專家在京研討加州隱私法案：與GDPR殊途同歸 對中國影響較大

加州州長簽署《2018加州消費者隱私法案》。

近日，美國加利福尼亞州剛剛通過的一項法案——《2018加州消費者隱私法案》（以下簡稱「CCPA」）引起廣泛關注。在歐盟《一般數據保護條例》（以下簡稱「GDPR」）正式實施一個月、矽谷科技巨頭頻頻曝出隱私泄露醜聞的時間節點上，CCPA的出台有著獨特的意義。

7月6日晚，北京師範大學互聯網刑事法治國際研究中心舉辦「美國2018加州消費者隱私法案」研討會，來自中美高校、研究機構、企業的多名專家學者圍繞CCPA分享了自己的觀點。

「美國2018加州消費者隱私法案」研討會在北京師範大學舉辦。主辦方供圖

與會嘉賓普遍認為，CCPA的影響力不僅限於加州或者美國。除了因為加州是全球第五大經濟體，對全球經濟的影響舉足輕重以外，對中國來說，很多企業願意在加州設立公司，因此CCPA也將對在加州開展業務的中國企業產生非常大的影響。

立法背景

倉促通過，未來可能大改

南都記者了解到，CCPA其實早在2017年2月9日就被提上議程，但在三讀階段被列入「非活動文件」（可立即考慮立法，但由於各種原因暫時處於休眠狀態）。今年6月21日，這項法案又被重新調取，七天之後即獲通過。

戲劇般轉折的背後，是一名叫Alastair Mactaggart的地產大亨。

Alastair Mactaggart（中）和他的倡議起草團隊。

他在2017年發起一個關於保護隱私的投票倡議，獲得超過60萬人簽名。根據加州法律，他有資格在加州立法議會介紹這個倡議並獲得回復。他承諾，如果議會在6月28日之前通過CCPA，他將撤回倡議。

於是，加州議會趕在截止日期之前通過了CCPA。這不僅僅是因為Mactaggart的倡議內容比CCPA要嚴得多，還有出於以倡議形式通過的法案更難修訂的考慮。

「CCPA的立法過程比較粗糙，顯然沒有經過與業界深入討論的過程，所以有些條款比較『嚇人』」，美國科文頓柏靈律師事務所高級顧問羅嫣說。不過，華為消費者業務隱私安全高級工程師範為指出，其實CCPA並不是完全沒有鋪墊。

她說，2015年美國就曾提出過一個消費者隱私權利法案，但是因為總統換屆等種種原因，最終未獲通過。「在這個法案制定過程中，企業參與非常多，很大程度可以代表行業共識，可以看出很多條文和理念與CCPA一脈相承」，她指出。

北京師範大學刑科院暨法學院副教授、中國互聯網協會研究中心秘書長吳沈括也提到，從文本設計中就能看出法案製作的倉促痕迹，而這與歐洲議會要求美國最遲於9月1日之前實現歐盟和美國間的數據傳輸隱私盾協議內容的合規不無關係。

他認為，美國出台CCPA的時間節點把握得非常好，「如果按照之前的設計，法案可能10月才出，那時已經過了歐洲議會要求美國遵守隱私盾的截止日期；而CCPA將於2020年實施，正值歐盟大選結束，進入政治穩定期，所以這個時間節點非常好。」

目前，谷歌、蘋果、AT&T等矽谷科技巨頭普遍對CCPA持反對態度。羅嫣分析，CCPA明確了企業負有民事賠償的責任，這意味著如果企業錯誤理解了條款，就可能面臨民事集體訴訟；另外諸如給予消費者刪除權的規定，也大大增加了企業的合規成本。

「當時GDPR出台之後，只是說企業有兩年時間適應它；而考慮到美國政府、企業的利益平衡，CCPA完全可能在正式實施前的18個月里被改得面目全非」，她說。

清華大學法學院副教授梁翠寧曾任紐約州檢察長辦公室數據保護負責人，有十五年信息保護的相關經驗。她表示，美國在隱私保護方面很早就有相關的立法保護，但是因為科技發展太快，立法可能過於倉促，有些問題無法用一個單詞涵蓋，導致很多辭彙表意模糊，這時就會由法院來扮演補充、試法的角色。

「近幾年美國公眾對個人隱私權的意識有很大進步，但能不能趕上科技的發展，以及法律體系能不能趕上科技的發展，都還是很大的問題」，美國USITO研究員Ben Jacobs認為。

條款解析

「家庭」被列入個人信息，更關注產業利益

會上發布了CCPA的中文譯本，由吳沈括、出門問問信息科技有限公司總法律顧問孟潔、海爾電器產業集團高級法律顧問薛穎、出門問問信息科技有限公司律師助理趙小琳合譯。

孟潔介紹，從整體上來說，加州希望通過立法保護加州公民/居民知道哪些信息被收集、出售、披露的權利，同時保障他們在行使隱私權的時候依然能夠得到同等的產品和服務，從而達到隱私權被充分保護的目標。

多名專家在會上指出，以把劍橋分析公司不正當使用Facebook用戶數據的事件寫進法案為例，CCPA的文本有很多創新之處。

CCPA的另一個重要創新是把「家庭」納入了個人信息的範疇。孟潔舉例說，在沒有提到個人姓名的情況下，他整個家庭的納稅額、能源消耗量、IP地址都可以被定義為個人信息。「這在無形中擴大了歐盟的GDPR、中國的《個人信息安全規範》里定義的個人信息範圍。」

「大家看CCPA對個人信息的列舉，是不是覺得外延項列得特別多？尤其對設備的識別也落入了個人信息範疇」，薛穎指出，這樣清晰的列舉十分少見，但在內涵界定上，其實跟GDPR差別不大。她認為，世界各國關於隱私保護的法律其實是趨同的，同時可識別維度也隨著信息展現形式的增多無限延伸，外延清單也就越來越長。

羅嫣也發現了這種趨同性。她說，儘管科技巨頭大多反對CCPA，但是「沒有哪家企業敢在電視上做大型廣告公開反對」，因為沒人願意被認為反對隱私保護，「隱私保護是社會的一種趨同認識」。

儘管CCPA被認為對科技巨頭「不太友好」，但不少專家認為，它其實對中小微企業展現了友好的一面。CCPA規定，只有滿足年度總收入2500萬美元、或者出售個人信息的年收入超過總收入50%等一系列條件的企業才需要遵守該法案。

「這些數值的出現說明（CCPA）在有意識地做小微企業豁免，中國很多公司做合規的成本很高，這個其實是好消息」，薛穎表示，本質上CCPA比中國的《個人安全信息規範》更鼓勵個人信息的商業流通。

CCPA的特色還體現在美國獨有的「通知」義務。它規定，收集消費者個人信息的企業應在收集時或收集前通知消費者關於要收集的個人信息的類別以及個人信息的使用目的。「根據GDPR，除了基本原則以外，還會給出合法性基礎，比如用戶必須明確同意，企業是為了履行經營活動或法定職責等，但在CCPA沒有提到這些」，孟潔說。

吳沈括認為，這恰恰反映了美國對產業利益更為關註：「只要有合法性基礎，我通知你了，我就可以處理你的個人信息，同時給你對沖機制，你可以要求刪除和退出。」 競天公誠律師事務所律師馮堅堅指出，這是帶有美國標籤的免責特色。

而在如何行使退出權上，孟潔認為CCPA比GDPR更有亮點。她介紹，CCPA要求企業在互聯網主頁上提供清晰明顯的「不得出售個人信息」的內容，而且要放到兩個地方：一是隱私政策里，另一個則是任何關於加州消費者隱私權的描述里。

對比GDPR

兩者「殊途同歸」

CCPA通過的時間恰好是GDPR正式實施之後的一個月。作為世界最大的經濟體之一，歐盟和美國立法在世界範圍內有深遠影響，很多跨國企業將同時受到兩者的管轄。因此，對兩者進行比較顯得尤為必要。

歐盟《一般數據保護條例》（GDPR）於今年5月25日正式實施。

范為曾在歐洲一線做GDPR的合規工作。在她看來，CCPA和GDPR存在著出發點上和價值觀上的區別。

她解釋，CCPA的基本初衷是規範數據的商業化利用，因為美國在數據經紀產業有「肥沃土壤」；而GDPR的出發點是保護基本人權。具體來說，CCPA對個人數據的使用是「原則上允許，有條件禁止」，而GDPR則相反，是「原則上禁止，有合法授權時允許」。

此外，CCPA中沒有數據跨境方面的限制，但GDPR就比較嚴格。「這是由於背後的經濟驅動」，范為說，「美國鼓勵數據流動，因為全球數據主要流向美國。」

儘管兩者差異不小，但范為表示，她最大的感受還是CCPA和GDPR的「殊途同歸」，尤其是CCPA中關於消費者的訪問權甚至包括有權獲取數據副本，「這樣的規定出現在美國法律中比較令人驚訝」。另外在鼓勵數據流通、降低中小企業合規成本方面，也有比較強的共通性。

她在與美國全球化企業交流的過程中感受到，GDPR對美國的行業產生了深刻影響。GDPR對於它們不僅是在歐洲開展業務需要遵守的要求，往往還會被擴展適用到全球業務。由CCPA的條文可以看出，GDPR對美國的影響也擴展到了立法層面。

孟潔也認為，從整體上看，CCPA有一些跟GDPR類似的地方，但是很多地方又不完全重合，甚至廣於GDPR的例外要求，這是它比較有特色的地方。

CCPA的出台是否意味著企業只要滿足它就可以不做GDPR合規了？孟潔的答案是「NO」。她強調，全球企業都應該同時並全面地滿足CCPA、GDPR以及其他隱私制度要求。

文/蔣琳 尤一煒

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！