美国加州通过消费者隐私法防个人信息被滥用(美国加州消费者隐私法案全文)

本篇文章给大家谈谈美国加州通过消费者隐私法防个人信息被滥用对应的信息，希望对各位有所帮助，不要忘了收藏本站喔。

美国加利福尼亚州消费者隐私法(以下简称“CCPA”)已于2018年通过,并将于2020年1月起正式生效。

近年来,如脸书等大公司对个人信息的滥用促使公众重新审视对个人数据的保护,加州对消费者信息的保护居于美国各州前列,对其他州的立法有借鉴和引导作用。

适用于经营实体一般来说,如果任何经营实体基于商业用途从加州居民收集个人信息,就须遵守CCPA的规定。

经营实体的定义包括任何在加州经营的盈利组织,在经营中收集、指派他人收集消费者个人信息,并有权决定如何处理消费者个人信息,并且满足以下三个条件之一:(1)年度总收入超过2500万美元:(2)年度购买、出售或其他商业性地处理个人信息涉及至少50000消费者/设备/或家庭:(3)年度总收入一半以上来自出售消费者个人信息。

另外,如果经营实体满足上述标准,其母公司或拥有半数以上股权的子公司也将受CCPA管辖。

个人信息的定义非常广泛,几乎包括任何可以直接或间接地与特定加州居民或家庭相关的非公开的信息,例如生物识别数据(指纹、脸型、血型等)、家庭购买数据、家庭信息(如有几个子女)、地理位置、财务信息、睡眠习惯等。

设定“不准卖”条款如果经营实体将个人信息转移给第三方并收取金钱或其他对价,即属于******。

如果经营实体******,则该实体必须向消费者披露其个人信息可能被出售,并且消费者有权选择在出售信息中排除其个人信息。

值得注意的是,CCPA将以下几种个人信息转移排除:(1)如果消费者要求经营实体披露其个人信息或者利用经营实体有意地向第三方提供个人信息:(2)如果经营者和服务提供方根据书面合同共享个人信息并且合同明确约定服务提供方不得为提供服务外的其他目的保存、使用或披露个人信息:(3)信息转移是基于公司并购或其他控制权转移,前提是收购方没有因收购而实质性改变个人信息的使用。

根据CCPA,消费者有权要求经营实体披露其收集、出售或公布了哪些类别的个人信息,消费者有权要求经营实体删除该消费者的个人信息:如果消费者提出该请求,则经营实体必须删除其个人信息(除少数例外的情况)。

如果经营者******,消费者有权选择从个人信息出售中排除该消费者的个人信息。

另外,经营实体还必须在其隐私政策中通知消费者在CCPA下享有的权利。

任何收集、出售或因商业原因披露个人信息的经营实体必须在其隐私政策中描述其收集、出售或披露的个人信息的方式和类别。

经营实体不能要求消费者必须与该实体建立个人账户才能获取相关的信息披露。

同时,延续以往的个人信息保护立法,CCPA还要求经营实体必须对其持有的个人信息建立并实施合理的安全保护程序。

CCPA进一步明确规定经营实体必须在网站上清楚而显著地提供“不准出售我个人信息”的链接,以方便消费者行使权利。

这个所谓的“不准卖”条款一般被认为是CCPA最具影响力的条款,超越了以往的隐私保护立法。

以往的隐私保护立法(如欧盟的GDPR等)更强调形式上的“通知加同意”,商业机构往往通过跳出的窗口罗列出对消费者信息的使用,然后消费者可以选择同意或不同意。

这种思路表面上看起来给了消费者知情权和选择权,可实践中消费者为了购买商品或服务往往点击“同意”。

CCPA则给予消费者随时要求经营实体“不准卖”其个人信息的权利,商业机构很难再将同意******打包在其他个人信息使用许可中使消费者只能“一揽子”接受。

但CCPA的视角并不就是完美的。

“不准卖”的严格执行,会给予一些已经拥有巨大数量个人信息的公司前所未有的优势,并且在客观上促成了一种对个人信息的垄断。

以往,一家小公司可以通过从脸书、谷歌这样的个人信息巨头那里购买一定数量的个人信息来优化自己的服务,推出更有竞争力的产品和服务。

而CCPA的“不准卖”条款一旦严格执行,这些小公司将可能会永远被排除在针对个人的商业洪流之外。

只有脸书、谷歌这样的个人信息既得者可以在其已经持有的个人信息基础上继续优化服务、推出新产品,而这无疑进一步巩固了其垄断地位,并且在客观上促成了个人信息寡头的诞生。

可见,对于个人信息的规制模式,还要进一步摸索。

双轨制处罚机制CCPA采用了民事诉讼加政府诉讼双轨制来执行其惩罚机制。

消费者可以根据CCPA提起损害赔偿诉讼,金额为实际损害或者从100美元到750美元不等(取决于违法的严重程度和被告人的资产数额等)的法定损害,以高者为准。

值得注意的是,这里的100美元到750美元不等的法定损害是以每个消费者的每次违反来计算的。

考虑到美国集团诉讼机制,如果涉及的消费者众多,则损害赔偿数额可能特别巨大。

但CCPA要求消费者提起诉讼前须提前通知经营实体,如果经营实体在30天内完成对违反事项的补救则可以免于对消费者承担赔偿责任。

同时,CCPA赋予加州检察官提起诉讼的权力(每次违反不超过2500美元,每次故意违反不超过7500美元),但同样要给予经营实体30天的提前通知和补救时间。

不难看出,这个30天的通知和补救条款是立法机关对公司利益代表的一种妥协。

实践效果待检验在电子商务全球化的大背景下,中国公司很有可能在不知情的情况下即落入了CCPA的管辖范围。

CCPA对公司的IT管理系统提出更高的要求,即要能够追踪各个用户的选择(是否同意出售等),并能实时提供关于个人信息的类别、用途、是否提供给第三方服务提供商等。

同时,公司必须建立完善的信息安全系统保护其收集到的个人信息的安全。

在公司并购交易中,收购方则不能将被收购方公司所收集的个人信息出售,除非消费者事前收到明确通知其个人信息可能被出售,并且有选择在信息出售中排除其个人信息的权利。

在收购文件中,要加入详尽的关于遵守CCPA的陈述保证,并在尽职调查过程中加入对CCPA遵守的特定询问和审查。

CCPA一旦生效,对美国乃至世界涉及消费者信息的商业行为都将产生影响。

要知道,像谷歌、脸书这样的加州公司,每天处理数以亿计的来自世界各地的个人信息。

不同于一般的个人信息保护立法,CCPA在一般的“通知加同意”要求外,对涉及个人信息出售的商业模式提出进一步的要求,包括明确赋予消费者可以选择在信息出售中排除其个人信息的权利。

尽管其实践效果如何还有待检验,但个人信息的保护在可预见的未来的方向还是十分清晰的,其将会从一般的“通知加同意”走向更细致的区分处理,如对不同的信息使用(尤其是出售)提出不同的要求,从而给予消费者真正意义上的选择权和知情权。