作者：吴沈括

 来源：搜狐法律观察

个人信息的法律保护要旨 ——从美国2018加州消费者隐私法案谈起

前言

在信息技术和数字经济改造人类生活的时代大潮下，全球个人数据治理生态正发生着快速、深刻的变化。2018年5月25日，关于个人数据保护的欧盟新一代制度规范《一般数据保护条例》（GDPR）正式施行。美国方面紧随其后，加利福尼亚州州长于2018年6月28日签署公布2018《加州消费者隐私法案》，并于2020年1月1日起正式施行。

《加州消费者隐私法案》主要内容涉及四项要素，也即法案出台的背景、消费者的权利、企业的义务以及法案术语界定等。

该法案旨在改变企业在这个人口众多的州进行数据处理的方式, 法案一经生效, 包括Google 和 Facebook在内的科技公司将面临非常严格的隐私保护要求, 包括披露其收集的关于消费者的个人信息的类别和具体要素、收集信息的来源、收集或出售信息的业务目的以及与之共享信息的第三方的类别等。

关于法案出台的时代背景,法案表明隐私权是加州宪法中规定的一项不可剥夺的权利, 随着消费者与企业共享的个人数据数量的激增,消费者数据泄露将会为个人带来诸如财务欺诈、身份盗窃、声誉损害等破坏性影响, 因此为了防止企业滥用个人信息,保护个人对于隐私信息的控制权,特制定该法案。

对于消费者的权利内容, 该法案规定了消费者对于个人数据信息所拥有的一系列权利, 这些权利包括：1、要求收集消费者个人信息的企业向消费者披露企业收集的个人信息的类别和具体要素的权利; 2、要求商家删除其所收集的有关消费者的个人信息的权利;3、要求企业向消费者披露收集个人信息的目的以及与之共享信息的第三方的权利;4、选择不出售个人数据信息的权利等等。

有关企业的义务范围,该法案规定了：1、企业根据消费者的要求披露收集信息的种类和目的以及共享数据的第三方的义务; 2、根据消费者的要求删除所收集信息的义务; 3、尊重消费者选择不出售个人数据信息权利的义务, 不得通过拒绝给消费者提供商品或服务, 对商品或者服务收取不同的价格或费率等方式来歧视消费者行使该项权利等等。

相关术语的界定，该法案对“个人信息”、“商业目的”、“收集”、“处理”等词语进行了详细的立法解释。其中“个人信息”是指能够直接或间接的识别、描述与特定的消费者或家庭相关或合理相关的信息,这些信息包括但不限于真实姓名、别名、邮政地址、唯一的个人标识符、在线标识符、互联网协议地址、电子邮件地址、生物信息、商业信息、地理位置数据以及教育信息等。

此外, 根据该法案的规定,一旦企业违反隐私保护要求,将面临支付给每位消费者最高750美元的赔偿金以及最高7500美元的罚款。加利福尼亚总检察长将负责决定是否针对违法企业采取法律行动。

该法案中的主体规定与欧盟《一般数据保护条例》(GDPR)相类似, 但并非完全是该条例的翻版,例如并没有如GDPR一样规定告知消费者数据泄露事件的特定时限。

它是美国隐私法律演进的一个里程碑事件, 包括Google 和 Facebook在内的科技公司将面临更为严格的个人数据保护要求，既是美方对于GDPR施行的直接反应，还表明美国各界更为关注隐私保护,立法者也将采取实质行动加速个人数据治理。

美欧的个人数据治理动向是我国个人信息法治建设不容忽视的重要国际背景，从中反映出个人数据法律保护的共同关切点，也折射出我国建设个人信息法律保护体系同样需要回答的问题要旨：1、系统明确的规范体系；2、清晰可行的落实配套；3、务实便利的权利实现。

一

系统明确的规范体系

毋庸置疑，面对纷繁复杂、快速演进的新技术新应用，需要系统明确的规范体系以有效应对个人信息侵害风险。为此，我们需要以体系协调为制度逻辑起点、以控制、透明为制度价值核心、以细分权能为制度框架主轴、以处理规则为制度设计依托、以权益衡量为制度安排特色。

就2018《加州消费者隐私法案》而言，一方面它强调：“ ......加利福尼亚州宪法赋予一项隐私权。现行法律明确各种情境下个人信息的保密性要求，并且规定企业或者个人在其含个人信息的计算机数据遭受安全侵害时按规定披露侵害事实。 ......本法案就民法典有关隐私的第三篇第四部分增加第1.81.5章（自第1798.100节始）。 ......法案禁止上述规定限制企业遵守联邦、州或地方法律等规范的能力”。反映出立法者对于现行规范与未来制度设计衔接的关注。

另一方面，它明确认识到人们希望获得隐私并可以更多地控制自己的个人信息，加利福尼亚州的消费者应该能够控制他们的个人信息，并且他们希望确保有保护措施防止滥用其个人信息。企业既可以尊重消费者的隐私，也可以为他们的商业行为提供高水平的透明度，突出了立法者对于“控制”、“透明”原则的高度重视。

同时，《加州消费者隐私法案》表明立法机关的意图是通过确保以下权利，为消费者提供控制其个人信息的有效方式，从而进一步加强加州人的隐私权：（1）加利福尼亚人有权知道正在收集哪些个人信息。（2）加利福尼亚州的人有权知道他们的个人信息是否被出售或披露，以及出售或者披露给谁。（3）加州人有权拒绝出售个人信息。（4）加州人有权访问他们的个人信息。（5）即使加利福尼亚人行使其隐私权，也享有平等获得服务和价格的权利，进而建构了细分权能的制度框架。

此外，《加州消费者隐私法案》除了引入围绕收集、处理、出售、披露、保留以及共享等个人信息流转全生命周期的系列处理规则，还试图为复杂情境下的诸多权益平衡提供可操作的判断规则。

作为示例，对于消费者的个人信息删除权的行使，《加州消费者隐私法案》指出，如果企业或服务提供商有必要维护消费者个人信息的，其不应被要求遵守消费者请求删除其个人信息的规定，前提是为了特定目的，包括：（1）完成收集个人信息的交易，提供消费者要求的商品或服务，或者在企业与消费者正在进行的业务关系场景中可合理地预期，或以其他方式履行企业与消费者之间的合同义务。（2）检测安全事件，防止恶意的、欺骗的、虚假的或非法活动；或起诉那些对此活动负责的人。（3）调试以识别和修复因损害现有预期功能而产生的错误。（4）行使言论自由，确保其他消费者行使言论自由的权利，或行使法律规定的其他权利。（5）遵守《刑法》第2部分第12标题项下第3.6章（从第1546节开始）《加州电子通信隐私法》。（6）参与公开的或有同行评审的科学、历史或统计研究符合所有适用的道德和隐私法律的公共利益，如果企业删除信息可能导致研究成果难以实现或遭到严重损害的（消费者已提供了知情同意）。（7）仅仅用于企业内部，该使用是根据消费者与企业的关系，使消费者拥有该等合理期待。（8）遵守法定义务。（9）在内部以其他合法方式使用消费者的个人信息，该方式与消费者提供其信息的场景相匹配。

二

清晰可行的落实配套

徒法不足以自行，同样，系统、明确的规范体系需要得到清晰、可行的落实配套的扎实支撑。对此，在现代法治框架下有必要重点考虑的要素包括：1、公力监管兼以私权救济；2、权利宣示兼以程序设定。

从2018《加州消费者隐私法案》来看，第一，它指出：“......本法案的规定由州总检察长根据相关规范负责执行，并赋予诉讼私权以应对未经授权的访问和泄露、盗窃或披露消费者未加密或未编辑个人信息等特定行为。......1972年，加利福尼亚选民修改了《加利福尼亚州宪法》，将隐私权纳为全体人民“不可剥夺”的权利之一。该修正案赋予每位加利福尼亚州人法定且可执行的隐私权。......个人就其个人信息的使用包括销售的控制能力对于该隐私权而言具有基础性意义。......由于加利福尼亚选民批准了隐私权，加利福尼亚州立法机关采取特别机制以保护加利福尼亚人的隐私，其中包括《在线隐私保护法案》、《数字世界加利福尼亚未成年人隐私权法案》以及《阳光法案》，后者旨在向加利福尼亚人指明企业处理消费者个人信息过程中的“何人、何物、何地与何时”信息。”从中明显能够看到立法者建构公力监管与私权诉讼双轨保护机制的意图，强调州总检察长的核心监管角色的同时，赋予民众通过隐私权诉讼获得保护的维权渠道。

第二，《加州消费者隐私法案》在做出特定权利宣示的同时，为权利实现的方式设计了微观的程序性规定。在此意义上，特别典型的是该法案有关消费者“选择退出”权的制度设计：

一方面，法案从正面指出向第三方出售消费者个人信息的企业应根据本法案的规定向消费者发出通知，告知消费者该信息可能会被出售并且消费者有权选择不出售他们的个人信息；另一方面，法案从反面强调如果一家企业从消费者那里收到指示不得出售其个人信息，或者出售小部分消费者的个人信息没有得到该部分消费者同意的情况下，应当根据同一法案的规定，出售这部分消费者信息的行为应该被禁止，直到收到消费者指示后方可进行。

不止于此。同样的程序细化逻辑也反映在企业的信息披露义务环节，《加州消费者隐私法案》明确规定，在收到消费者的请求且经核实后45天内向消费者免费披露并向其提供所需信息，二企业应立即采取措施确定该请求是否可经验证，但这不因此延长企业在收到消费者请求后的45天内披露和提供信息的义务，从而为权利的实现提供了制度化的支持。

三

务实便利的权利实现

在规范体系与配套机制的基础之上，务实便利的权利实现方式对于个人信息的保护而言同样具有根本性意义，在此意义上，需要我们考虑的制度建设着力点在于：1、明晰的作为义务设定；2、合理的权利实现保障；3、经济的权利实现途径；4、严密的责任追究机制。

着眼2018《加州消费者隐私法案》，其首先试图设计各类明晰的义务内容，例如企业从可验证的消费者处接收到要求访问个人信息的请求后，应立即采取措施向消费者免费披露和提供本节所要求的个人信息。个人信息的提供可通过邮件或电子方式，如果以电子方式提供，信息应以便携式方式提供，并且在技术上是可行的，且采用易于使用的格式，允许消费者无障碍地将此信息传输给其他实体。企业可以随时向消费者提供个人信息，但在12个月内不应被要求向同一位消费者提供两次以上的个人信息。

同时，法案的立法者也尝试为权利实现提供合理的保障，尤其强调企业不得因为消费者行使任何消费者的权利而歧视消费者，包括但不限于：（A）拒绝向消费者提供商品或服务；（B）对商品或服务收取不同的价格或费率，包括通过给予不同的折扣、其他福利或处罚；（C）如果消费者行使本标题项下消费者的权利，向消费者提供不同等级或质量的商品或服务；（D）提示消费者将获得不同价格或费率的商品或服务，或者将向消费者提供不同水平或质量的商品或服务。

此外，《加州消费者隐私法案》也试图通过专门规范为消费者提供经济的权利实现渠道，指出企业对于知情权的实现应当采取消费者可合理获取的形式，包括——

（1）在其互联网主页上提供一个清晰且明显的，命名为“不得出售我的个人信息”的链接，使消费者或经消费者授权的人可以选择不出售消费者的个人信息。企业不应为了指示不出售消费者的个人信息而要求消费者创建用户账户。

（2）根据本法的规定制作关于消费者权利的描述，同时在如下界面中有一个单独的“不得出售我的个人信息”的链接：

（A）如果企业拥有在线隐私政策的话，则在线隐私政策中要有链接。

（B）在任何加利福尼亚州对消费者隐私权的具体描述中要有链接。

最后，《加州消费者隐私法案》尝试通过引入严密的责任追究机制强化消费者的权利实现，尤其体现在罚则裁量层面，明确规定任何消费者由于企业违反义务而未实施和维护合理安全程序以及采取与信息性质相符的做法来保护个人信息，从而遭受了未经授权的访问和泄露、盗窃或披露，则消费者可因以下任何一项而提起民事诉讼：（A）为每个消费者每次事件赔偿不少于一百美元（100美元）且不超过七百五十美元（750美元）的损害赔偿金或实际损害赔偿金，以数额较大者为准；（B）禁止令或宣告性法律救济；（C）法院认为适当的任何其他救济。

而且法案进一步指出，在评估法定损害赔偿金额时，法院应考虑案件任何一方提出的任何一种或多种相关情况，包括但不限于不当行为的性质和严重性、违法行为数量，持续存在的不当行为，发生不当行为的时间长短，被告的不当行为的故意以及被告的资产、负债和净值，进而为加害人责任的厘定提供更具操作性的判定标准。