前言中國的互聯(lián)網(wǎng)行業(yè)在海外不斷夯實自己的領(lǐng)先優(yōu)勢。據(jù)信通院統(tǒng)計，從價值超過100億美元的數(shù)字平臺來看，中國和美國仍然保持絕對引領(lǐng)。2020年，中、美百億谷歌，成為全球訪問量最多的域名。越來越多的中國企業(yè)開始展現(xiàn)自己強(qiáng)大的國際競爭力，鼓舞2021年11月，中國開始正式實施《個人信息保護(hù)法》。隨著各國開始制定各自的隱私保護(hù)和數(shù)數(shù)美數(shù)字風(fēng)控研究院“風(fēng)控LawSchool”專欄聚焦數(shù)字風(fēng)控行業(yè)，追蹤國內(nèi)外政策法規(guī)最新動態(tài)，幫助企業(yè)敏銳察覺政策趨勢，駕馭合規(guī)風(fēng)險，為企業(yè)數(shù)字化轉(zhuǎn)型提供堅實后盾。“風(fēng)控聲明本冊主要采用文獻(xiàn)綜述、桌面調(diào)研、行業(yè)訪談等調(diào)研方法寫成，參考文獻(xiàn)、數(shù)據(jù)引用及其來本冊致力于為讀者呈現(xiàn)海外監(jiān)管法律的全貌，然而受研究方法與參考資料的限制，文內(nèi)的觀合規(guī)建議消費者權(quán)利知情權(quán)刪除權(quán)整改期關(guān)于數(shù)美科技關(guān)于數(shù)美數(shù)字風(fēng)控研究院什么是CCPA？《加州消費者隱私法案》（CCPA）是繼歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）頒布后又一部CCPA是美國首部關(guān)于數(shù)據(jù)隱私的全面立法。美國目前并沒有GDPR一類的通用數(shù)據(jù)保護(hù)法律，只在一些特殊行業(yè)或領(lǐng)域立法里，有關(guān)于隱私保護(hù)的內(nèi)容散落在其中。例如，《健康保險流則是專門為保護(hù)兒童個人信息制定的聯(lián)邦法律。CCPA的出臺彌補了美國在數(shù)據(jù)隱私專門立法方面的空白，它旨在加強(qiáng)加州消費者隱私權(quán)和數(shù)據(jù)安全保護(hù)，被認(rèn)為是美國當(dāng)前最嚴(yán)格的消費者數(shù)$0trillion$5 GermanyCailfornia CCPA雖然是州級立法，但它的立法意義遠(yuǎn)不止于美國地方。加州是美國經(jīng)濟(jì)最發(fā)達(dá)的州，2018年其GDP達(dá)到3萬億美元，超越英國成為世界上第五大經(jīng)濟(jì)體。被譽為全球創(chuàng)新之源的硅谷也坐落在加州，一大批對全球信息產(chǎn)業(yè)產(chǎn)生深遠(yuǎn)影響的科技公司孕育于此，對加州的經(jīng)濟(jì)增長起到了絕對的推動作用。對于任何想要出海美國的互聯(lián)網(wǎng)企業(yè)而言，加州無疑是一個必爭的重要當(dāng)用戶為加利福尼亞州居民時，會嚴(yán)格按照CCPA的相關(guān)規(guī)定收集、處理、出售個人信息。中國出海最為成功的抖音國際版TikTok規(guī)定，保障消費者隱私權(quán)利。CCPA作為一部地方立法，能被眾多國際巨頭寫入其隱私政策，其TikTok隱私條款中提及CCPA的條款TikTok隱私條款中提及CCPA的條款CCPA規(guī)定，該法案適用于在加利福尼亞州以獲取利濟(jì)利益為目的開展經(jīng)營活動的企業(yè)，其業(yè)務(wù)涉及收集及/或處（2）為商業(yè)目的，每年單獨或總計購買、收取、出售或共（3）年收入中有50%及以上是通過銷售消費者的個人信息獲得注釋1。在設(shè)置適用門檻上，CCPA更聚焦于為盈利目的開展數(shù)據(jù)處理活動的企業(yè)。CCPA為被管轄企業(yè)設(shè)置了“2500萬美元年收影響范圍大、風(fēng)險程度高的規(guī)模企業(yè)進(jìn)行管轄。要注意的是，2500萬美元指的是該企業(yè)的全球營收總額，并不單指在加州的蓋任何處理歐盟公民個人數(shù)據(jù)的組織或企業(yè)，而為中小企業(yè)設(shè)置的豁免門檻又過于嚴(yán)格，導(dǎo)致中小企業(yè)很難實際享受到豁免（1）數(shù)據(jù)控制者、數(shù)據(jù)處理者在歐盟有營業(yè)場所的，不論（2）數(shù)據(jù)控制者、數(shù)據(jù)處理者未在歐盟設(shè)立營業(yè)場所，但(C)Derives50percentormoreofits向歐盟的數(shù)據(jù)主體提供商品或者服務(wù)，或者被追蹤的網(wǎng)絡(luò)行為但是根據(jù)國際公法應(yīng)當(dāng)適用歐盟成員國法律的注釋2。CCPA在規(guī)定適用對象之初就合理排除了非盈利機(jī)構(gòu)和沒有達(dá)到適用門檻的中小企業(yè)兩類主體。加州作為全球IT產(chǎn)業(yè)龍頭聚集地，在保護(hù)消費者隱私的基礎(chǔ)之上，也充分考慮了如何避美國法律規(guī)定，當(dāng)聯(lián)邦立法與州級立法的管轄內(nèi)容有重合、甚至沖突時，應(yīng)以聯(lián)邦立法為優(yōu)先。CCPA是州級立法，應(yīng)嚴(yán)格遵守州立法層級，聯(lián)邦立法已經(jīng)覆蓋的行業(yè)隱私保護(hù)則不受CCPA管轄。出海美國的企業(yè)應(yīng)判斷其所屬行業(yè)是否適用CCPA。例如，消費分期互聯(lián)網(wǎng)平臺屬于金融行業(yè)，應(yīng)遵守《金融服務(wù)現(xiàn)代化法案》等聯(lián)邦立法中關(guān)于用戶隱私保護(hù)的規(guī)定，1.ThisRegulationappliestotheftheactivitiesofanef2.ThisRegulationappliestotheprocessingofpersonaldataofdatasubjectswhoareintheUnionbya(a)theofferingofgoodsorservices,datasubjectisrequired,tosuchdata3.ThisRegulationappliestothe（1）醫(yī)療行業(yè)——《健康保險流通與責(zé)任法案》（2）金融行業(yè)——《金融服務(wù)現(xiàn)代化法案》（3）駕駛員信息——《駕駛員隱私保護(hù)法》（4）征信機(jī)構(gòu)——《公平信用報告法》（5）消費者報告機(jī)構(gòu)——《美國法典》數(shù)據(jù)服務(wù)提供商指接受數(shù)據(jù)控制者的委托而提供務(wù)的企業(yè)。CCPA規(guī)定，只要滿足以下兩個條件，數(shù)據(jù)服務(wù)提（1）數(shù)據(jù)控制者在隱私條款中告知消費者，收集的個人信（2）數(shù)據(jù)服務(wù)提供商不可額外收集、出售、使用消費者個數(shù)據(jù)服務(wù)提供商雖然不直接受CCPA管轄，但其應(yīng)遵守與數(shù)據(jù)控制者簽訂的合同條款，采取措施保障數(shù)據(jù)安全。此外，提供商仍應(yīng)注意遵守其他聯(lián)邦立法的隱私保護(hù)規(guī)定。例如，當(dāng)受委托處理的數(shù)據(jù)中含有13歲以下兒童的個人信息時，數(shù)據(jù)服務(wù)提供商應(yīng)按照《兒童在線隱私保護(hù)法》的規(guī)定，采取措施保f(ii)Theserviceproviderdoesnotinformationoftheconsumerexceptasnecessarytoperformthebusiness雖然CCPA是一部專門針對加州消費者的隱私保護(hù)法律，但考慮到加州世界領(lǐng)先的經(jīng)濟(jì)體量與科技創(chuàng)新實力，CCPA的重要意義遠(yuǎn)不僅限于加州境內(nèi)。作為全美首部數(shù)據(jù)隱私領(lǐng)域的出海美國企業(yè)首先應(yīng)明確，自己所處的行業(yè)是否受CCPA如，音視頻、游戲、社交平臺出海美國時應(yīng)重點關(guān)注CCPA，《加州消費者隱私法案》(CCPA)是美國首部關(guān)于消費者隱私保護(hù)和數(shù)據(jù)安全的全面立法，其消費者有權(quán)要求企業(yè)告知其收集的個人信息類型、信息來源、具體內(nèi)容、用途以及第三方處理機(jī)構(gòu)等。企業(yè)應(yīng)在其隱私條款中明確告知消費者以上信息，否則其收集消費者個人信息的行為消費者有權(quán)要求企業(yè)免費提供其收集、處理過的個人信息。這意味著消費者可自行獲取企業(yè)處理過的個人數(shù)據(jù)，并以一種簡便的方式對個人數(shù)據(jù)進(jìn)行自我管理和重復(fù)利用。訪問權(quán)強(qiáng)化了信方可通過郵寄或電子的方式傳送給消費者。此外，企業(yè)應(yīng)以輕便、易于使用的格式發(fā)送個人信訪問權(quán)的落地可為實際生活帶來許多便利。例如，在疫情期間，出于屬地管控要求，居民在如果居民能在首次申請健康碼、填寫個人信息后，將個人健康信息下載下來，此后重新申請健康值得注意的是，雖然消費者有權(quán)要求企業(yè)免費提供個人信息，但CCPA同時也規(guī)定，消費者每年只能提出兩次申請。這一次數(shù)限制有效避免消費者濫用訪問權(quán)，給企業(yè)帶來過高的合規(guī)CCPA第1798.105條規(guī)定，“消費者有權(quán)要求企業(yè)費者其擁有刪除權(quán)。企業(yè)收到消費者刪除個人信息的請求時，應(yīng)在核實后刪除其個人信息，并要求其他數(shù)據(jù)服務(wù)提供商同時（1）企業(yè)與消費者之間的正常交易或合同履行須收集消費thatabusinessdeleteanypersonalinformationifitisnecessaryforthe(1)Completethetransactionforwhichanticipatedwithinthecontextofa(2)Detectsecurityincidents,protectorillegalactivity;orprosecutethose(4)Exercisefreespeech,ensuretherightofanotherconsumertoexerciseChapter3.6(commencingwithSection(6)Engageinpublicorpeer-reviewedinthepublicinterestthatadherestoallotherapplicableethicsandprivacy刪除權(quán)的引入能有效規(guī)范企業(yè)的信息收集行為，加強(qiáng)了消費者對個人信息的控制。在CCPA正式實施后，各大互聯(lián)網(wǎng)公司thatiscompatiblewiththecontextinwhichtheconsumerprovidedthe也開始按照規(guī)定處理用戶的刪除請求。以元宇宙公司Roblox為其余百余份未被采納，可能是由于消費者信息無法核實注釋6。com/hc/en-us/articles/4402871541140-California-Consumer-Pr消費者有權(quán)在任何時候要求企業(yè)不得銷售其個人信息。企（Opt-out）”。在盡到合理告知的前提下，只要消費者未拒保護(hù)。CCPA明確規(guī)定，“企業(yè)任何故意忽視消費者年齡的行為間的消費者）或其父母、監(jiān)護(hù)人（對于小于13歲的消費者）明Abusinessthatwillfullydisregardsthe企業(yè)不得因消費者行使CCPA相關(guān)權(quán)利而歧視消費者，（2）對商品或服務(wù)收取不同的價格或費率，包括通過給予（4）暗示消費者將獲得不同價格或費率的商品或服務(wù)，或者將向消費者提供不同水平或質(zhì)量的商品或服務(wù)注釋8。但CCPA同時也規(guī)定了一些豁免情形。例如，當(dāng)企業(yè)提供的服務(wù)或商品質(zhì)量與其收集的個人信息直接掛鉤時，企業(yè)可以提供不同價格或質(zhì)量的商品或服務(wù)。企業(yè)還可為個人信息的收集、出售或刪除提供經(jīng)濟(jì)激勵，包括向消費者支付賠償金等。CCPA在保障消費者權(quán)利的基礎(chǔ)上，也充分肯定了數(shù)據(jù)流動的經(jīng)(A)Denyinggoodsorservicestothe(B)Chargingdifferentpricesorrates(D)SuggestingthattheconsumerwillCCPA的一個重要突破是它賦予消費者提起個人訴訟的權(quán)維護(hù)合理的安全措施以及與信息性質(zhì)相符的做法來保護(hù)個人信息，從而導(dǎo)致未經(jīng)授權(quán)的訪問和泄露、盜竊或披露，消費者可nonredactedpersonalinformation,as息保護(hù)執(zhí)法落地中的作用有限。CCPA的私人訴訟權(quán)僅針對數(shù)據(jù)泄露事故，只有在企業(yè)因自身原因?qū)е孪M者個人數(shù)據(jù)泄露對于企業(yè)尚未造成損害的不合規(guī)行為，個人訴訟權(quán)并不支未造成隱私數(shù)據(jù)泄露等嚴(yán)重后果，因此也就不滿足個人訴訟案的條件。截止目前，加州法院已收到150多起控告企業(yè)隱私保護(hù)accountissubjecttoanunauthorizedreasonablesecurityproceduresandpracticesappropriatetothenatureof(C)AnyotherreliefthecourtdeemsCCPA強(qiáng)化了消費者在隱私數(shù)據(jù)保護(hù)領(lǐng)域擁有的六大權(quán)利，2020年1月1日，《加州消費者隱私法案》（CCPA）正式生效。經(jīng)過六個月的合規(guī)寬限期，CCPA從當(dāng)年7月1日開始步入執(zhí)法階段，加州司法部長有權(quán)對不合規(guī)的企業(yè)提起訴訟、征著CCPA逐漸為大眾所熟悉，消費者的數(shù)據(jù)保護(hù)意識也在不斷強(qiáng)化，企業(yè)陸續(xù)收到來自消費者的數(shù)據(jù)請求。據(jù)DataGrail發(fā)布2020年B2C企業(yè)平均每月收到11份來自用戶的數(shù)據(jù)處理請求/百萬用戶，其中又以2020年1月收到的請求數(shù)最高，達(dá)到33份。1月是CCPA正式實施的時間，很多公司也在此時更新隱私政策，導(dǎo)致用戶的數(shù)據(jù)請求猛增。這一數(shù)據(jù)表明，用戶逐漸了解CCPA以及自己所擁有的權(quán)利，開始主動采取行動保護(hù)自己的告TheStateofCCPA:BenchmarkingCCPATrendsAcrossConsumer(B2C)io/resources/reports/ccpa-trends-2020年B2C企業(yè)每月處理用戶數(shù)據(jù)請求2020年B2C企業(yè)每月處理用戶數(shù)據(jù)請求在政府監(jiān)管和消費者數(shù)據(jù)保護(hù)意識提升的雙重壓力下企業(yè)應(yīng)積極理解CCPA給企業(yè)施加的新義務(wù)，在隱私政策、數(shù)據(jù)管理架構(gòu)和內(nèi)部處理流程三方面提前做好部署，將合規(guī)成本盡CCPA賦予消費者六大權(quán)利。企業(yè)應(yīng)在其線上隱私政策或網(wǎng)站上，使用普通用戶易于理解的措辭及語種，向用戶告知CCPA賦予其的數(shù)據(jù)保護(hù)權(quán)利，且應(yīng)保企業(yè)應(yīng)在隱私政策中披露其收集、出售或分享的消費者信息類別、信息來源、使用目的、具企業(yè)應(yīng)免費向消費者提供其收集、處理過的個人信息，且應(yīng)使用簡便、通用的格式，確保消除添加上述鏈接外，企業(yè)還應(yīng)在其線上通用隱私政策或加州消費者專用主頁中告知消費者擁企業(yè)不得因消費者行使CCPA賦予的權(quán)利而歧視消費者。但企業(yè)可為個人信息的收集、出售或需要注意的是，企業(yè)提供經(jīng)濟(jì)激勵應(yīng)取得消費者同意，且用戶應(yīng)擁有隨時撤回的權(quán)利。如果除了在隱私條款中盡到告知義務(wù)，企業(yè)還應(yīng)調(diào)整其數(shù)據(jù)管理架構(gòu)，確保其能夠快速響應(yīng)消費者請求。在新的隱私保護(hù)義務(wù)框架下，企業(yè)的數(shù)據(jù)庫不再是單純的信息存儲載體，它將成為一個智能倉庫，能夠?qū)Ａ繑?shù)據(jù)實現(xiàn)精細(xì)化管理。從收集、分類、提取到刪除、分析，這些功能無一以刪除請求為例，在收到消費者的刪除申請后，企業(yè)要在其數(shù)百萬量級的用戶數(shù)據(jù)庫中，快速定位該消費者的個人信息，明確哪些信息是可以刪除的，哪些信息是為提供服務(wù)所必需的，再企業(yè)還應(yīng)做好數(shù)據(jù)標(biāo)記、數(shù)據(jù)分類工作，區(qū)分出售數(shù)據(jù)、共享數(shù)據(jù)和營銷數(shù)據(jù)等，確保在收到相關(guān)數(shù)據(jù)處理請求后，能快速通知數(shù)據(jù)服務(wù)提供商或第三方處理機(jī)構(gòu)，實現(xiàn)相應(yīng)的消費者數(shù)據(jù)見，企業(yè)在未來收到的消費者數(shù)據(jù)請求會越來越多。出海企業(yè)應(yīng)盡早優(yōu)化自己的數(shù)據(jù)管理架構(gòu)，企業(yè)應(yīng)在收到消費者請求起的45日內(nèi)，免費向消費者披露或提供其要求的信息，更正不準(zhǔn)確的個人信息，或刪除個人信息。在合理必要的情形下，處理期限可再延長45日，但應(yīng)在第一個45企業(yè)在收到消費者數(shù)據(jù)請求后，應(yīng)對消費者進(jìn)行驗證，但不得要求消費者為驗證目的創(chuàng)建新企業(yè)應(yīng)能夠提供收到消費者請求前12個月的消費者信息，但消費者也可要求企業(yè)披露超過12企業(yè)應(yīng)確保處理數(shù)據(jù)請求的員工了解CCPA賦予的消費者權(quán)利，并能夠指導(dǎo)消費者行使這企業(yè)應(yīng)重新審查與第三方機(jī)構(gòu)簽訂的關(guān)于消費者信息披露、出售、共享等方面的合同，確保此外，第三方不得出售或共享已被企業(yè)出售或共享的消費者個人信息，除非該消費者收到明私保護(hù)上加大投入。Gartner數(shù)據(jù)注釋11顯示，企業(yè)人工處理單個請求平均花費1,406美元，按照每百萬用戶月均提出11份數(shù)據(jù)請然而，盡管隱私合規(guī)成本高昂，實踐證明，它也可上的投資能收獲良好的收益，超過40%的企業(yè)可收獲至少兩倍看，主動提升企業(yè)的隱私合規(guī)水平有助于獲取消費者的信任，出海企業(yè)面臨陌生的地域環(huán)境、文化、語言，在獲取用戶信任方面比本土企業(yè)更難，更應(yīng)在隱私合規(guī)上做好萬全準(zhǔn)備。CCPA對企業(yè)的信息保護(hù)義務(wù)上做出了具體的規(guī)定，企業(yè)應(yīng)在隱私政策、數(shù)據(jù)管理架構(gòu)和內(nèi)部處理流程上做好提前部署，從容應(yīng)對政府監(jiān)管與消費者的數(shù)據(jù)請求，將隱私保護(hù)投入轉(zhuǎn)化為新告TheStateofCCPA:BenchmarkingCCPATrendsAcrossConsumer(B2C)io/resources/reports/ccpa-trends-數(shù)據(jù)來自思科于2020發(fā)布的研究Cisco2020DataPrivacyBenchmarkStudyConfirmsPositiveFinancialBenefitsof/CCPA自2020年1月開始正式實施以來，尚未傳出過天價罰單的新聞。與之形成鮮明對比的是高調(diào)而嚴(yán)苛的GDPR。據(jù)AtlasVPN統(tǒng)計注釋13，2021年，共有412家企業(yè)因違反GDPR被高達(dá)10億歐元。CCPA的處罰標(biāo)準(zhǔn)似乎比GDPR更為溫和，事實數(shù)字來自AtlasVPN于2022年發(fā)布的新聞fines-hit-over-1-billion-in-CCPA第1798.155條規(guī)定，“對每一次違法行為處以最高2,500美元的行政處罰，對每一次故意的違法行為和每一次涉及未成年消費者個人信息的違法行為處以最高7,500美元的行政罰再來看GDPR的處罰標(biāo)準(zhǔn)。對于一般性的違法，GDPR的罰款上限是1000萬歐元，或最高為上一個財政年度全球全年營業(yè)收入的2%（兩者中取數(shù)額大者）；對于嚴(yán)重的違法，罰款上限是2000萬歐元，或者最高為上一個財政年度全球全年營業(yè)收入我國2021年11月新頒布的《個人信息保護(hù)法》也效仿GDPR，對違法企業(yè)按照營業(yè)額營收比例收取罰款。其規(guī)定，“……拒不改正的，并處一百萬元以下罰款……情節(jié)嚴(yán)重的，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款……”personthatviolatesthistitleshallbe($7,500)foreachintentionalviolation,與GDPR和《個人信息保護(hù)法》動輒千萬級別CCPA最高不過7,500美元的數(shù)字確實顯得微不足道。但要注意的是，CCPA是“按次收費”的。對擁有大量用戶數(shù)據(jù)的平臺而言，一旦數(shù)據(jù)泄露造成用戶實際損失，按照每項違法行為最高處罰7,500美元計算的話，罰款總額很容易便會達(dá)到上億美元。而且CCPA并沒有罰款上限，無限累加的罰款計算方式也有著不上述罰款必須通過加州檢察長提起訴訟才可收取，也叫做義務(wù)不到位而遭到泄露，消費者可提起民事訴訟，并要求以下（1）為每名消費者每件事故賠償不少于100美元、不多于（3）法院認(rèn)為適當(dāng)?shù)钠渌葷?jì)注釋15。權(quán)利的同時，也對它的發(fā)動設(shè)置了嚴(yán)苛的條件：①僅限于特定嚴(yán)苛標(biāo)準(zhǔn)的制定主要是防止有人濫用個人訴訟權(quán)，的執(zhí)法資源。同樣賦予消費者個人訴訟權(quán)的GDPR也設(shè)置了類似的條件。截至目前，加州法院尚未成功受理一例起訴企業(yè)違反CCPA的個人訴訟案。由此可見，CCPA并不將個人訴訟視為保(C)Anyotherreliefthecourtdeems提起訴訟并非CCPA執(zhí)法的最終目的，最重要的是督促企業(yè)采取為了將有限的資源用到刀刃上，CCPA特地設(shè)置了30天的整改期，這也是CCPA的程序設(shè)置優(yōu)于G