了解当地的数据监管要求对于走出去的中国企业而言至关重要。笔者在之前的《中国企业出海热点地区数据保护指南——英国篇》(点击文字跳转至相应文章)详细介绍了英国作为一个重要出海地域的数据保护法律,并就数据合规提出了相关建议。本文是该系列文章的第二篇,专门探讨美国的数据保护立法。
与上期介绍的《英国通用数据保护条例》(“英国GDPR”)不同,美国没有统一的、综合的联邦层面数据与隐私安全保护立法。截至本文发布之日,美国50个州中仅有13个州颁布了自己的数据保护法律,其中包括于2018年首次颁布的美国第一部隐私专门立法——《加州信息主体隐私法案》(California Consumer Protection Act, “CCPA”),也被认为是美国国内最严格的隐私立法。
由于美国联邦层面的数据隐私立法尚未正式颁布,考虑到加州人口众多以及CCPA相对较为严格的要求,美国企业通常会遵循CCPA等相关加州法律来制定自身的隐私政策并调整各项合规措施。在本文中,我们将聚焦探讨CCPA,以帮助企业更好地了解加州的数据合规法律框架。
综述
1.1 立法总览
加州总检察长办公室(California Attorney General’s Office)与加州隐私保护局(California Privacy Protection Agency)是加州的数据保护主管机关,负责执行包括但不限于下述加州数据保护相关主要法律:
(a)CCPA,于2018年首次发布,后被2020年施行的《加州隐私权法案》(California Privacy Rights Act, “CPRA”)所修订;
(b)《加州侵犯隐私法案》(California Invasion of Privacy Act, “CIPA”),于1967年首次发布,后经多次修订和更新:该法案对音频、视频和电子数据(包括通过cookie和相关跟踪技术收集和处理的数据)的使用方式提出了要求;
(c)《加州适龄设计规范法案》(California Age-Appropriate Design Code Act, “CAADCA”),于2022年发布:该法案对儿童个人信息的收集、存储、处理和传输提出了要求。
1.2 适用范围
在主体方面,CCPA适用于在加州开展业务,且符合下述指标之一的营利企业(for-profit business):
(a) 年收入超过2500万美元;
(b) 购买、出售或共享10万或以上的加州居民(“居民”(resident)包括任何非临时性或过渡性地居住在加州的自然人,即使暂时离开加州)或家庭的个人信息;或
(c) 其年收入的50%以上来自销售加州居民的个人信息。
CCPA的适用范围并不局限于特定行业或领域,但不适用于非营利企业(如基金会、非政府组织等)以及政府机构。
CCPA项下的“个人信息”不包括政府记录的、为公众所知的、或被媒体所披露的公开信息,以及某些医疗信息和信息主体信用报告信息。
1.3 基本原则
与我国《个人信息保护法》(下称“《个保法》”)类似,CCPA规定了若干个人信息的处理原则,包括:透明原则、目的限制原则、最小化原则、准确原则、储存限制原则、保密性原则、责任原则等,要求企业提供适当的通知,仅以合理、必要且与收集数据的主要目的或其他次要目的成比例的方式或其他恰当方式处理员工、求职者和信息主体等主体的个人信息。
1.4 信息主体权利
根据CCPA的规定,加州居民享有多种权利,如访问权、删除权、销售或共享个人信息的退出选择权、敏感个人信息的限制处理权,以及行使权利时的不受歧视权。
CCPA也规定了企业应如何响应个人信息主体的行权请求。除非存在少数例外情况,企业应当在10个工作日内确认收到请求,采取措施验证个人身份,并在45个自然日内满足该请求。若存在委托处理和共享情形,企业可能有义务将个人请求转达给服务提供商和其他第三方。此外,CCPA要求企业将信息主体的行权请求及相关回复保存至少两年。
个人数据的处理
CCPA对个人信息的处理活动作出了规定:
2.1同意的取得
与《个保法》和欧盟GDPR不同的地方在于,CCPA并未将获得个人信息主体的同意(consent)作为处理个人信息的合法性基础之一。相反,除非存在特定情形(例如处理未成年人个人信息等),个人信息主体只要没有明确要求停止(opt-out)处理个人信息,则视为以默示的方式给出了同意。
然而,根据最小化原则,企业只能以就目的而言必要且相称(proportionate)的方式收集、使用、储存或以其他方式处理个人信息。如果企业的处理超出了该最小范围,则需要取得信息主体的同意。此外,企业在开展顾客忠实计划或其他经济激励措施时必须取得信息主体的同意方能处理其个人信息。
2.2敏感个人信息
CCPA中同样存在类似“敏感个人信息”的定义。企业必须在数据收集政策和隐私政策中就敏感个人信息的处理进行单独通知或披露。
敏感个人信息包括社会安全号码、驾驶执照号码、身份证号码、护照号码、帐户登录名和密码、金融帐户和密码、借记卡或信用卡号码和访问代码、精确的地理位置信息、种族、民族血统等信息、宗教或哲学信仰、工会会员身份、邮件、电子邮件或文本内容、遗传数据、生物识别信息、健康信息或有关个人性生活或性取向的信息。
2.3数据跨境传输
与《个保法》和欧盟GDPR均不同,CCPA没有对数据跨境传输、数据保护影响评估(DPIA)、数据保护官(DPO)等事项作出规定,体现了州内互联网平台和高科技企业众多的背景下促进数据流动的立法取向。
但是,这并不意味着企业间的数据跨境传输在CCPA或者是其他美国法律项下完全不受限制。CCPA要求企业以实现收集数据的主要目的(Primary Purpose)或任何其他次要目的(Secondary Purpose)合理且必要的方式处理个人信息。例如,根据最小化原则,企业保留个人信息或进行数据跨境传输必须仅限于合理、必要且成比例的范围。
此外,值得注意的是,在2024年2月28日,美国总统拜登正式签署第14117号行政命令,即《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》,以禁止或限制向“受关注国家”(包括中国(含香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉)传输美国人的敏感个人数据(特定种类的个人识别符、地理位置数据和相关传感器数据、生物特征标识符、人类组学数据、个人健康数据、个人财务数据)和美国政府相关数据的交易。
2.4数据保护影响评估
CPRA在修订CCPA时纳入了隐私风险评估的要求。如果企业的个人信息处理活动可能对个人隐私造成重大损害,则企业必须进行隐私风险评估,并向加州隐私保护局提供评估报告。此外,如果企业的数据处理活动可能会对个人隐私造成重大风险,则必须完成年度网络安全审计。
2.5处理目的
在CCPA项下,数据处理的主要目的指收集或处理个人信息的目的,次要目的指与收集个人信息的背景相符的其他目的。企业的主要目的须符合“收集或处理个人信息所属的信息主体的合理期望”,而判断信息主体的合理期望需要结合以下因素进行考量:
(a)信息主体与企业之间的关系。例如,如果信息主体是意图申请该公司职位的加州居民,则信息主体和企业之间构成潜在雇主和求职者的关系,信息主体需要与公司产生直接互动才有可能获得工作。
(b)企业拟收集或处理的个人信息的类型、性质和数量。例如,对于一家提供移动通信服务的企业而言,提供联系人列表信息的信息主体可能期望企业将该信息用于连接信息主体及其选定的特定联系人。
(c)个人信息的来源以及企业收集或处理个人信息的方法。例如,如果信息主体在使用企业的产品或服务时直接向企业提供其个人信息,则该信息主体可能期望企业将该个人信息仅用于提供该产品或服务,企业将信息主体个人信息用于其他子公司提供的其他产品或服务并不符合信息主体的期望。
(d)向信息主体披露收集或处理其个人信息的目的的具体性、明确性、显著性、清晰性。例如,当信息主体在企业的网站上进行登陆并收到弹窗通知提示企业希望收集信息主体的电话号码以进行验证时,信息主体的期望仅限于该登录验证目的,企业适用该电话号码进行产品推销并不符合信息主体的期望。
(e)服务提供商、承包商、第三方或其他主体参与个人信息收集或处理的程度对于信息主体而言是显而易见的。例如,当信息主体在线购买商品时,在线零售商向配送服务提供商提供信息主体的姓名和住址是符合信息主体期望的,因为该服务提供商参与数据处理活动对于信息主体来说是显而易见的。但如果服务提供商的角色并不明显,那么向服务提供商等其他主体披露个人信息并不符合信息主体的期望。
2.6合理、必要且成比例原则
CCPA要求企业收集、适用、保留和/或共享信息主体个人信息必须对于主要目的或次要目的而言是合理、必要且成比例的,通常需要结合以下因素进行考量:
(a)实现主要或次要目的或获得信息主体同意的任何目的所需的最少个人信息。例如,在线零售商向信息主体发送电子邮件以确认销售时,需要的个人信息包括信息主体的订单信息、付款和送货信息以及电子邮件地址。
(b)企业收集或处理个人信息可能对信息主体造成的负面影响。例如,提供精确的地理位置信息时可能因为信息主体近期去过医院而不当地泄露其健康信息。
(c)是否为解决前述负面影响而采取额外保护措施。例如,企业定期自动删除信息主体的个人信息或对个人信息进行加密可能被视为一种潜在的保护措施。
监管合规
3.1数据安全
根据CCPA,企业有义务维护加州居民特定个人信息的合理安全,但企业并不对CCPA中定义的所有个人信息负有安全保护义务。加州总检察长办公室在2016年建议企业在数据安全实践中采用互联网安全中心(Center for Internet Security)所发布的“CIS Controls”标准,即一套涵盖物理隔离、访问控制、日志、数据恢复、网络监控等技术和管理手段的标准,去建立自身的数据安全体系。
3.2数据经纪商的登记要求
数据经纪商(Data brokers)指出售与该公司没有直接关系的加州居民个人信息的公司,是加州数据法律项下唯一要求进行登记的主体。自2024年1月1日起,最新法规要求数据经纪商向新成立的加州隐私保护局(California Privacy Protection Agency, CPPA)进行登记。
3.3数据泄露
虽然CCPA没有对数据泄露事件提出报告要求,但根据CPRA,若泄露事件涉及500条加州居民信息,则需要通知加州总检察长办公室。
3.4法律责任
企业若违反CCPA可能会被处以每次2,500美元的罚款。在故意违反的情况下,每次罚款最高(在侵犯未成年人个人信息的情形下)可达7,500美元,根据具体情况,企业的管理人员也有可能受到个人处罚。
结语
由于CCPA的覆盖范围包括与加州有业务往来的国内外公司,对于那些经营范围涉及加州并处理大量加州居民个人信息的中国企业来说,这一法案的实施带来了不少挑战和需要注意的合规要求。中国企业应当充分重视美国当地监管要求,一是建立健全内部数据管理制度和流程以及安全系统,确保所有收集和处理的个人信息都符合CCPA的要求;二是设立专门的数据合规团队,监控法规的变化并定期评估企业的数据处理活动,确保持续合规。虽然《美国数据隐私和保护法案》(ADPPA)的立法进展暂时停滞,目前仍处于草案状态,中国企业仍须保持关注,提前做好准备以应对该首部联邦层面统一的数据隐私保护法律。
总之,CCPA对于全球范围内的企业而言都是一个重要的数据合规标准,中国企业也不例外。适时调整和升级数据保护措施,不仅能避免潜在的法律风险,更能提升企业在国际市场中的信誉和竞争力。对此,企业需要投入必要的资源和注意力,以确保在全球数据保护新局势下的持续发展和成功。
在之后的文章中,我们将向各位读者介绍印度、欧盟和越南的数据保护立法,欢迎大家持续关注。
