加州消费者隐私法案修正案通过 企业合规成本或高达550亿美元

上周五，美国加利福尼亚州州长Gavin Newsom签署通过了此前州立法机构提交的全部七项《2018加州消费者隐私法案》（CCPA）修正案，标志着将近一年的新隐私法修订工作结束——下一次得等到CCPA正式生效之后了。

而就在前一天，加州总检察长Xavier Becerra公布了CCPA的配套实施细则草案，并向社会公开征求意见。Becerra表示，细则草案旨在指导消费者和企业具体应如何遵守CCPA，并解决CCPA中的未决问题。

从美国多名律师和参与立法的官员公开表达的态度来看，赶在年底之前出台联邦隐私法案的可能性不大，围绕CCPA是否能顺利实施的争论已经基本尘埃落定。

修正案

数据经纪人需向加州总检察长处注册

自去年6月28日通过以来，CCPA一直外界认为是“全美最严”的隐私法案，尤其对于以加州为大本营、分公司遍布全球的硅谷科技巨头们来说，它无疑是欧盟《通用数据保护条例》（GDPR）之外的又一记重拳。

总的来说，CCPA为消费者提供了个人信息使用的开创性新权利。其核心内容包括：

企业必须向消费者披露如何收集和共享数据；消费者拥有要求删除以及退出个人信息售卖/共享行为的权利，严禁企业在未获得明示同意的情况下出售16岁以下消费者的个人信息等。

此次被州长签署为法律的修正案则将替代或扩大CCPA的法定文本。经梳理，七项修正案的具体内容如下：

•澄清修订和免责条款：法案1355从个人信息定义中豁免了不可识别或汇总后的消费者信息；赋予了一些企业间的通讯或交易行为一年豁免权；扩大了联邦公平信用报告法中现有的豁免范围。

•数据经纪人注册：法案1202要求数据经纪人（明确知悉并从与其没有直接关系的消费者出收集个人信息，并向第三方出售的经营者））向加州总检察长处登记注册并提供相关信息。

•雇员豁免：法案25将CCPA相关条款修改为，收集到的应聘者、雇员、企业主、董事、高级职员、医务人员或承包商个人信息享有一年豁免权。

•消费者要求信息披露的方法：法案1564要求企业提供两种方法供消费者提交信息请求，其中至少包括免费电话。不过，仅经营在线业务并直接与所收集个人信息的消费者发生关系的企业只需提供电子邮件地址。

•车辆保修和召回：法案1146豁免了因保修或召回而保留或共享的车辆信息。

•公开可用信息：法案874将“公开可用”的定义简化为可以从联邦、州或地方政府记录中合法获得的信息，并阐明个人信息的定义不包括不可识别或汇总后的消费者信息。

•数据泄露通知：法案1130拓展了个人信息的定义，加入了生物特征数据、税务识别号、护照号、军用识别号以及政府颁发的其他唯一识别号；授权企业在涉及生物特征数据的数据泄露通知中，囊括有关如何通知使用相同类型生物特征数据作为身份验证者的其他实体不再依赖该数据进行身份验证的说明。

可以看出，上述修正案基本没有动摇CCPA的核心内容，也没有大幅度削弱消费者的权利，而是聚焦在修订草案中的错误、给予某些行业一定时间的豁免权以及对定义的延伸上。

细则草案

企业需按照所收集的个人信息类别逐一提供第三方信息

另一个值得关注的是加州总检察长Becerra在10月10日公布的CCPA配套实施细则草案。

加州总检察长Xavier Becerra。

Becerra表示，细则草案将从企业在数据收集之前或当下告知消费者权利，处理消费者的数据请求，收到信息相关请求时验证消费者身份，处理涉及16岁以下未成年人信息的请求，以及避免因消费者拒绝其数据被存储或出售而引发歧视等五个方面帮助企业遵守CCPA。

CCPA出台伊始，消费者提出数据请求和选择退出（opt-out）选项的相关条款就受到广泛关注，草案也着重在这两方面进行了细化和拓展。

根据草案，企业必须在收到消费者有关了解或删除其数据的请求后的10天内做出确认，并向消费者告知将如何处理。除非提供了合理的理由，否则企业必须在45天内对请求做出响应。

如果收到消费者的数据披露请求，CCPA要求企业在回复里明确个人信息来源的类别，收集信息的业务或商业目的以及与企业共享个人信息的第三方的类别。草案在此基础上进一步规定，企业必须就收集的所有个人信息类别逐一提供上述信息。

不过，在无法确认消费者本人身份的情况下，企业不能披露任何个人信息，只能将其视为退出出售请求，而非删除请求。即使能够确认身份，企业也不应披露某些类型的信息，比如社会安全号或银行账户信息。

当收到删除数据请求时，企业可以提供多个删除选项，前提是与“仅删除部分数据”选项相比，“删除所有信息”选项必须“突出显示”。若消费者选择退出出售其个人信息时，企业响应的时限为15天，且最多有90天来通知向其出售信息的第三方，并在完成后通知消费者。

此外，草案还描述了企业应如何避免歧视行使CCPA权利的消费者。

草案规定，企业不能因消费者选择退出数据收集或删除其数据，提供不同价格或采取财务激励措施——除非价格差异“与消费者数据的价值合理相关”。评估数据价值的依据包括企业从收集或出售客户数据创造的利润等。

接下来，细则草案将进入公共意见征集期，人们可以通过写信、邮件或四场听证会提出建议和意见，12月6日截止。然后Becerra将决定是否需要对细则草案做出重大修订，有需要的话可能还会进行下一轮意见征集。

需要说明的是，此次的细则草案还没有纳入上文提到的最新修正案。根据CCPA的规定，加州总检察长可以在最终的实施细则生效6个月后或最迟2020年7月1日开始强制执行该法律。

“至今为止，还没有人尝试做过类似的事情”，Becerra在细则草案的新闻发布会上说，“但是我们已经站在了十字路口。美国人民不应该为了在这个数字时代生活和发展而放弃他们的隐私。”

企业合规

初始成本或高达550亿美元

怎样在不损害营收的同时保障消费者利益？企业或许可以参考下面这个民意调查的结果。

前不久，一项对1004名受访者（并非全部都是加州居民）进行的民意调查显示，87％受访者表示会选择不把个人信息出售给第三方，8％受访者表示“会继续浏览网站”，6％选择“不知道”。

然而，当添加了一个“提供个人信息将得到奖励”的附加选项之后，得到的结果就大相径庭：这次只有61％受访者选择了“不出售我的个人信息”，而有21％选择了新选项。

上述调查的参与机构之一——BritePool的首席运营官Bob Perkins说：“我们从研究中得出的结论是，人们对互联网感到不信任……他们想要三件事：信息，控制和奖励。”

不过，在考虑如何满足消费者期待之前，企业目前的首要任务还是合规。

根据加州总检察长办公室发布的经济影响评估报告，CCPA可能给企业带来高达550亿美元的初始合规成本。由于许多加州企业已经在做GDPR合规，CCPA的合规成本可能会有所降低。

研究人员预计，员工少于20人的企业可能一开始要支付约5万美元才能合规，而拥有超过500名员工的企业平均要支付200万美元的初始费用。该报告称，未来十年，所有受CCPA约束的企业的合规成本可能在4.67亿美元至160亿美元之间。

尽管细则草案的初衷是厘清CCPA中模糊不清的规定，向消费者和企业提供可落地的实施办法，但在一些律师看来，草案新增的内容似乎给企业带来了更多的歧义和负担。

以一家提供安全服务的企业为例。日常需要从客户公司获取IP地址来帮助他们防欺诈。根据草案规定，该企业不能算作“服务提供商”。也就是说，如果消费者要求停止数据共享，该企业就无法继续提供防欺诈服务。但实际情况中，企业使用同样的数据来提供服务是十分普遍的。

采写：南都记者蒋琳