来源：360法律研究院

前　言
　　2018年6月28日，《加利福尼亚州消费者隐私保护法案》（CCPA）经州长签署公布，并于2020年1月1日起正式实施。而此前不久，于2018年5月25日，欧盟的《一般数据保护条例》（GDPR）已正式施行并获得了较大的关注和回应。
　　从全球范围看，欧盟和美国的这两部涉及数据保护的立法，对于相关企业，尤其是一些跨国企业产生了深远的影响，而其中还有一部分企业将同时受到两者的管辖。从两部法出台的背景看，如今大数据时代，互联网经济的本质更趋向于围绕用户创造价值，企业发展和产业升级都依赖着用户和数据。而实践中，滥用数据、损害数据主体权益的现象时有发生。因此，需要通过立法加以规范，平衡数据权利主体与义务主体的关系，平衡数据保护与数据流通的关系，最终还是落脚于促进产业发展的目的。
　　基于此，我们有必要将两部法放到一起分析，会发现两者有不少共通之处，也存在许多明显的区别。下文整合了当前国内外学界业界对此的一些观点，作具体阐述。

CCPA与GDPR的共通点

　　CCPA和GDPR的立法目的十分相似，都是通过规范企业处理数据的行为，强化其与数据相关的责任，并设定较为严格的处罚，旨在加强对个人数据和隐私的保护。而在立法的具体内容上，两者之间也存在许多共性：比如，关于个人信息的定义都较为广泛；都为个人新设了一些权利，如数据可携带权、删除个人信息权等；都要求企业告知用户收集、使用、共享数据的具体信息，要求企业及时修改隐私政策，定期更新并确保在适当时间收到所需的通知；都强调尊重个人对其信息的自决权；都对儿童数据的同意作了具体规定；都设定了较严格的处罚方式，为个人提供了自行维权的途径。此外，在通过设置例外赋予多种合规路径，鼓励数据流通等方面，也有较强的共通性。

CCPA与GDPR的区别点

　　相较于美国以往针对特定行业或特定隐私权事项的法案，CCPA显得尤为特别，它承接了GDPR的主要精神和一些规范性内容，并在此基础上有所补充和创新。两者的区别点主要体现于以下几个方面：

01

立场和出发点

　　GDPR是基于监管者的立场，以保护基本人权为出发点，强调有关责任主体主动规范数据处理的行为；而CCPA更偏向于消费者的立场，侧重规范数据的商业化利用。从法案内容上看，GDPR规定个人数据的使用“原则上禁止，有合法授权时允许”；而CCPA则是“原则上允许，有条件禁止”。而且，GDPR对数据保护的规定更为全面，而CCPA中基本是涉及消费者隐私保护的内容，并不像GDPR有关于数据安全方面的内容。

02

适用对象

　　GDPR针对的对象是任何拥有欧盟公民个人数据的组织；而CCPA约束的是处理加州居民个人数据的营利性实体，且要求：年度总收入超过2500万美元，或为商业目的购买、出售、分享超过50000个消费者、家庭或设备的个人信息，或通过销售消费者个人数据取得的年收入超过总收入50%。此外，GDPR的“数据主体”对应CCPA的“消费者”，GDPR的“数据控制者”、“数据处理者”对应CCPA的侧重于业务层面的“企业”（其定义更接近数据控制者），两者在具体用词上也有所区别。而且从确定数据主体的方式看，GDPR采用了属地+属人+保护原则，而CCPA则采用了属人原则。

03

“个人信息”的定义

　　尽管两者对于个人信息都作了较宽的界定，CCPA对于个人信息的定义比GDPR更为广泛，是指能够直接或间接的识别、描述与特定的消费者或家庭相关或合理相关的信息，包括但不限于真实姓名、别名、邮政地址、唯一的个人标识符、在线标识符、互联网协议地址、电子邮件地址、生物信息、商业信息、地理位置数据以及教育信息等。在这一系列外延项中尤需注意的是，CCPA将家庭、身份关联的和设备的信息纳入了个人信息的范畴。

04

合法性基础与合法利益

　　GDPR在第六条设定了合法性基础，为企业处理数据提供了可以进行差异化选择的法律依据，比如数据主体明确同意，企业是基于履行合同之必要或执行公共利益或公务行为等情况，而在CCPA中没有相关规定。而且，GDPR中有“合法利益”的概念，允许能够证明“合法利益”的企业在某些情况下可以未经同意合法处理个人数据，比如预防犯罪、欺诈监测、进行员工背景调查，又如广告技术公司和其他第三方基于此可收集或跟踪分析明星的数据而无需征得其同意，但是在CCPA中没有这一概念。

05

关于个人权利的规定

　　在GDPR框架内，个人对其数据享有知情权，且有删除个人数据、限制处理个人数据等相关权利；而在CCPA框架内，消费者的权利包括有权要求企业披露收集的个人信息的类别和具体要求，有权要求企业删除收集的有关消费者的个人信息，有权要求企业披露收集个人信息的目的及与之共享信息的第三方，有权选择不出售个人信息等。对比之下，CCPA规定了更为广泛的访问个人数据的权利，且没有GDPR所规定的一些例外情况。在个人信息删除问题上，两部立法有不同的处理方式，规定了不同的例外情况。而且，CCPA还提出了“财务激励计划”，在提前通知消费者并征得其同意的前提下，企业可因处理数据的行为向消费者提供财务激励，赋予个人信息财产属性。另外，关于允许响应请求的时间规定上，GDPR是1个月，CCPA则延长为45天。

06

关于披露的具体内容

　　GDPR关于披露的规定，主要强调向数据主体具体解释数据的用途，而对于数据控制者如何完成这项工作，给予了一定的自由，且其内容多只涉及数据；而CCPA关于披露的规定更具说明性，要求企业在收集时或收集前通知消费者关于要收集的个人信息的类别、来源、收集或出售的目的以及共享个人信息的第三方如何实际分类等，这些涉及的多是元数据，当然消费者也有权获取实际数据。

07

同意的依据

　　GDPR采取选择加入的方式，个人同意是企业处理数据的重要依据，因此企业需主动获取；而CCPA采取选择退出的方式，消费者有权指示企业停止向第三方出售其个人信息。对此，企业须明确发布其隐私政策和标题为“不要出售我的个人信息”的链接，并指导消费者行使该权利。虽然与GDPR相比，CCPA对同意要求的适用范围较窄，对于商业用途的个人信息共享有着更严格的限制，但种选择退出数据共享的权利设定，使得同意规定更为清晰和明确，有利于推进问责制，也在一定程度上赋予了消费者更广泛的知情权。

08

关于数据跨境的限制

　　GDPR在这方面作了较为严格的规定，而CCPA则没有进行限制，有专家指出两者区别的原因是由于背后的经济驱动，美国鼓励数据流动，因而不会通过立法手段进行过多限制。

09

处罚机制

　　两部立法都对违规行为设定了较重的处罚。GDPR规定企业会面临最高处以2000万欧元或上一财年全球营业额4%的行政处罚（以较高者为准）；而CCPA规定企业会面临支付给每位消费者最高750美元的赔偿金以及最高7500美元的罚款。

10

救济机制

　　GDPR规定了包括申诉权、针对控制者或处理者的司法救济权、求偿权等救济权利；而CCPA的一大亮点是将损害赔偿一事授予了个人，规定了私人诉讼权，使得民事集体诉讼成为可能。而另一方面，为了避免产生集体诉讼的狂热，CCPA通过赋予州检察长执法的专有权力和规定一些必须满足的条件，如对企业进行书面违规通知，给予其30日解决违规行为的机会，从而对私人诉讼权加以约束。

11

生效时间

　　GDPR已于2018年5月25日正式生效，而CCPA计划于2020年1月1日生效，因此要注意，在此之前该法律文本仍可能面临着修订。

　　通过上述对比可知，尽管GDPR与CCPA之间存在着许多相似性和趋同之处，但两者之间绝不能画上等号，CCPA也并非GDPR的美国克隆版，它有着自己的立法土壤、执法环境，因此也生成了特殊的规范内容。两部立法的相似之处使一些已采取措施进行GDPR合规的企业更方便开展CCPA合规工作，而两者之间的区别之处是企业需要特别注意的，通过审查其对个人信息的处理，判断是否需满足CCPA的要求，是否需更新对数据的保护措施，从而为下一步合规工作未雨绸缪。