找加州律师事务所，美国《加州隐私权法案》评述的内容

文│ 上海政法学院教授 张继红；北京德和衡（上海）律师事务所律师 文露

美国《加州隐私权法案》（The California Privacy Rights Act，CPRA），即加州第 24 号提案于 2020 年 11 月 3 日通过，并将于2023 年 1 月 1 日正式生效。这是继 2018 年《 加州消费者隐私法案》（California Consumer PrivacyAct，CCPA）颁布后又一具有标志性意义的美国消费者隐私权保护立法。CPRA 在 CCPA 的基础上，进一步强化了加州消费者对其个人信息的控制权，个人隐私的保护范围更广泛、保护内容更多样、惩罚措施更严格。

一、CPRA 与 CCPA 之间的关系：冲突、替代，抑或相互补充

CCPA 与 CPRA 是目前美国加州最重要的两部个人隐私保护法律。虽然这两部法律均属于州立法，但鉴于美国加州拥有众多领先的科技公司及龙头型科技产业，这也使得其事实上成为美国整个科技行业最具影响力的隐私立法。两部州法先后出台都基于相同的立法主旨——更好地保护加州消费者隐私权。无论从立法背景还是立法目的来看，两者并非替代或冲突关系。客观来说，CPRA 并非新法，而是对 CCPA 的改写、补充及完善，两法共同构成加州数据隐私法律制度的基础性框架。具体而言，除了扩充或完善 CCPA 涉及的部分隐私权保护内容，CPRA 还针对 CCPA 规定中容易产生歧义的地方，进行了更为清晰地定义或解释。而且，两部州法不仅在消费者隐私权保护规定上实现了补充与衔接，在监管执法领域也作了统一安排。

二、CPRA 七大重点

与 CCPA 相比，CPRA 从适用范围、隐私保护原则、隐私权内容、同意机制、敏感信息、监管执法机构、罚则等的七个方面进行了调整与完善。

第一，法案对适用范围进行了有的放矢地调整。

之所以说是有的放矢，因为 CPRA 不仅仅是简单地将监管适用范围扩大或缩小，而是根据企业实际运营情况有所侧重。根据 CCPA 规定，任何营利性实体，如果在加州开展业务并涉及消费者个人信息处理的，在满足以下任一条件时，均受该法调整：（1）上年度总收入超过 2500 万美元的。即使加州地区总收入未达到 2500 万美元，但全国各州总收入已达到该数额，未进行说明解释的，也属于适用对象。（2）每年购买、出售、分享超过 5 万消费者或家庭的个人信息的。（3）年收入 50% 来自出售个人信息的。相较而言，CPRA 将上述第二项中的“5万”消费者个人或家庭信息的要求提升至“10 万”，将更多的中小企业排除出其规制对象。客观来说，CPRA 谨慎衡量了大企业及中小企业在隐私权保护上所需承担的不同责任水平，进一步降低了中小企业的隐私合规压力。与此同时，法案也适当放宽了CCPA 原有的合规整改期限。根据 CCPA 规定，涉及雇员隐私、企业之间消费者个人信息交互等相关领域的隐私保护合规整改，均应在 2021 年 1 月 1日前完成。考虑到整改工作的现实难度，CPRA 将该合规整改期延续到 2023 年 1 月 1 日，两年的宽限缓冲期无疑给予了相关企业更宽松的整改时间。

另一方面，CPRA 也将之前试图规避监管的企业正式纳入其监管视野。CCPA 并未对什么是“出售行为”作出界定，导致法律适用及执法环节的不确定性，从而产生诸多纷争。针对上述问题，CPRA不仅将“分享行为”纳入“出售行为”范畴，并对这一概念进行了清晰地界定，即“无论是否出于金钱或其他目的考虑，企业以书面、电子、口头或其他方式将已持有或掌握的消费者个人信息分享、出租、发布、披露、传播、提供、转移给第三方用于定向智能广告投放的行为，都属于分享行为”。也就是说，CPRA 对那些利用 Cookie 技术收集用户信息并用于智能广告投放的企业，如脸书、谷歌等宣称其没有出售个人信息而只是信息分享以试图摆脱监管的行为作出了正面回应，这些“分享个人信息”的科技企业将同样受到新法案的监管。

同时，为了明确规范数字广告，CPRA 特别区分了两种类型的广告：跨语境行为广告和非个性化广告。跨语境行为广告是指根据消费者在企业、独有品牌网站、应用程序或服务之间的活动中获得的个人信息，向消费者定向投放广告，但消费者有意与之互动的企业、独有品牌网站、应用程序或服务除外。跨语境行为广告是加州隐私权立法首次提到的概念，这是一种通过技术分析消费者个人消费习惯及特征，向其定向投放广告的在线商业活动。跨语境行为广告的个人信息共享受制于“选择退出权”，而非个性化广告的使用（除了精确的地理位置）则被视为内部 “商业目的”，不受“选择退出权”限制。这些新定义的术语巩固了 CCPA 当前的解释，即选择退出权扩展到特定类型广告行为，而已经在这个解释下运作的企业就不需要大幅修改其隐私合规计划。

此外，CPRA 修订了“服务提供者”（Serviceprovider）的定义，并首次引入“承包商”（Contractor）这一概念，对“承包商”提出了专门的监管要求。这也是加州隐私立法上首次明确个人信息流转过程中不同主体（服务提供商、承包商、第三方）的行为规范及其权利义务。承包商属于一类新的个人信息接收者，具体是指基于商业活动所需，根据书面合同约定接收企业向其提供的消费者个人信息。CPRA 对承包商施加了与服务提供者相同的合同和直接义务，并要求承包商证明他们理解并将遵守这些合同义务。同时，为了防范企业之间恶意串通损害消费者隐私权，CPRA 对上述机构做了一系列强制性规定：要求服务提供商和承包商将与次级服务提供商或分包商的任何约定应通知企业，并使这些当事方受企业和服务提供商之间以其他方式安排的相同书面合同的约束；直接规定服务提供商和承包商有义务配合并协助企业回应消费者的隐私权请求；要求企业必须在合同中禁止服务提供商和承包商将从企业收到的任何个人信息与从其他渠道或以其自身名义收集的个人信息结合起来等。

第二，法案引入了数据最小化、目的限制、存储限制等隐私权保护原则，进一步规范了企业消费者个人信息的处理行为。

根据法案，企业对个人信息的收集、使用、保留和共享必须最小化到为实现收集或处理的目的，或为另一个与收集背景相适应的公开目的而达到合理必要和相称的程度；不得为不相容的、未公开的目的进行处理，这就是数据最小化原则。目的限制原则是指企业在未事先向消费者发出通知的情况下，不得为与先前披露的目的不相容的新目的收集或使用个人信息。企业必须在收集或使用个人信息时披露与之前披露的目的不一致的新目的。存储限制原则，即企业必须在收集时披露每类个人信息的保留期限（如果无法披露，则披露用于确定该期限的标准）。企业还被禁止保留个人信息的时间超过每个披露目的的“合理需要”。换言之，企业必须在收集时通知加州居民其所收集的个人信息类别的保留时间，这意味着用户有权知道他们的个人信息在收集后存储多长时间。

而且，CPRA 将数据最小化和数据存储的要求纳入直接责任领域，也就是说，法案授权监管机构直接执行有关数据最小化或保留个人信息限制的规定，只要企业不遵守上述规定即视为违反 CPRA 而受到严厉制裁。

第三，法案设定了更为广泛的个人隐私权保护内容，并对现有隐私权进行了调整和修正。

一方面，CPRA 在 CCPA 基础上增设了四项新的隐私权内容，即个人信息更正权、敏感个人信息限制权、自动化决策的退出选择权、自动化决策的信息访问权。个人信息更正权，即指任何消费者有权根据个人信息的性质以及使用目的对不准确的个人信息进行纠正，而使用或保留该个人信息的企业应当根据消费者的要求予以及时纠正。为了保护个人敏感信息，消费者可以出于某些次要目的而限制敏感个人信息的使用和披露，包括禁止企业向第三方披露敏感个人信息。而自动决策的退出选择权及自动决策的信息知情权，是在新法案中多次被重点提及的两项隐私权，均是与用于抓取用户信息并分析用户消费特征的自动化处理技术有关。其中，自动决策的退出选择权赋予消费者一项法定退出选择权，即禁止相关技术对其进行智能特征分析，这些特征分析包括个人工作表现、个人经济状况、个人健康状况、个人偏好等内容；而自动决策的信息访问权则从另一维度保护消费者隐私，即此时消费者同意采用相关技术对其进行智能特征分析，但消费者同时有权了解决策过程所涉及的推理关键因素以及决策处理后特征分析结果。由此可见，CPRA 已经几乎涵盖了欧盟 GDPR 所规定的全部个人数据权内容，即访问权、更正权、删除权、限制处理权、可携带权、反对信息处理权、个人信息出售或分享退出权、禁止信息自动化决策及分析处理权、敏感信息限制使用权等。可以说，CPRA 赋予了加州消费者最完整的个人隐私权。

另一方面，法案对现有的隐私权进行了部分调整。CCPA 规定了五项个人隐私权，即访问权、删除权、退出选择权、可携带权以及非歧视权。对访问权，CPRA 进行了扩充，如果是在 2022 年 1 月 1日之后收集的个人信息，消费者将有权要求企业提供其首次提出披露请求前 12 个月的个人信息处理情况。对删除权，消费者有权要求企业通知第三方平台删除其已经购买或接收的个人信息。对退出选择权，CPRA 规定消费者将不仅有权禁止企业对外出售个人信息的行为，且有权禁止任何形式的信息分享行为，企业应当通过其应用程序或网站界面突出显示退出选项以便消费者选择。对可携带权，提供两种方式，即如果消费者在该企业设有账户，则以一种便于使用的格式，允许消费者将个人信息不受阻碍地从该企业传输至另一机构；如果消费者没有在该企业设立账户，则通过邮件或电子方式供其选择。

同时，CPRA 也对消费者的个人民事诉权进行了扩张。根据 CCPA 的规定，如果企业未经授权对未加密或未编辑完整的个人信息进行擅自访问、泄露、盗窃或公开披露的，则消费者可以向该企业提起诉讼并追究其法律责任。而 CPRA 在此基础上衍生了新的诉权内容，即消费者的个人邮箱地址、设置密码、安全问题及答案如果遭遇泄露，消费者同样可以向该企业提起诉讼追究其责任，此项举措无疑进一步扩大了消费者的私权救济范围。

第四，法案进一步充实了“同意”要求，使其更接近欧盟GDPR。

法案将“同意”界定为“任何自由地、具体、明确地表明消费者本人或其监护人的意愿，或者通过他的委托人或管理人，采用清晰地肯定性行为，表示同意基于特定目的处理与其有关的个人信息。接受一般或广泛的使用条款或类似文件，其中包含对个人信息处理的描述以及其他无关信息，并不构成同意。悬停、静音、暂停或关闭某项内容并不构成同意。同样地，通过使用暗色图案获得的同意也不构成同意。”

同时，法案也规定了同意的适用情形，包括：在选择退出后，出售或分享个人信息需征得同意；出售或共享未成年人个人信息时需要征得同意；用户在选择退出后，对敏感个人信息进行二次使用、披露、销售或共享需要同意；需要通过同意选择加入财务激励计划。当然，对于“同意”也设定了豁免情形，比如基于研究等目的则可以不受上述规定的限制。新法案所设定的“同意”机制的新标准，对于那些依赖传统隐私政策而获取同意的美国企业而言都是不小的合规挑战。

第五，法案增设个人敏感信息作为特殊类别的个人数据集。

CCPA 并未规定个人敏感信息，CPRA 则对个人敏感信息进行了单独归类、定义并设定了专门的保护条款。个人敏感信息包括社保信息、驾照信息、身份证信息、护照信息、账户登录信息、邮箱信息、短信信息、金融账户信息（包括借记卡信息以及信用卡信息等）以及账户登录所涉及的账号、密码、识别信息等。除此之外，与个人相关的物理信息（包括基因及生物识别信息、健康信息、性取向信息）以及社会信息（包括宗教信仰信息、民族信息、教育背景、会员身份、住址信息）都属于个人敏感信息。

如果第三方平台需要使用个人敏感信息，则应当在“隐私声明”中清楚地表明待使用敏感信息具体种类、使用目的、是否会对该敏感信息进行出售或分享等，而消费者则有权要求个人敏感信息的使用应严格限制在第三方提供服务或商品的所必需范围之内。具体而言，CCPA 要求企业在收集个人信息前向消费者突出显示“禁止出售我的个人信息”链接供其选择，而 CPRA 则更进一步要求这些企业在特定情况下突出指明“限制使用我的个人敏感信息”链接供其选择，这也是 CPRA 特别强调的另一项重要的个人隐私权——敏感信息使用及披露限制权。值得注意的是，CPRA 也规定了一些豁免情形，即不以推断消费者特征为目的收集或处理个人敏感信息，则不受此限。

第六，法案设立了专门的个人隐私保护行政监管机构。

根据 CCPA，隐私保护并不专设执法机构，由加州总检察长附带履行消费者隐私保护职责。为了更有效执行 CPRA，加州政府于 2021 年 1 月 1 日设立了一个专门的隐私保护监督执法机构——“加州 隐 私 保 护 署”（CPPA）。为 保 证 CPPA 能 够 独立的履行隐私保护职责，在 2020-2021 财政年度向其拨款 500 万美元，此后每年将会拨款 1000 万美元。CPPA 的权力机关为董事会，由包括董事会主席等五名董事成员组成，每名董事成员将在熟悉隐私保护、技术、消费者权益相关专业知识及经验的加州居民中产生。加州州长任命董事会主席和一名成员，总检察长、参议院规则委员会及议会议长各自任命一名委员。CPPA 不仅可以对违法行为施以2500 至 7500 美元不等的罚金处罚，CPRA 还赋予其传唤证人、调查取证、现场合规检查等多项执法权力。2023 年 7 月 1 日起，CPPA 将正式取代加州总检察长办公室，统一落实两部州法所赋予的行政监管职能。同时，CPRA 取消了 CCPA 中给予企业在接到总检察长发出涉嫌违规行为的正式通知后 30日补救期的规定。

第七，法案加大了对隐私权侵权行为的处罚力度。

在处罚规定中与 CCPA 明显不同的变化在于，CPRA 特别加重了对 16 周岁以下未成年人的隐私权侵权行为的处罚规定。CCPA 仅限于故意触犯个人隐私侵权的行为，每次处以最高 7500 美元的罚款；而根据新法案的规定，如果涉及对 16 周岁以下未成年人隐私权的侵犯，则不仅可以处以三倍水平的罚款，而且无论是故意还是过失，均可以处以每次高达 7500 美元的罚款。实际上，美国早在 1998 年就颁布了《儿童在线隐私权保护法》（COPPA），该法主要规范处理 13 岁及以下儿童个人信息的网站及在线服务商。CPRA 的出台，进一步夯实了COPPA 所涉及的包括在线信息处理商在内的相关机构的信息保护义务，加重了其违法的处罚后果，不仅实现了与其他法律之间的协调和衔接，还更进一步完善了美国儿童个人隐私保护制度。

值得注意的是，CCPA 规定所有的民事罚金都将进入州消费者隐私基金（CPF），该基金首先用于支付州法院及加州总检察长有关消费者隐私保护的诉讼活动，但对剩余资金的使用用途并未做进一步规定。CPRA 则明确限制了立法机构将 CPF 用于消费者隐私保护以外的其他目的。在每年支付所必需的诉讼费用后，CPRA 规定剩余资金的 91% 由州政府运营投资，其产生的任何利息或收益都要上缴州总基金，而其余 9% 的资金将用于支持消费者隐私的公共教育活动以及打击数据泄露而产生的欺诈行为等，真正做到处罚资金的专款专用。

除了上述七大变化，CPRA 还在日常合规审计义务、高风险隐私评估及网络安全审计义务、服务提供商合同条款设置等方面做出了创新性地调整。通过比较 CPRA 与 CCPA 可以发现，在规范企业出售或分享个人信息相关的处理活动以及对个人敏感信息的保护等方面，CPRA 更为具体、明晰且更具可操作性。当然，CPRA 也留下了很多待解决的问题，比如对于允许超出服务特定范围之外进行数据收集的行为并没有作出实质性限制，这可能导致一些机构借此主动收集数据并不对用户公开。但从权利义务设定、数据安全保障措施以及罚则来看，CPRA 无疑是美国目前最全面、隐私保护水平最高的个人隐私立法。

（本文刊登于《中国信息安全》杂志2021年第3期）