《加州消费者隐私法案》(CCPA)是美国首部关于消费者隐私保护和数据安全的全面立法,其重要性不亚于欧盟的GDPR。根据CCPA的规定,消费者主要拥有知情权、访问权、删除权、选择权、公平交易权、个人诉讼权六大权利。
知情权
消费者有权要求企业告知其收集的个人信息类型、信息来源、具体内容、用途以及第三方处理机构等。企业应在其隐私条款中明确告知消费者以上信息,否则其收集消费者个人信息的行为便视为不合规。
微软隐私政策中关于知情权的条款
来源:微软官网
访问权
消费者有权要求企业免费提供其收集、处理过的个人信息。这意味着消费者可自行获取企业处理过的个人数据,并以一种简便的方式对个人数据进行自我管理和重复利用。访问权强化了信息主体对个人信息的利用和控制,有利于信息流通和共享,打破平台的数据垄断。
来源:Twitter官网
CCPA规定,消费者需自行向企业发送请求以获取个人信息,企业只有在核实消费者请求后,方可通过邮寄或电子的方式传送给消费者。此外,企业应以轻便、易于使用的格式发送个人信息,而不应给消费者在二次利用时造成阻碍。
访问权的落地可为实际生活带来许多便利。例如,在疫情期间,出于属地管控要求,居民在跨省流动时被要求申请当地的健康码,在此期间往往会重复填写个人信息,造成用户体验上的不便。如果居民能在首次申请健康码、填写个人信息后,将个人健康信息下载下来,此后重新申请健康码时,只需经过简单授权,便可将下载好的个人信息导入新系统内,无需反复填写。
值得注意的是,虽然消费者有权要求企业免费提供个人信息,但CCPA同时也规定,消费者每年只能提出两次申请。这一次数限制有效避免消费者滥用访问权,给企业带来过高的合规压力。
删除权
CCPA第1798.105条规定,出海企业应在其隐私条款中尽到提醒义务,以易懂的方式向消费者解释其拥有的权利。同时,企业应配备专人,在规定时间内处理消费者提出的各种请求,并做好相应的记录留存工作。企业也应明确告知消费者其拥有删除权。企业收到消费者删除个人信息的请求时,应在核实后删除其个人信息,并要求其他数据服务提供商同时删除相关信息。
在特定情况下,企业有权拒绝消费者的删除请求,包括:
(1)企业与消费者之间的正常交易或合同履行须收集消费者个人信息;
(2)诊断安全事件;
(3)修补漏洞;
(4)保障言论自由;
(5)遵守《加州电子通讯隐私法》;
(6)为公共利益而进行的研究;
(7)仅用于符合消费者合理预期的企业内部使用;
(8)遵守其他法律义务;
(9)其他企业内部合法使用消费者个人信息的情形。
删除权的引入能有效规范企业的信息收集行为,加强了消费者对个人信息的控制。在CCPA正式实施后,各大互联网公司也开始按照规定处理用户的删除请求。以元宇宙公司Roblox为例,CCPA正式实施后,2020年Roblox收到来自消费者的删除请求共145份,其中仅有38份为有效请求,3份请求被驳回,其余百余份请求未被采纳可能是因为无法核实消费者信息。
来源:Roblox官网
选择权
消费者有权在任何时候要求企业不得销售其个人信息。企业应尽到告知义务,在其平台显眼位置提供“Do Not Sell My Personal Information”选项,这一选项也被称为“选择退出权(Opt-out)”。在尽到合理告知的前提下,只要消费者未拒绝,企业便默认消费者同意出售其个人信息。
暴雪娱乐“Do Not Sell My Personal Information”
来源:暴雪娱乐官网
与“选择退出权”相对应的,还有专门针对16岁以下未成年人的“选择加入权(Opt-in)”。未成年人信息在美国受到严格保护。CCPA明确规定,“企业任何故意忽视消费者年龄的行为应被视为其已明确知晓该消费者年龄”。对于未成年人(不满16岁)的个人信息,企业应当在取得消费者本人(13-16岁之间的消费者)或其父母、监护人(对于小于13岁的消费者)明确同意的情况下方可出售其个人信息。
公平交易权
企业不得因消费者行使CCPA相关权利而歧视消费者,包括:
(1)拒绝向消费者提供商品或服务;
(2)对商品或服务收取不同的价格或费率,包括通过给予不同的折扣、其他福利或处罚;
(3)向消费者提供不同等级或质量的商品或服务;
(4)暗示消费者将获得不同价格或费率的商品或服务,或者将向消费者提供不同水平或质量的商品或服务。
但CCPA同时也规定了一些豁免情形。例如,企业不得因消费者行使CCPA相关权利而歧视消费者,企业还可为个人信息的收集、出售或删除提供经济激励,包括向消费者支付赔偿金等。CCPA在保障消费者权利的基础上,也充分肯定了数据流动的经济价值,提倡在合法的情形下合理使用个人信息。
个人诉讼权
CCPA的一个重要突破是它赋予消费者提起个人诉讼的权利。CCPA第1798.150条规定,“由于企业违反义务,未实施和维护合理的安全措施以及与信息性质相符的做法来保护个人信息,从而导致未经授权的访问和泄露、盗窃或披露,消费者可提起民事诉讼。”消费者可就每次安全事件追讨100至750美元的损害赔偿,同时还可申请禁止令等其他法律救济行为。
然而,CCPA也给个人诉讼权附加了较高的门槛,在个人信息保护执法落地中的作用有限。CCPA的私人诉讼权仅针对数据泄露事故,只有在企业因自身原因导致消费者个人数据泄露时,消费者才可提起个人诉讼。
对于企业尚未造成损害的不合规行为,个人诉讼权并不支持。例如,针对企业未在其网站显眼位置设置“Do Not Sell My Personal Information”选项这一行为,虽然它并不合规,但并未造成隐私数据泄露等严重后果,因此也就不满足个人诉讼案的条件。截止目前,加州法院已收到150多起控告企业隐私保护不合规的个人诉讼案,但尚未有一起案件被成功受理。
合规建议
CCPA强化了消费者在隐私数据保护领域拥有的六大权利,并就如何保障消费者的个人信息提出了具体的操作规定。
出海企业应在其隐私条款中尽到提醒义务,以易懂的方式向消费者解释其拥有的权利。同时,企业应配备专人,在规定时间内处理消费者提出的各种请求,并做好相应的记录留存工作。
