同仁社区_铜仁第一网络交流平台

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1291|回复: 0

[域外法务] 浅谈美国加利福尼亚州消费者隐私法

[复制链接]
发表于 2019-7-13 07:56 | 显示全部楼层 |阅读模式
美国加利福尼亚州消费者隐私法(以下简称CCPA)已于2018年通过,并将于2020年1月正式生效。近年来,如脸书等大公司对个人信息的滥用促使公众重新审视对个人数据的保护,加州对消费者信息的保护居于美国各州前列,对其他州的立法也有借鉴和引导作用。本文现对该法的管辖范围、处罚机制等进行简要介绍。

  管辖范围

  一般来说,如果任何经营实体基于商业用途收集加州居民个人信息,就须遵守CCPA的规定。经营实体的定义包括任何在加州经营的盈利组织,在经营中收集、指派他人收集消费者个人信息,并有权决定如何处理消费者个人信息,并且满足以下三个条件之一:(1)年度总收入超过2500万美元;(2)年度购买、出售或其他商业性的处理个人信息涉及至少5万消费者/设备/或家庭;(3)年度总收入一半以上来自出售消费者个人信息。

  另外,如果经营实体满足上述标准,其母公司或拥有半数以上股权的子公司也将受CCPA管辖。

  个人信息的定义非常广泛,几乎包括任何可以直接或间接地与特定加州居民或家庭相关的非公开的信息,例如生物识别数据(指纹、脸型、血型等)、家庭购买数据、家庭信息(如有几个子女)、地理位置、财务信息和睡眠习惯等等。

  实质规定

  如果经营实体将个人信息转移给第三方并收取金钱或其他对价,即属于出售个人信息。如果经营实体出售个人信息,则该实体必须向消费者披露其个人信息可能被出售,并且消费者有权选择在出售信息中排除其个人信息。值得注意的是CCPA将以下几种个人信息转移排除:

  (1)如果消费者要求经营实体披露其个人信息或者利用经营实体去有意地向第三方提供个人信息。

  (2)如果经营者和服务提供方根据书面合同共享个人信息并且合同明确约定服务提供方不得为提供服务外的其他目的保存、使用或披露个人信息。

  (3)信息转移是基于公司并购或其他控制权转移,前提是收购方没有因收购而实质性改变个人信息的使用。

  根据CCPA消费者有权要求经营实体披露其收集、出售或公布了哪些类别的个人信息,消费者有权要求经营实体删除该消费者的个人信息:如果消费者提出该请求,则经营实体必须删除其个人信息(除少数例外的情况)。如果经营者出售个人信息,消费者有权选择从个人信息出售中排除该消费者的个人信息。CCPA进一步明确规定经营实体必须在网站上清楚而显著地提供“不准出售我个人信息”的链接,以方便消费者行使权利。这个所谓的“不准卖”条款一般被认为是CCPA最具影响力的条款,超越了以往的隐私保护立法。

  以往的隐私保护立法更强调形式上的“通知加同意”,商业机构往往通过跳出的窗口罗列出对消费者信息的使用,然后消费者可以选择同意或不同意。这种思路表面上看起来给了消费者知情权和选择权,可实践中消费者为了购买商品或服务往往点击“同意”。CCPA则给予消费者随时要求经营实体“不准卖”其个人信息的权利,商业机构很难再将同意出售个人信息打包在其他个人信息使用许可中,使消费者只能“一揽子”的接受。

  另外,经营实体还必须在其隐私政策中通知消费者在CCPA下享有的权利。任何收集、出售或因商业原因披露个人信息的经营实体必须在其隐私政策中描述其收集、出售或披露的个人信息的方式和类别。经营实体不能要求消费者必须与该实体建立个人账户才能获取相关的信息披露。同时,延续以往的个人信息保护立法,CCPA还要求经营实体必须对其持有的个人信息建立并实施合理的安全保护程序。

  处罚机制

  CCPA采用了民事诉讼加政府诉讼双轨制来执行其惩罚机制。

  消费者可以根据CCPA提起损害赔偿诉讼,金额为实际损害或者从100美元到750美元不等(取决于违法的严重程度和被告人的资产数额等)的法定损害,以高者为准。值得注意的是,这里的100美元到750美元不等的法定损害,是以每个消费者的每次违反来计算的。考虑到美国集团诉讼机制,如果涉及的消费者众多,则损害赔偿数字可能特别巨大。但CCPA要求消费者提起诉讼前须提前通知经营实体,如果经营实体在30天内完成对违反事项的补救,则可以免于对消费者承担赔偿责任。

  同时,CCPA赋予加州检察官提起诉讼的权力(每次违反不超过2500美元,每次故意违反不超过7500美元),但同样要给予经营实体30天的提前通知和补救时间。不难看出,这个30天的通知和补救条款是立法机关对公司利益代表的一种妥协。

  实践对策

  CCPA对公司的IT管理系统提出更高的要求,即要能够追踪各个用户的选择(是否同意出售等),并能实时地提供关于个人信息的类别、用途、是否提供给第三方服务提供商等。 同时公司必须建立完善的信息安全系统,以保护其收集到的个人信息的安全。

  CCPA一旦生效,对美国乃至世界的涉及消费者信息的商业行为都将产生影响。要知道,像谷歌、脸书这样的加州公司,每天处理的是数以亿计的来自世界各地的个人信息。不同于一般的个人信息保护立法,CCPA在一般的“通知加同意”要求外,对涉及个人信息出售的商业模式提出进一步的要求,包括明确赋予消费者可以选择在信息出售中排除其个人信息的权利。尽管其实践效果如何还有待检验,但个人信息的保护在可预见的将来的方向还是十分清晰——其将会从一般的 “通知加同意”走向更细致地区分处理, 如对不同的信息使用(如出售)提出不同的要求,给予消费者真正意义上的选择权和知情权。

  (作者单位:美国泛伟律师事务所硅谷办公室)


(来源:中国法院网)
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

About TongRen - 网站简介 - 联系方法 - 招聘信息 - 客户服务 - 相关法律 - 网络营销 - 网站地图 - 用户体验提升计划

返回顶部