随着人工智能和大数据的迅猛发展,数据成为驱动创新和经济增长的关键资源。然而,这股浪潮也催生了对数据隐私和安全前所未有的关注,促使各国政府加强立法,构建更为严密的数据监管体系。自2023年以来,美国针对个人数据安全和网络安全监管采取了更加积极、更加主动的态度。面对美国严苛的数据合规环境,中国企业出海面临着前所未有的考验。企业不仅需要深化内部核心竞争力,也要灵活运用外部游戏规则,通过内外兼修,方能在全球化的竞技场上保持竞争优势。



相关立法体系

美国目前未在联邦层面建立综合性的个人信息保护法律,但各州都颁布了综合性法规。美国各州均有权就其管辖范围内的个人信息保护事宜进行立法,目前包括加利福尼亚州、弗吉尼亚州、犹他州、特拉华州在内十余州建立了综合性个人信息保护法律。


以经济最为发达及人口众多的加利福尼亚州为例,目前该州已经通过美国第一部全面的数据隐私法《加州消费者隐私法》(CCPA),CCPA从多方面保护规范各商业组织的信息处理活动,保护该州居民的个人信息安全,并赋予该州居民多项与个人信息有关的权利。


CCPA 适用于在加州开展业务并满足以下任何一项条件的营利性企业:

  • 年总收入超过2500万美元;
  • 购买、出售或共享100,000名或更多加州居民或家庭的个人信息;
  • 或通过出售加州居民的个人信息获取50%或更多的年收入。

对于特定行业领域或特定人群,美国亦通过针对性的法律进行规范相关的个人信息保护工作。


具体监管部门

美国没有全国统一性的个人信息保护监管机构,联邦各部门以及各州的政府机构根据不同法律法规的授权,可以作为某一领域行业或针对某一群体的个人信息事项监管机构。例如,联邦贸易委员会(FTC)对大部分行业企业的商业经营活动均有管辖权,其针对消费者权益保护的监管范围就囊括了有关消费者隐私或个人信息安全的执法权限;加利福尼亚州CCPA授权组建了加州隐私保护局(CPPA)作为该州范围内的主要个人信息保护管理机构,CPPA及加州总检察长(Attorney General)共同享有CCPA下的执法权。


同意机制

与欧盟GDPR及我国《个人信息保护法》相比,美国法律通常默认允许处理个人数据,但CCPA规定在以下特定情形,企业应当取得个人的同意:(1)企业只有在获得出售儿童个人信息的肯定授权(Opt-in)的情况下,才可以出售未满 16 周岁的儿童的个人信息。除非该儿童的年龄是在13至16岁之间,或消费者的父母或监护人已明确企业可以出售年龄小于13岁的消费者个人信息。任何故意忽视消费者年龄的行为应被视为其已明确知晓该消费者年龄。(2)如果消费者行使选择退出权利后,需再次获得消费者的同意。


尽管美国当前采用默示同意的机制,但CCPA要求企业将企业对加州居民个人信息的收集、使用、保留和共享限制在“合理必要和相称的范围内,以实现收集或处理个人信息的目的,或为与收集个人信息的环境兼容的其他披露目的,并且不会以与这些目的不相符的方式进一步处理”。


CCPA下的消费者选择退出个人信息销售或共享的权利

CCPA下,如果该消费者是加利福尼亚州居民,其享有知情权、删除权、选择退出销售或共享的权利、更正以及限制使用和披露敏感个人信息的权利。


消费者可以要求企业停止出售或共享消费者的个人信息(“选择退出”)。企业在收到消费者的退出请求后不得出售或共享消费者的个人信息,除非消费者后来提供相应授权允许企业再次进行出售或共享。且消费者选择退出后,企业再次请求消费者同意之前需至少等待12个月。


同时任何在加州开展业务的组织需要在其企业的互联网主页上提供一个清晰醒目的链接,标题为 “请勿出售或分享我的个人信息”,该链接指向一个互联网网页,使消费者或经消费者授权的人能够选择退出出售或分享消费者的个人信息。


CCPA禁止企业因为消费者行使该权利而对消费者付诸歧视措施,包括对要求退出的消费者适用不同的价格或者向其提供不同质量的产品或者服务,除非该差异与数据的价值合理相关。


苹果公司隐私政策中针对销售及共享个人信息的说明


【案例快照】

2022年,某著名法国跨境美妆电商企业与加州居民达成了和解协议并决定支付120万美元的罚款。该案件起因是该企业未能在隐私政策中向消费者披露其向第三方出售个人信息的事实,允许不具备“服务提供商”资格的第三方广告和分析提供商通过cookies和其他追踪技术追踪该企业官网和应用程序上的消费者行为。该企业未能向消费者提供退出个人信息出售的相关渠道,未以显著的方式提供“不要出售我的个人信息”的选项,且未采取相关行动采取补救措施。


数据跨境

与欧盟GDPR相比,美国对个人数据跨境转移的管理较为宽松,绝大部分联邦或州的法律并未对个人数据跨境这一场景作出显著限制,部分法律例如HIPAA,会要求个人数据出境后应当保持法定的保护措施。


然而,2024年2月美国总统签署并发布《关于防止受关注国家获取美国大量敏感个人数据和政府相关数据的行政命令》(下称“行政命令”),对达到一定数量的个人数据的跨境提供作出限制。同时,美国司法部就该行政命令的具体实施,发布了《拟议规则预通知》(下称“《预通知》”)。本次行政法令及预通知可能对我国涉美医疗健康、生物科技、网联汽车、人工智能等企业产生影响。


受关注的国家名单:鉴于该行政命令属于对第13873号行政命令中“国家紧急状态”的范围延伸,美国司法部考虑参考上述国家范围确定“受关注国家”。目前,美国司法部在《预通知》中指明了6个“受关注国家”,即中国(包括香港和澳门)、俄罗斯、伊朗、朝鲜、古巴、委内瑞拉。但企业期望通过将敏感个人数据和美国政府相关数据从其他国家再传输至受关注国家,从而规避行政命令监管的行为,美国司法部拟采取更为严格的措施。


行政命令中受限制的数据类型包括:

  • 大量敏感个人数据(若进行规制,需达到一定量级):
  • 敏感个人数据包括:(1)受保护个人识别信息;(2)个人财务数据;(3)个人健康数据;(4)精确地理位置数据;(5)生物识别信息;(6)人类基因组数据。当前《预通知》涵盖的这些敏感个人数据类别较为笼统,并未涵盖美国其他州和联邦法律被视为敏感的多种类型的个人数据。
  • 政府相关数据:
  • (1)与某些军事、其他政府和其他敏感设施相关的列出的地理围栏区域中的地理位置数据(通过泄露有关这些位置以及与之相关的美国公民的信息可能会威胁国家安全);(2)与美国政府(包括军方和情报界)的现任或近期的前任雇员或承包商或前任高级官员有关联或可关联的敏感个人数据。


禁止和限制交易的数据类型:

“禁止交易”类型被明确认为会对美国国家安全构成不可接受的风险,包括:(1)数据经纪交易;(2)人类基因组数据交易。

“限制交易”类型属于对美国国家安全构成不可接受风险,但可通过适当安全措施减轻风险,包括:(1)供应商协议(包括但不限于技术服务协议和云服务协议);(2)劳动协议以及(3)投资协议。


豁免的交易情形:(1)涉及特定类型数据的数据交易;(2)涉及政府业务的数据交易;

(3)金融服务、支付处理和与法规遵从相关的交易;(4)企业内部业务运营相关交易;(5)联邦法律或国际协议规定或允许的交易。



企业邮件营销

邮件为企业常见的营销方式之一,在美国FTC已于2003年出台Controlling the Assault of Non-Solicited Pornography And Marketing Act of 2003(CAN-SPAM法案),赋予了收件人停止收取商业电子邮件的权利。一般而言,“商业电子邮件信息”一词是指以商业广告或商业产品或服务促销为主要目的的任何电子邮件信息(包括为商业目的运营的互联网网站上的内容)。若收件人没有拒绝接收该类电子邮件,该法案允许企业向任何收件人发送商业性电子邮件,但需要注意以下要点:


  • 请勿使用虚假或误导性的标题信息。企业在发送邮件时,“发件人”、“收件人”、“回复”和路由信息(包括发端域名及电子邮件地址)必须准确无误,且可以识别发起该邮件的个人或企业。


  • 不能使用欺骗性的主题,即主题必须准确反映邮件的内容。


  • 标明信息为广告。当企业发送邮件的时候,应当清楚、醒目地标明该信息为广告。


  • 告诉收件人如何退订企业发送的营销电子邮件,且信息必须包含清晰且显眼的解释,说明收件人如何选择不再接收企业发送的营销电子邮件,该通知的撰写方式应当为普通人容易识别、阅读和理解的方式。


  • 订阅者和会员也可以选择不接受营销电子邮件。虽然当前无须征得会员同意即可向他们发送营销电子邮件,但订阅者和会员仍然可以选择不接收营销电子邮件。


  • 及时满足退出请求。企业提供的任何退出机制都必须能够在企业发送消息后至少30天内处理退出请求。


  • 注意监管代理商发送的邮件。法律明确规定,即使企业聘请另一家公司来处理电子邮件营销,企业也不能通过签订合同来逃避其应当遵守法律的法律责任。在邮件中宣传产品的公司和实际发送邮件的公司都可能被追究法律责任。


违反个人信息保护责任

在美国,违反个人信息保护要求可能导致民事诉讼或行政处罚等法律责任,不同联邦法律或州法律对不同方面的法律责任各不相同,例如,违反HIPPA这一联邦法律的行为可能导致每年最高150万美元的处罚;


而CCPA对每次违规行为处以不超过2500美元的行政罚款,或对每次故意违规行为处以不超过7,500的行政罚款。若涉及该企业、服务提供商、承包商或其他人实际知晓的未满16周岁的消费者个人信息的违规行为,每次处以不超过7500美元的行政罚款,对于企业而言需要注意的是,上述罚款没有设定总处罚上限。此外,不少法律赋予消费者针对其个人信息侵权的诉讼权利,这可能导致受影响群体发起集体诉讼,从而引发高额民事赔偿。



结语

“欲知平直,则必准绳;欲知方圆,则必规矩。”当前,美国复杂且严格的数据合规体系对中国企业出海构成了显著挑战。这不仅增加了中国企业在数据管理和隐私保护方面的合规成本,也考验着它们对美国法律环境的理解与适应能力,特别是在跨境数据流动、消费者权利保护等方面,需投入更多资源以确保合规,避免潜在的法律风险和市场准入障碍。


声明:本文仅为交流探讨之目的,不代表广悦律师事务所或其律师出具的任何形式之法律意见或建议。如需转载或引用本文的任何内容,请与本所沟通授权事宜,并于转载或引用时注明出处。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。