《加利福尼亞州消費(fèi)者隱私法案》（CCPA）已于2020年1月1日生效，它將成為美國(guó)州層面的最重要數(shù)據(jù)隱私立法之一。這是由于加州的經(jīng)濟(jì)在美國(guó)居于舉足輕重的地位，而除了微軟和亞馬遜之外的美國(guó)互聯(lián)網(wǎng)公司的總部都設(shè)置在加州，這也注定CCPA將對(duì)美國(guó)的聯(lián)邦立法產(chǎn)生重要的影響。

當(dāng)前，歐盟和美國(guó)正在試圖打造獨(dú)立的數(shù)據(jù)王國(guó)：如果說(shuō)歐盟是以“數(shù)據(jù)基本權(quán)利”為基礎(chǔ)的模式，集中體現(xiàn)在GDPR(《通用數(shù)據(jù)保護(hù)條例》)；那么美國(guó)就是以“自由式市場(chǎng)+強(qiáng)監(jiān)管”為基礎(chǔ)的模式，集中體現(xiàn)在CCPA(《加利福尼亞州消費(fèi)者隱私法案》)。從表面上看，美國(guó)和歐盟的兩種模式互不兼容，甚至背道而馳，但事實(shí)上卻是殊途同歸，都在尋求“數(shù)據(jù)權(quán)利保護(hù)和數(shù)據(jù)自由流通的平衡”。無(wú)非歐盟模式偏向“數(shù)據(jù)權(quán)利保護(hù)”一方，意在打造公民的數(shù)據(jù)基本權(quán)利；而美國(guó)模式卻偏向“數(shù)據(jù)自由流通”一方，意在數(shù)字經(jīng)濟(jì)的發(fā)展。

而對(duì)于正在進(jìn)行中的中國(guó)數(shù)據(jù)立法來(lái)說(shuō)，應(yīng)當(dāng)向左走靠近歐盟模式，還是向右走靠近美國(guó)模式，抑或徑直走向中國(guó)特色的獨(dú)有道路？這個(gè)問(wèn)題非常關(guān)鍵，值得我們認(rèn)真思考。

一、GDPR是史上最嚴(yán)的數(shù)據(jù)法律

歐盟的GDPR(《通用數(shù)據(jù)保護(hù)條例》)被稱為人類史上最嚴(yán)格的數(shù)據(jù)隱私法律，這主要體現(xiàn)在兩方面：

一方面，GDPR賦予了數(shù)據(jù)主體同意權(quán)、訪問(wèn)權(quán)、更正權(quán)、被遺忘權(quán)、限制處理權(quán)、拒絕權(quán)及自動(dòng)化自決權(quán)等廣泛的數(shù)據(jù)權(quán)利和自由，同時(shí)明確了數(shù)據(jù)控制者和處理者應(yīng)盡到采取合法、公平和透明的技術(shù)和組織措施保護(hù)數(shù)據(jù)權(quán)益的法定義務(wù)，以及履行對(duì)監(jiān)管部門及數(shù)據(jù)保護(hù)認(rèn)證組織的法定義務(wù)。

另一方面，GDPR設(shè)定了天價(jià)的罰款，起步最高額度就是1000萬(wàn)歐元或企業(yè)上一財(cái)年全球營(yíng)業(yè)總額2%，并以較高者為準(zhǔn)。

二、GDPR將對(duì)中國(guó)的數(shù)據(jù)立法產(chǎn)生重要的影響

毫無(wú)疑問(wèn)的是，GDPR作為具有全球影響力的數(shù)據(jù)立法新范式和標(biāo)桿，不僅形塑了中國(guó)、日本、新加坡、澳大利亞等亞太國(guó)家的《個(gè)人信息保護(hù)法》或《隱私法》的制定和修改，而且還深刻影響了美國(guó)的CCPA的出臺(tái)，甚至影響后續(xù)的美國(guó)聯(lián)邦的統(tǒng)一數(shù)據(jù)立法的進(jìn)程。

我認(rèn)為，由于統(tǒng)一的數(shù)據(jù)法典更加適合大陸法系傳統(tǒng)的中國(guó)，再加上“數(shù)據(jù)權(quán)利主義”也比較符合社會(huì)主義的“政治正確”，GDPR必將對(duì)中國(guó)正在制定中的《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》產(chǎn)生非常重大的影響。

而為中國(guó)數(shù)據(jù)立法積累經(jīng)驗(yàn)的國(guó)家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》，更是全盤借鑒了GDPR的精髓，從個(gè)人信息的定義、信息主體及信息控制者等法律關(guān)系主體的設(shè)置、同意機(jī)制、個(gè)人信息處理的基本原則等與GDPR如出一轍，收集、保存、使用、共享、轉(zhuǎn)讓、公開(kāi)披露、刪除等個(gè)人信息處理活動(dòng)應(yīng)遵循的原則和安全要求也與GDPR的規(guī)定基本一致。

三、GDPR不符合中國(guó)數(shù)據(jù)立法的目的和整體利益

歐盟GDPR的出現(xiàn)，最起碼有以下幾個(gè)原因：

一是，歷史原因。由于希特勒德國(guó)通過(guò)個(gè)人信息的收集實(shí)施對(duì)猶太人的全面迫害，這讓歐洲人民心有余悸，對(duì)隱私權(quán)利格外珍惜，并將其上升為憲法上的基本權(quán)利，即信息自決權(quán)；

二是，作為通用數(shù)據(jù)立法的GDPR是統(tǒng)一歐盟數(shù)字市場(chǎng)的最佳工具；

三是，通過(guò)輸出嚴(yán)格的數(shù)據(jù)保護(hù)規(guī)則，以便歐盟在與美國(guó)、中國(guó)的貿(mào)易談判中占據(jù)法律優(yōu)勢(shì)和道德制高點(diǎn)。比如歐盟和美國(guó)之間先后形成了“避風(fēng)港”原則和“隱私盾”原則。

四是，GDPR制定嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)規(guī)則，也與歐盟缺少世界領(lǐng)先（前20強(qiáng)沒(méi)有一席）的互聯(lián)網(wǎng)公司也有關(guān)系。

上述原因在中國(guó)基本都不存在或不成立，也并不符合中國(guó)的整體利益，更不適合中國(guó)數(shù)字經(jīng)濟(jì)的長(zhǎng)遠(yuǎn)發(fā)展，因此GDPR不應(yīng)當(dāng)成為中國(guó)數(shù)據(jù)立法的借鑒對(duì)象。

四、CCPA才是中國(guó)數(shù)據(jù)立法的借鑒對(duì)象

在我看來(lái)，與以“數(shù)據(jù)基本權(quán)利”為基礎(chǔ)的歐盟GDPR相比，CCPA模式更值得中國(guó)未來(lái)的數(shù)據(jù)立法借鑒和參考。理由闡述如下：

其一，美國(guó)CCPA模式更加強(qiáng)調(diào)“數(shù)據(jù)的自由流動(dòng)”和“數(shù)字經(jīng)濟(jì)的發(fā)展”，這顯然更加符合中國(guó)的整體利益和長(zhǎng)遠(yuǎn)利益。

根據(jù)騰訊孫海鳴老師的已有研究《GDPR VS CCPA：歐美這兩部個(gè)人數(shù)據(jù)保護(hù)法規(guī)有什么差異？》，我對(duì)CCPA與GDPR的區(qū)別主要做如下整理：

1）個(gè)人數(shù)據(jù)的范圍界。GDPR采取抽象概念定義模式，而CCPA結(jié)合抽象定義與不完全列舉兩種方式，一方面通過(guò)抽象定義對(duì)個(gè)人信息的管轄范圍劃定邊界，另一方面通過(guò)具體列舉為企業(yè)提供了相對(duì)明確的判定指引，以試圖一定程度上避免交易雙方對(duì)“個(gè)人數(shù)據(jù)”范圍達(dá)不成一致的情況，也可以針對(duì)諸如面部識(shí)別、聲紋識(shí)別、虹膜識(shí)別等新技術(shù)領(lǐng)域出現(xiàn)的存在標(biāo)識(shí)屬性的個(gè)人信息進(jìn)行更加明確的界定。

2）管轄權(quán)原則。GDPR規(guī)定復(fù)雜覆蓋面廣，CCPA規(guī)定簡(jiǎn)練聚焦重點(diǎn)。GDPR的管轄較廣泛，管轄邏輯復(fù)雜，只要與歐盟、歐盟居民、向歐盟輸出產(chǎn)品服務(wù)或監(jiān)控歐盟個(gè)人等因素相關(guān)，即大概率落入GDPR管轄范圍。

相反，CCPA管轄邏輯簡(jiǎn)明，聚焦于管轄“以營(yíng)利目的處理個(gè)人信息的企業(yè)”，為被管轄實(shí)體設(shè)置了“年收入金額門檻”和“消費(fèi)者、家庭和設(shè)備數(shù)量門檻”，注重對(duì)于風(fēng)險(xiǎn)影響程度和范圍較大的實(shí)體進(jìn)行管轄，執(zhí)法的針對(duì)性就更強(qiáng)。

3）數(shù)據(jù)跨境傳輸管控：GDPR環(huán)環(huán)相扣嚴(yán)格限制，CCPA無(wú)明確規(guī)定。GDPR環(huán)環(huán)相扣嚴(yán)格限制，設(shè)置五道“關(guān)口”：充分性認(rèn)定白名單；是否提供適當(dāng)協(xié)議、行為準(zhǔn)則為跨境傳輸提供保障；集團(tuán)內(nèi)部規(guī)則（BCR）并被監(jiān)管機(jī)構(gòu)批準(zhǔn)；通過(guò)“必要性測(cè)試”和“偶然性判定”等。

而CCPA對(duì)于跨境傳輸管控的態(tài)度則是留白與放任。因?yàn)槊绹?guó)的互聯(lián)網(wǎng)乃至整個(gè)信息產(chǎn)業(yè)領(lǐng)先于全球，因而從價(jià)值取向上更加鼓勵(lì)數(shù)據(jù)的跨境流動(dòng)，跨境流動(dòng)越自由，美方在數(shù)據(jù)資產(chǎn)控制和利用方面就越主動(dòng)。

4）兒童個(gè)人信息處理的差異。GDPR傾向于默認(rèn)13到16周歲兒童對(duì)個(gè)人信息的處理行為不具備完全認(rèn)知能力，因而需要監(jiān)護(hù)人的授權(quán)，企業(yè)方能處理其個(gè)人信息。而CCPA傾向默認(rèn)為13到16周歲的兒童具備一定的行為能力，即其作為消費(fèi)者有權(quán)授權(quán)他人處理自己的個(gè)人數(shù)據(jù)。

5）數(shù)據(jù)處理原則的差異。GDPR規(guī)定，個(gè)人數(shù)據(jù)的處理“原則上禁止，有合法授權(quán)時(shí)允許，且個(gè)人有權(quán)反對(duì)或撤回授權(quán)”；而CCPA則是“原則上允許，有條件禁止”。GDPR是基于監(jiān)管者的立場(chǎng)，以保護(hù)基本人權(quán)為出發(fā)點(diǎn)，強(qiáng)調(diào)有關(guān)責(zé)任主體主動(dòng)規(guī)范數(shù)據(jù)處理的行為；而CCPA更偏向于消費(fèi)者的立場(chǎng)，側(cè)重規(guī)范數(shù)據(jù)的商業(yè)化利用。

6）對(duì)“被遺忘權(quán)”的態(tài)度。GDPR關(guān)于被遺忘權(quán)的規(guī)定采取“以被遺忘為原則，以不遺忘為例外”，例外主要有：為了行使言論和信息自由權(quán)，遵守法律義務(wù)，在公共健康領(lǐng)域執(zhí)行有公共利益的任務(wù)或行使控制者被授予的官方權(quán)力，為公共利益、科學(xué)或者歷史研究目的、數(shù)據(jù)統(tǒng)計(jì)目的，或者為了法律辯護(hù)需要時(shí)。

相比GDPR，CCPA為數(shù)據(jù)主體“被遺忘權(quán)”的行使設(shè)置了更多障礙，想要突破這些障礙的門檻較高（如：需確?！皵?shù)據(jù)主體的基本權(quán)利和自由與控制者的合法利益不相沖突”，這就要求企業(yè)要開(kāi)展“利益平衡測(cè)試”來(lái)證明兩種利益不互相沖突），這也體現(xiàn)了CCPA促進(jìn)數(shù)據(jù)自由流動(dòng)和便捷交易的價(jià)值取向。

其二，美國(guó)對(duì)隱私權(quán)利的保護(hù)事實(shí)上是很嚴(yán)格的。

在這里，我必須強(qiáng)調(diào)一點(diǎn)，我并不認(rèn)為，對(duì)個(gè)人數(shù)據(jù)權(quán)利的忽視或剝奪會(huì)導(dǎo)致數(shù)字經(jīng)濟(jì)的發(fā)展。如果這個(gè)邏輯能成立的話，最大的互聯(lián)網(wǎng)公司應(yīng)該會(huì)在南極洲出現(xiàn)，印度也應(yīng)該擁有比Facebook更大的數(shù)據(jù)公司。這顯然不是現(xiàn)實(shí)。相反，我認(rèn)為，對(duì)數(shù)據(jù)權(quán)利的保護(hù)有利于數(shù)字經(jīng)濟(jì)的發(fā)展，只是要注意數(shù)據(jù)權(quán)利保護(hù)與數(shù)據(jù)流通的平衡，不可偏頗。

事實(shí)上，美國(guó)對(duì)個(gè)人數(shù)據(jù)及數(shù)據(jù)權(quán)利的保護(hù)，并不像我們想象中的那么寬松。美國(guó)在聯(lián)邦層面的確沒(méi)有統(tǒng)一立法，但卻有行業(yè)領(lǐng)域的嚴(yán)格立法，如在金融領(lǐng)域有FCRA，在健康醫(yī)療領(lǐng)域有HIPPA，在消費(fèi)領(lǐng)域有VPPA，在兒童隱私領(lǐng)域有COPPA，在教育領(lǐng)域有FERPA，在政府?dāng)?shù)據(jù)開(kāi)放領(lǐng)域有FIA，在數(shù)據(jù)跨境領(lǐng)域有CLOUD ACT等等。

五、小結(jié)

我認(rèn)為，與以“數(shù)據(jù)基本權(quán)利”為基礎(chǔ)的歐盟GDPR相比，我個(gè)人更推崇以“促進(jìn)數(shù)據(jù)自由流動(dòng)和便捷交易為價(jià)值取向”的美國(guó)CCPA模式，這更值得中國(guó)未來(lái)的數(shù)據(jù)立法借鑒和參考。

“安全風(fēng)險(xiǎn)防范為主兼顧數(shù)字經(jīng)濟(jì)發(fā)展”的中國(guó)數(shù)據(jù)立法模式與GDPR并不兼容，“數(shù)據(jù)隱私保護(hù)和數(shù)字經(jīng)濟(jì)發(fā)展的平衡”才是中國(guó)數(shù)據(jù)立法應(yīng)當(dāng)遵守的主要指導(dǎo)原則。

(作者何淵為上海交大數(shù)據(jù)法律研究中心執(zhí)行主任，DataLaws主理人)