GDPR與《2018加州消費者隱私法案》對比及對我國個人信息保護立法的啟迪

在《通用數據保護條例》（General Data Protection Regulation，以下簡稱GDPR）正式實施一個月之後，美國加利福尼亞州於2018年6月28日出台了《2018年加州消費者隱私法案》（The California Consumer Privacy Act of 2018，以下簡稱CCPA），2020年1月1日正式實施。CCPA增加在了《加州民法典》的1798.100 to 1798.198。鑒於加州作為全球第五大經濟體對全球經濟的影響(僅次於美國整體、中國、日本和德國)，大多數跨國公司將不得不繼續在加州開展業務，因此，CCPA對全球企業的數據合規也會產生較大的影響。筆者深入比較了GDPR與CCPA在六大制度上的異同，在此基礎上探索我國個人信息保護的立法方向。

一、數據主體的範圍

GDPR對數據控制者、處理者的管轄擴張了屬地原則，保護的數據主體則是在歐盟境內的主體。這並不是說「in the Union」的表述完全沒有歧義，處理以下場景中數據主體的數據是否會受到GDPR的規範可能存有爭議：歐盟居民在境外因旅遊、求學而發生臨時居住，非歐盟居民在境內長期居住或因旅遊、求學而發生的臨時居住等。

CCPA規定的數據主體是加州居民，並給出了「居民」的含義可參考加州稅收和稅收法。該法從稅收的角度明確「居民」包括「非臨時或暫時目的居住在加州的人」，及「以臨時或暫時目的居住在加州之外的加州居民」。

總體來看，GDPR中的數據主體採用了「屬地原則」，而CCPA的數據主體採用了「屬人原則」，如歐盟居民在境外旅遊的，在此過程中發生的數據處理行為可能不受GDPR的管轄，而加州居民相反，即使在州外、境外暫時性居住，除CCPA1798.145第6款 情形外，企業對其數據收集或出售行為仍受到該法案的管轄。

我國有關個人信息的法律、法規中並未規定「數據主體」範圍，但通過規範數據義務主體（控制者、處理者等）的收集、存儲等行為建立了與「數據主體」的對應關係。如《網路安全法》規定「鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲」。那麼在境內收集、處理非中國居民信息，境外企業收集中國居民在境外暫時居住時的信息等場景是否受到我國《網路安全法》等相關法律的管轄？這一問題希望能在個人信息保護立法中加以明確。

二、個人數據的範圍

GDPR與CCPA均建立了以「識別」為核心的個人信息體系。

GDPR在「識別」基礎上進行了以下擴充：一是擴充了自然人身份，不僅包括社會身份，還包括種族、民族、性取向等；二是建立了個人信息的「風險等級」，對特殊數據、刑事定罪和罪行的個人數據的處理行為進行了嚴格的限定。筆者認為，上述擴充顯著的體現了GDPR的「人權保護導向」，保護宗旨在於避免數據主體因個人數據的外泄、非法處理而導致的歧視、不公正待遇。

CCPA進行了更大程度上的擴張：一是將特定家庭信息納入「個人信息」範疇；二是增加了自然人身份的「關聯性數據」；三是增加了「設備識別」要素，雖然一些信息無法直接指向自然人，但如果能夠識別到設備，也屬於個人信息。CCPA1798.140明確「設備」是指能夠直接或間接連接到互聯網或其他設備的任何物理客體。「一個家庭的年用水或能源消耗、一個特定員工的工作描述、一個互聯網協議地址、網頁瀏覽歷史和』購買趨勢』將被作為個人信息進行管理，即使沒有與之相關的名稱」。 CCPA明確排除了「公開可得信息」，該信息是從聯邦、州或地方政府記錄中可合法獲取到的，且對該信息的使用用途與政府記錄中公布的或其公開維護的數據目的一致。

我國現行法律界定的個人信息同樣採用了「可識別性」標準，《信息安全技術 個人信息安全規範》還增加了「關聯性標準」。在信息分級上，《個人信息安全規範》規定了「個人敏感信息」及具體的示例，國家推薦性標準《信息安全技術 大數據安全管理指南（徵求意見稿）》以電信行業數據進行了分類分級示例。個人信息保護立法確立個人信息範圍時，一方面應綜合考慮現行的立法保護結構，在「個人信息保護刑法先行」的態勢下，個人信息外延一旦過寬，很可能禁錮數據產業的創新與發展；另一方面，個人信息範圍與個人信息處理的合法性緊密相連，CCPA的個人信息雖然非常寬泛，但企業實施有關個人信息的商業行為時所付出的成本也盡量與之相匹配。

三、數據處理合法性事由

GDPR針對不同的數據類型規定了不同的合法處理數據路徑，並以此為基礎，為數據主體配置了差異化的權利。

控制者基於「同意」路徑處理個人信息的，數據主體享有「隨時撤回同意」的權利，但該撤回不影響撤回前基於同意做出的合法數據處理。其他路徑下的數據主體不享有「撤回同意權利」。

控制者基於「同意」和「履行合同之必要」路徑處理數據，數據主體享有「數據可攜權」。

控制者基於「執行公共利益或公務行為」和「基於數據控制者的正當利益」路徑處理一般數據，數據主體享有「拒絕權」。

控制者基於「同意」路徑處理數據的，數據主體不享有「限制處理權」。

控制者基於「同意」和「履行合同之必要」路徑處理一般數據、基於「明確同意」和「實質的公共利益之必要」路徑處理特殊數據的，數據主體不享有「自主決定權」。

控制者處理去標識化的數據，則數據主體不享有GDPR的被遺忘權、數據可攜權等八項權利。

GDPR在合法性事由的設置上並不是一條道路走到黑，數據控制者、處理者完全可以根據實際的業務發展模式選擇相適應的合法性路徑，尤其是對數據非常依賴的無人駕駛等有很大的合規空間。

CCPA並沒有採用類似GDPR環環相扣的「合法路徑事由」，而是只規定了企業的通知義務。一是可能由於立法過程的倉促性，二是可能已經規定了足夠寬泛的個人信息範圍，大大增加了依據不同類型個人信息設置差異化合規路徑、權利類型的難度。但總體來講，GDPR與CCPA殊途同歸，無論是規定了多元化還是單一的合法性路徑，都不是為了以犧牲數據流通、產業發展為目的來保護數據主體的權利。

我國現行法律、法規規定的個人信息合法性事由僅是「告知+同意」，《個人信息安全規範》在法律基礎上，嘗試開闢了「以核心功能+附加功能」、「個人敏感信息+非敏感信息」為基礎的差異化同意路徑，並試圖給出了一些正當利益的例外事由。 這應該是個人信息保護立法一個值得發展的方向。

四、數據主體的權利體系

GDPR和CCPA都構建了充滿本土特色的權利體系，目的均為了強化數據主體對個人信息的控制、增加數據處理過程的透明度；在實現方式上都在儘力平衡數據權利主體與義務主體、信息保護與數據流通、產業發展之間的關係，因此二者幾乎對每項權利都設置了「例外事由」和「限制」，賦予了企業多種合規路徑。

GDPR權利體系中最富知名度和爭議的是「被遺忘權」和「可攜權」，我國關於這類的文章已數不勝數，筆者不再過多介紹。CCPA中有一些很有意思的規定：

一是「可核實的消費者請求」，即消費者向企業要求披露、訪問信息時，企業如果無法核實提出請求的消費者是企業收集其信息的消費者或者是消費者授權代表該消費者行事的人，則企業沒有義務向消費者提供、披露信息，而這個核實的範圍是企業過去12個月內收集的與消費者相關的個人信息。這一規定也受到了GDPR的影響，因為GDPR規定控制者對自然人的權利要求持有合理懷疑時，可以要求數據主體提供額外的必要信息來證明身份。

二是「選擇退出權」和「選擇加入權」。這兩項權能是根據消費者的年齡而作出的劃分，因為CCPA中規定，收集、處理16周歲以上消費者的信息基於「通知」獲得合法性，因此雖然不需要徵得此部分消費者的同意，但應賦予其選擇拒絕出售個人信息的權利；而13至16周歲、13周歲以下是基於「自己明確授權」或「父母或監護人明確授權」而獲得合法性，並且企業不得故意忽視消費者的年齡，也就是要採取一定的措施識別消費者的年齡。

三是「財務激勵計劃」。企業可以為個人信息的收集、出售或者刪除向消費者提供財務激勵，還可以根據消費者提供數據的價值來匹配不同的價格、費率、商品水平或質量。前提是該激勵計劃提前通知了消費者，並徵得其同意。這一規定賦予了「個人信息」的財產屬性，將個人信息的商業化應用以更正面的方式呈現出來。

我國《網路安全法》僅規定了更正權和刪除權，《個人信息安全規範》在此基礎上新增了「訪問權」「撤回同意權」「註銷賬戶權」「副本獲取權」等權利。筆者認為，在GDPR的影響下，基於數據主體對個人信息的控制要求，整體的個人信息權利框架不會有實質性的變化，更多地考量是立足於我國數據產業發展現狀，設計出能夠實現平衡各方利益關係的舉措，賦予數據產業者更多的選擇，在這方面GDPR和CCPA都已給出了很好的示範與探索。

五、數據合規的義務主體

GDPR的「數據控制者」含義影響深遠，我國《個人信息安全規範》直接採用了這一概念；CCPA雖然用「Business」來表述，但在1798.140（c）（1）款的解釋中明確這一法律實體能夠單獨或與他人共同確定處理消費者個人信息的目的和方法，類似GDPR的「控制者」含義。

GDPR針對控制者、處理者建立了較為完整的責任體系。控制者和處理者在責任體系中有分工、有協作。在分工上，控制者是數據處理行為合規的第一責任人，應當履行「通過執行數據保護政策等措施確保數據處理合規、設計和默認數據保護（即將數據保護目標嵌入業務流程設計中）」等義務。處理者代表控制者且在控制者的許可權下從事數據處理行為，應當確保數據處理過程的安全性。在協作上，二者共同負有「指定代表人、保存處理活動記錄」等義務。

CCPA在義務主體方面規定了豁免制度，一是中小企業豁免，收入、處理信息數量等未達到規定標準的企業不受CCPA的規範，GDPR也有類似的規定，即僱員少於250人的企業除處理特殊數據、第10條數據外豁免保存處理活動義務。二是境外企業的豁免義務，即「商業行為完全發生在加州境外」，具體需滿足以下條件：境外企業在加州境內沒有實體或附屬企業；境外企業不在加州從事經營活動；在加州之外收集了加州居民的信息，且在加州境內沒有銷售個人信息的任何部分。但上述豁免制度還有很多不確定性，如2500萬美元是在加州境內的收入還是全球收入？CCPA規定了廣泛的個人信息類型，因此5萬名個人或家庭的信息門檻仍然很低。「不在加州從事經營活動」的證明難度較大，如果境外企業與加州境內的企業在境外持續、穩定地開展業務，是否會被認定為「在加州從事經營活動」？

但GDPR中對不同數據義務主體的責任設計、CCPA的中小企業豁免制度等為我國的個人信息保護立法提供了借鑒的範例，探討信息義務主體的分級責任體系有利於避免形成數據合規的技術壁壘。

六、處罰措施

在責任主體方面，GDPR規定控制者是首要責任人，處理者只有在沒有履行GDPR特別針對處理者的義務時才須對因處理所造成的損害負法律責任。CCPA中的責任主體是「企業」，根據其在CCPA中的定義，更接近於GDPR中的「控制者」。

在責任形式方面，GDPR雖然沒有明確民事賠償的標準，但仍規定了數據主體可就其遭受的物質或非物質損害獲取損害賠償。而CCPA重點強調了民事賠償責任，只有在企業限期未整改時才承擔行政處罰責任。

我國在個人信息保護責任體系構建上的主要問題是刑法先行，且入刑門檻非常低。在個人信息範圍（如上網記錄等此類普遍存在的個人信息）等很多問題尚未定論的背景下，動輒啟動刑法有違其謙抑性。數據的價值在於應用、在於流動，法律如果能正向引導，增強數據處理過程的透明度、合法性，才能根本上保障數據主體的合法權益。

總之，CCPA雖然整體的框架結構和邏輯性與GDPR存在不同，但其中的很多概念、權利制度等內容深受GDPR的影響，並在此基礎上發展了許多頗富特色的細節設計。世界範圍內已經有了諸如GDPR、CCPA的個人信息保護法律，這為我國個人信息立法提供了可以充分借鑒的範式。希望如果對其規定中符合國情的優秀制度加以借鑒時，能夠更加註意配套制度的及時匹配與體系的嚴密性，對數據處理過程中的各種參與主體（國家、政府、企業、個人）設置多元化的選擇路徑。

· 參 · 考 · 文 · 獻 ·

[1]Lothar Determann,Analysis: The California Consumer Privacy Act of 2018, https://iapp.org/news/a/analysis-the-california-consumer-privacy-act-of-2018/，最後訪問時間2018年7月11日。

[2]https://www.ecfr.gov/cgi-bin/text-idx?rgn=div5&node=34:1.1.1.1.33，最後訪問日期2018年7月11日。

作者簡介：崔麗莎 搜狐法律中心政策研究部

-END-

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！