财新传媒
位置:博客 > 李燕 > 2018美国加州消费者隐私法案解读

2018美国加州消费者隐私法案解读

2018年6月28日,美国加利福尼亚州议会在没有反对票的情况下,通过《2018加州消费者隐私法案》(California Consumer Privacy Act of 2018/ Assembly Bill 375)。该法案被称为美国“最严厉、最全面的个人隐私保护法案”,将于2020年1月1日生效。

近期,脸书隐私门事件的发生,消费者对预防个人信息被企业滥用的呼声不断,加大了监管者介入的压力。加州消费者隐私组织起草的限制个人信息收立法提案成功获得了60万加州公民署名,面对不利情势,科技公司游说立法者删除提案中对企业过于严苛的条款。对此,媒体消息称加州议会已与消费者隐私保护组织达成协议,于近期通过修订后的消费者隐私法案。

不同于既往美国针对特定行业或者特定隐私权事项的法案,加州消费者隐私法案广泛适用于在加州展业并符合一定条件的企业。法案赋予了消费者对个人信息更多的控制权,规范了企业收集处理数据的方式。

法案为消费者创建了访问权、删除权、知情权等一系列消费者隐私权利。例如,赋予消费者访问权,消费者有权要求收集个人信息的企业向消费者披露其收集的信息类别和具体内容;赋予消费者删除权,消费者有权要求企业删除其所收集的任何个人信息;赋予消费者知情权,消费者有权知道其个人信息被卖去何处,企业必须发布有关消费者的个人信息如何被出售或披露,以及披露给谁相关信息。

企业需要遵守的义务包括了需要根据消费者要求披露收集了哪些消费者的个人信息,根据消费者的要求删除相关数据;尊重消费者选择不出售个人数据的权利,不得通过拒绝给消费者提供商品或服务,或对商品或者服务收取不同的价格或者费率的方式歧视消费者。在罚则方面,企业若违反隐私保护要求,将面临支付给每位消费者最高750美元的赔偿金以及最高7500美元的民事处罚。

从行业影响来看,首先法案适用范围宽泛,许多企业恐将落入被规制对象。法案针对“企业”的界定广泛,不仅包括拥有在线和实体店的大企业,还包括任何可能会出于商业目的共享5万名或更多消费者、家庭或设备个人信息的小型实体,以及通过销售此类数据获得超过50%收入的企业。小型企业哪怕没有非常受欢迎的网站或手机应用,在没有满足该定义中的收入门槛(企业年收入超过2500万美元并根据消费者物价指数调整门槛值),也将很容易落入本法案所界定规制对象中。

其次,法案无疑将增加企业的经营成本,如若出现违规操作或将面临高额处罚。为遵守该法案,企业需更新运营设施以满足消费者的要求,比如接到消费者确切的获取个人信息请求后应即刻采取措施,并向消费者免费披露和交付所需的个人信息。又如,企业可就收集、销售或者删除个人信息向消费者提供经济激励方案,如提供折扣等换取消费者对企业出售这些数据的许可。如果个人同意公司交易其信息可获得经济利益,这相当于承认个人信息具有一定的财产属性,消费者可获利补偿,但企业推出的财务激励方案,须事先征得消费者的同意,消费者同时还可以随时撤销该选择,使得实施流程异常复杂而不具有可操作性。再如,法案要求企业履行强提示义务,要求网页上放置清晰而显著的链接,标题为“不要出售我的个人信息(Do Not Sell My Personal Information)”等等。

再次,法案对消费者选择依法行使权利时,企业该如何对商品或服务进行收费仍未明确,易造成企业在执行上无所适从。如果消费者根据法案行使权利,则企业不得向消费者收取不同的价格或者提供不同品质的商品或服务。但是,如果价格或质量的差异与消费者所提供数据的价值又是“合理相关”的,法案中并无明文规定企业不得收取不同的价格或提供不同质量的商品或服务。在实际操作中,如果消费者行使其权利,企业能否收取不同的服务费用,以及“合理相关”的确凿含义是什么,对此法案均未明确。尽管法案已授权由司法部长解释,未来更多可能是借助诉讼完成。

该法案的普遍预期是具有一定的溢出效应,或将被美国其他州或域外借鉴。法案中强调企业采集、使用和共享用户个人信息时进一步提高披露的透明度,尊重用户对个人信息的自决权,同GDPR的立法宗旨如出一辙。尽管在2020年法案正式实施前存在游说空间,法案在整体上将加重企业的隐私保护责任,或将改变美国企业收集和处理用户个人信息的方式。(李燕、刘丽)

推荐 10