美国数据监管法律制度

美国著名科技公司的总部大部分设于加利福尼亚州，如脸书、谷歌、苹果、高通以及英特尔等。《加利福尼亚消费者隐私权法案》由加利福尼亚州议员Ed Chau（周本立）和Robert Hertzberg共同提出，作为加利福尼亚州议会1121号法案通过。该法案的通过表明隐私权是加利福尼亚州宪法规定的一项基本权利，为了防止企业对个人信息的滥用，制定该法案以保障个人对隐私的控制权。^[17]该法案标志着美国数据监管法律突破性的发展，并于2020年1月1日正式生效。

（一）《加利福尼亚消费者隐私法案》（CCPA）主要内容

CCPA的主要内容总结为加利福尼亚州居民有权利知道被收集的个人数据的类型、个人数据是否被公开或者出售、拒绝出售个人数据的行为、访问个人数据、要求企业删除有关相关个人数据。CCPA与GDPR关于个人数据的定义有所不同，GDPR的个人数据主要指的是消费者产生的数据，而CCPA延伸到了家庭信息。^[18]CCPA将个人信息定义为识别、关联、描述与特定消费者、家庭直接或间接关联的信息，包括但不限于例如姓名、性别、地址、Internet协议、电子邮件、用户名、社会安全号、驾照号码、身份号码等显性信息；如指纹、虹膜、面部等生物特征，再如运动、睡眠数据等。^[19]这些信息被规定为不公开信息。用户如果要求企业删除涉及以上定义的个人信息，企业在收到用户请求之后需要按规定进行删除。

（二）《加利福尼亚消费者隐私法案》立法特点

1.明确四个基本概念和适用对象

《加利福尼亚消费者隐私法案》对“企业”“第三方”“服务提供者”“消费者” 四个术语做出立法解释。另一方面，该法案的适用对象为在加利福尼亚州收据个人数据的营利性实体（Profi t Entity），同时该营利性实体需要满足以下三个条件之一：第一，年总收入超过2500万美元；第二，处理超过50000人的数据；第三，50%以上的收入来自于加利福尼亚州居民的个人数据。^[20]意味着该法案向加利福尼亚州境内的科技巨头以及专门从事数据交易的公司“亮剑”。

2.域外适用

《加利福尼亚消费者隐私法案》和GDPR一样，由于互联网的无界限性，通过属人管辖与属地管辖，实现了与CCPA同样具有域外适用的效力。从属人管辖来看，CCPA保护的是加利福尼亚居民的个人数据，换言之，CCPA的管辖范围也包括加利福尼亚州外处理该州居民数据的公司。从属地管辖来看，根据“企业”的立法解释，企业若满足上文三条件之一则适用CCPA的规定，如何推定域外效力的来源，CCPA对“控制”作出了解释：“是指对企业任何一类有投票权的股票中已发行股票有超过50%的所有权或投票权；以任何方式控制大多数董事的选举或行使类似职能的个人；或者有对公司管理层施加影响力的权力。”^[21]也就是说满足三种情况之一，则推定为对在加利福尼亚经营的实体具有控制权，若该实体的控制人属于外国公司，则也“被迫”面临适用CCPA，使其扩大域外适用范围。但是，在2011年固特异案和2014年戴姆勒案中，美国联邦最高法院将对公司的一般管辖权限制在注册地或主营地，有明显向属地主义回归的趋势。^[22]目前，CCPA没有像GDPR一样对海外公司进行处罚，关于其域外适用的情况还需要继续观察。