(dāng)重視消費(fèi)者權(quán)益保護(hù)等公民個(gè)人的救濟(jì)路徑，真正發(fā)揮司法在保護(hù)公民隱私權(quán)益方面的作用。一是修訂消費(fèi)者權(quán)益保護(hù)法，明確個(gè)人可對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者侵犯?jìng)€(gè)人信息權(quán)益的責(zé)任追究，并且采用集體訴訟方式索要賠償。二是成立個(gè)人信息保護(hù)委員會(huì)，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的個(gè)人信息保護(hù)工作進(jìn)行社會(huì)監(jiān)督，對(duì)個(gè)人信息保護(hù)侵權(quán)投訴進(jìn)行統(tǒng)一受理，針對(duì)企業(yè)在個(gè)人信息保護(hù)方面的一些不當(dāng)行為提起公益訴訟。

4.2 分業(yè)制定個(gè)人信息具體規(guī)則和國(guó)家強(qiáng)制性標(biāo)準(zhǔn)，為個(gè)人信息保護(hù)提供有效依據(jù)

一方面，加快推動(dòng)《個(gè)人信息保護(hù)法》的立法進(jìn)程，明確公民在個(gè)人信息保護(hù)方面的各項(xiàng)權(quán)益，進(jìn)一步細(xì)化網(wǎng)絡(luò)運(yùn)營(yíng)者的個(gè)人信息保護(hù)要求以及網(wǎng)絡(luò)運(yùn)營(yíng)者之間的責(zé)任分配。另一方面，各行業(yè)、各領(lǐng)域主管部門(mén)根據(jù)本行業(yè)的特征，在特定領(lǐng)域和特定情形中賦予個(gè)體明確的個(gè)人信息權(quán)益，以及個(gè)人信息保護(hù)要求。

4.3 加強(qiáng)源頭治理，提升行政執(zhí)法能力

近年來(lái)，對(duì)個(gè)人信息保護(hù)的舉措主要集中在對(duì)相關(guān)犯罪的刑事打擊上，《刑法修正案（七）》和《刑法修正案（九）》不斷加重個(gè)人信息違法犯罪的打擊力度，但是民事和行政保護(hù)力度嚴(yán)重不足。重末端治理、輕源頭治理，僅以威懾力壓制，而無(wú)規(guī)則指引，導(dǎo)致違法犯罪依然屢禁不止，良好的秩序和生態(tài)環(huán)境難以生成。一是強(qiáng)化對(duì)數(shù)據(jù)收集、存儲(chǔ)、使用等行為的監(jiān)督檢查力度，督促并指導(dǎo)企業(yè)加強(qiáng)對(duì)數(shù)據(jù)生態(tài)管理。二是建立以風(fēng)險(xiǎn)控制為導(dǎo)向的監(jiān)管方式，改變合規(guī)性逐項(xiàng)檢查監(jiān)管模式，采取“多元化策略+外部認(rèn)證監(jiān)督”的方式，由網(wǎng)絡(luò)運(yùn)營(yíng)者根據(jù)保護(hù)用戶(hù)信息安全的需要，設(shè)定多元化的權(quán)利保障政策或措施，政府根據(jù)評(píng)估認(rèn)證結(jié)果對(duì)內(nèi)部政策、制度是否合規(guī)進(jìn)行的外部監(jiān)督。三是培養(yǎng)企業(yè)數(shù)據(jù)安全保護(hù)的戰(zhàn)略意識(shí)。將數(shù)據(jù)安全保護(hù)作為企業(yè)占有市場(chǎng)和增強(qiáng)用戶(hù)粘性的戰(zhàn)略舉措，把數(shù)據(jù)安全融入業(yè)務(wù)發(fā)展的各個(gè)環(huán)節(jié)，同步設(shè)計(jì)、同步建設(shè)、同步更新，變被動(dòng)為主動(dòng)，逐步建立起安全與發(fā)展并重的良性大數(shù)據(jù)產(chǎn)業(yè)生態(tài)環(huán)境。

5 結(jié)束語(yǔ)

近幾年，個(gè)人信息保護(hù)立法趨向統(tǒng)一立法模式，將逐漸賦予用戶(hù)更多的控制權(quán)，美國(guó)也轉(zhuǎn)變其寬松政策路徑，著重消費(fèi)者權(quán)益的保護(hù)。同時(shí)，其通過(guò)選擇退出等模式力圖最大程度地縮小對(duì)互聯(lián)網(wǎng)企業(yè)的強(qiáng)制固化的限制。我國(guó)對(duì)此應(yīng)該充分借鑒，在制度建設(shè)過(guò)程中繼續(xù)尋求個(gè)人信息保護(hù)與互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的平衡途徑。

參考文獻(xiàn)

[1]?吳沈括，孟潔，薛穎，趙小琳.《2018年加州消費(fèi)者隱私法案》中的個(gè)人信息保護(hù)[J].信息安全與通信保密，2018（12）：83-100.

[2]?閆曉麗.歐盟數(shù)據(jù)保護(hù)制度的變革及啟示[J].網(wǎng)絡(luò)空間安全，2017，8（Z1）：22-26.

[3]?王勝.《歐盟數(shù)據(jù)保護(hù)通用條例》詳解[J].大數(shù)據(jù)，2016，2（04）：93-101.