《加利福尼亞州消費者隱私法案》（CCPA）已于2020年1月1日生效，它將成為美國州層面的最重要數(shù)據(jù)隱私立法之一。這是由于加州的經(jīng)濟在美國居于舉足輕重的地位，而除了微軟和亞馬遜之外的美國互聯(lián)網(wǎng)公司的總部都設置在加州，這也注定CCPA將對美國的聯(lián)邦立法產(chǎn)生重要的影響。

當前，歐盟和美國正在試圖打造獨立的數(shù)據(jù)王國：如果說歐盟是以“數(shù)據(jù)基本權利”為基礎的模式，集中體現(xiàn)在GDPR(《通用數(shù)據(jù)保護條例》)；那么美國就是以“自由式市場+強監(jiān)管”為基礎的模式，集中體現(xiàn)在CCPA(《加利福尼亞州消費者隱私法案》)。從表面上看，美國和歐盟的兩種模式互不兼容，甚至背道而馳，但事實上卻是殊途同歸，都在尋求“數(shù)據(jù)權利保護和數(shù)據(jù)自由流通的平衡”。無非歐盟模式偏向“數(shù)據(jù)權利保護”一方，意在打造公民的數(shù)據(jù)基本權利；而美國模式卻偏向“數(shù)據(jù)自由流通”一方，意在數(shù)字經(jīng)濟的發(fā)展。

而對于正在進行中的中國數(shù)據(jù)立法來說，應當向左走靠近歐盟模式，還是向右走靠近美國模式，抑或徑直走向中國特色的獨有道路？這個問題非常關鍵，值得我們認真思考。

一、GDPR是史上最嚴的數(shù)據(jù)法律

歐盟的GDPR(《通用數(shù)據(jù)保護條例》)被稱為人類史上最嚴格的數(shù)據(jù)隱私法律，這主要體現(xiàn)在兩方面：

一方面，GDPR賦予了數(shù)據(jù)主體同意權、訪問權、更正權、被遺忘權、限制處理權、拒絕權及自動化自決權等廣泛的數(shù)據(jù)權利和自由，同時明確了數(shù)據(jù)控制者和處理者應盡到采取合法、公平和透明的技術和組織措施保護數(shù)據(jù)權益的法定義務，以及履行對監(jiān)管部門及數(shù)據(jù)保護認證組織的法定義務。

另一方面，GDPR設定了天價的罰款，起步最高額度就是1000萬歐元或企業(yè)上一財年全球營業(yè)總額2%，并以較高者為準。

二、GDPR將對中國的數(shù)據(jù)立法產(chǎn)生重要的影響

毫無疑問的是，GDPR作為具有全球影響力的數(shù)據(jù)立法新范式和標桿，不僅形塑了中國、日本、新加坡、澳大利亞等亞太國家的《個人信息保護法》或《隱私法》的制定和修改，而且還深刻影響了美國的CCPA的出臺，甚至影響后續(xù)的美國聯(lián)邦的統(tǒng)一數(shù)據(jù)立法的進程。

我認為，由于統(tǒng)一的數(shù)據(jù)法典更加適合大陸法系傳統(tǒng)的中國，再加上“數(shù)據(jù)權利主義”也比較符合社會主義的“政治正確”，GDPR必將對中國正在制定中的《個人信息保護法》和《數(shù)據(jù)安全法》產(chǎn)生非常重大的影響。

而為中國數(shù)據(jù)立法積累經(jīng)驗的國家標準《個人信息安全規(guī)范》，更是全盤借鑒了GDPR的精髓，從個人信息的定義、信息主體及信息控制者等法律關系主體的設置、同意機制、個人信息處理的基本原則等與GDPR如出一轍，收集、保存、使用、共享、轉讓、公開披露、刪除等個人信息處理活動應遵循的原則和安全要求也與GDPR的規(guī)定基本一致。

三、GDPR不符合中國數(shù)據(jù)立法的目的和整體利益

歐盟GDPR的出現(xiàn)，最起碼有以下幾個原因：

一是，歷史原因。由于希特勒德國通過個人信息的收集實施對猶太人的全面迫害，這讓歐洲人民心有余悸，對隱私權利格外珍惜，并將其上升為憲法上的基本權利，即信息自決權；

二是，作為通用數(shù)據(jù)立法的GDPR是統(tǒng)一歐盟數(shù)字市場的最佳工具；

三是，通過輸出嚴格的數(shù)據(jù)保護規(guī)則，以便歐盟在與美國、中國的貿(mào)易談判中占據(jù)法律優(yōu)勢和道德制高點。比如歐盟和美國之間先后形成了“避風港”原則和“隱私盾”原則。

四是，GDPR制定嚴格的個人數(shù)據(jù)保護規(guī)則，也與歐盟缺少世界領先（前20強沒有一席）的互聯(lián)網(wǎng)公司也有關系。

上述原因在中國基本都不存在或不成立，也并不符合中國的整體利益，更不適合中國數(shù)字經(jīng)濟的長遠發(fā)展，因此GDPR不應當成為中國數(shù)據(jù)立法的借鑒對象。

四、CCPA才是中國數(shù)據(jù)立法的借鑒對象

在我看來，與以“數(shù)據(jù)基本權利”為基礎的歐盟GDPR相比，CCPA模式更值得中國未來的數(shù)據(jù)立法借鑒和參考。理由闡述如下：

其一，美國CCPA模式更加強調“數(shù)據(jù)的自由流動”和“數(shù)字經(jīng)濟的發(fā)展”，這顯然更加符合中國的整體利益和長遠利益。

根據(jù)騰訊孫海鳴老師的已有研究《GDPR VS CCPA：歐美這兩部個人數(shù)據(jù)保護法規(guī)有什么差異？》，我對CCPA與GDPR的區(qū)別主要做如下整理：

1）個人數(shù)據(jù)的范圍界。GDPR采取抽象概念定義模式，而CCPA結合抽象定義與不完全列舉兩種方式，一方面通過抽象定義對個人信息的管轄范圍劃定邊界，另一方面通過具體列舉為企業(yè)提供了相對明確的判定指引，以試圖一定程度上避免交易雙方對“個人數(shù)據(jù)”范圍達不成一致的情況，也可以針對諸如面部識別、聲紋識別、虹膜識別等新技術領域出現(xiàn)的存在標識屬性的個人信息進行更加明確的界定。

2）管轄權原則。GDPR規(guī)定復雜覆蓋面廣，CCPA規(guī)定簡練聚焦重點。GDPR的管轄較廣泛，管轄邏輯復雜，只要與歐盟、歐盟居民、向歐盟輸出產(chǎn)品服務或監(jiān)控歐盟個人等因素相關，即大概率落入GDPR管轄范圍。

相反，CCPA管轄邏輯簡明，聚焦于管轄“以營利目的處理個人信息的企業(yè)”，為被管轄實體設置了“年收入金額門檻”和“消費者、家庭和設備數(shù)量門檻”，注重對于風險影響程度和范圍較大的實體進行管轄，執(zhí)法的針對性就更強。

3）數(shù)據(jù)跨境傳輸管控：GDPR環(huán)環(huán)相扣嚴格限制，CCPA無明確規(guī)定。GDPR環(huán)環(huán)相扣嚴格限制，設置五道“關口”：充分性認定白名單；是否提供適當協(xié)議、行為準則為跨境傳輸提供保障；集團內(nèi)部規(guī)則（BCR）并被監(jiān)管機構批準；通過“必要性測試”和“偶然性判定”等。

而CCPA對于跨境傳輸管控的態(tài)度則是留白與放任。因為美國的互聯(lián)網(wǎng)乃至整個信息產(chǎn)業(yè)領先于全球，因而從價值取向上更加鼓勵數(shù)據(jù)的跨境流動，跨境流動越自由，美方在數(shù)據(jù)資產(chǎn)控制和利用方面就越主動。

4）兒童個人信息處理的差異。GDPR傾向于默認13到16周歲兒童對個人信息的處理行為不具備完全認知能力，因而需要監(jiān)護人的授權，企業(yè)方能處理其個人信息。而CCPA傾向默認為13到16周歲的兒童具備一定的行為能力，即其作為消費者有權授權他人處理自己的個人數(shù)據(jù)。

5）數(shù)據(jù)處理原則的差異。GDPR規(guī)定，個人數(shù)據(jù)的處理“原則上禁止，有合法授權時允許，且個人有權反對或撤回授權”；而CCPA則是“原則上允許，有條件禁止”。GDPR是基于監(jiān)管者的立場，以保護基本人權為出發(fā)點，強調有關責任主體主動規(guī)范數(shù)據(jù)處理的行為；而CCPA更偏向于消費者的立場，側重規(guī)范數(shù)據(jù)的商業(yè)化利用。

6）對“被遺忘權”的態(tài)度。GDPR關于被遺忘權的規(guī)定采取“以被遺忘為原則，以不遺忘為例外”，例外主要有：為了行使言論和信息自由權，遵守法律義務，在公共健康領域執(zhí)行有公共利益的任務或行使控制者被授予的官方權力，為公共利益、科學或者歷史研究目的、數(shù)據(jù)統(tǒng)計目的，或者為了法律辯護需要時。

相比GDPR，CCPA為數(shù)據(jù)主體“被遺忘權”的行使設置了更多障礙，想要突破這些障礙的門檻較高（如：需確?！皵?shù)據(jù)主體的基本權利和自由與控制者的合法利益不相沖突”，這就要求企業(yè)要開展“利益平衡測試”來證明兩種利益不互相沖突），這也體現(xiàn)了CCPA促進數(shù)據(jù)自由流動和便捷交易的價值取向。

其二，美國對隱私權利的保護事實上是很嚴格的。

在這里，我必須強調一點，我并不認為，對個人數(shù)據(jù)權利的忽視或剝奪會導致數(shù)字經(jīng)濟的發(fā)展。如果這個邏輯能成立的話，最大的互聯(lián)網(wǎng)公司應該會在南極洲出現(xiàn)，印度也應該擁有比Facebook更大的數(shù)據(jù)公司。這顯然不是現(xiàn)實。相反，我認為，對數(shù)據(jù)權利的保護有利于數(shù)字經(jīng)濟的發(fā)展，只是要注意數(shù)據(jù)權利保護與數(shù)據(jù)流通的平衡，不可偏頗。

事實上，美國對個人數(shù)據(jù)及數(shù)據(jù)權利的保護，并不像我們想象中的那么寬松。美國在聯(lián)邦層面的確沒有統(tǒng)一立法，但卻有行業(yè)領域的嚴格立法，如在金融領域有FCRA，在健康醫(yī)療領域有HIPPA，在消費領域有VPPA，在兒童隱私領域有COPPA，在教育領域有FERPA，在政府數(shù)據(jù)開放領域有FIA，在數(shù)據(jù)跨境領域有CLOUD ACT等等。

五、小結

我認為，與以“數(shù)據(jù)基本權利”為基礎的歐盟GDPR相比，我個人更推崇以“促進數(shù)據(jù)自由流動和便捷交易為價值取向”的美國CCPA模式，這更值得中國未來的數(shù)據(jù)立法借鑒和參考。

“安全風險防范為主兼顧數(shù)字經(jīng)濟發(fā)展”的中國數(shù)據(jù)立法模式與GDPR并不兼容，“數(shù)據(jù)隱私保護和數(shù)字經(jīng)濟發(fā)展的平衡”才是中國數(shù)據(jù)立法應當遵守的主要指導原則。

(作者何淵為上海交大數(shù)據(jù)法律研究中心執(zhí)行主任，DataLaws主理人)