丁道勤：北京航空航天大学工业和信息化法治战略研究院研究员，中国互联网协会互联网法治工作委员会委员，法学博士后。主要从事数据保护、网络竞争、电子商务、网络信息安全等领域的法律政策研究工作。曾在《法律科学》《法学》《中国软科学》《知识产权》等专业期刊上发表学术论文几十篇，并有多篇文章被《中国社会科学文摘》和中国人民大学复印报刊资料《民商法学卷》和《经济法学卷》等权威期刊全文转载。

姜文：陕西省法学会人工智能与大数据法学研究会研究员，毕业于中国人民大学法学院，长期从事个人信息保护、数据安全等研究。

本书重点选取了2018年以来（后“GDPR”时代）九个重点国家和地区的个人数据和隐私保护立法，集中进行了翻译和整理，旨在为国内个人信息保护带来更多域外立法视角，以期为后续的立法研究和数据合规落地提供便利和有益参考。愿本书能为从事数据保护研究与合规工作的同仁们带来*新的全球法律观察。

一、美国加利福尼亚州2020年《隐私权法》(CPRA)

目录

第1条：标题

第2条：调查结果和声明

第3条：目的和意图

A 消费者权利

B 企业责任

C 法律的实施

第4条：收集个人信息的企业的一般责任

第5条：消费者删除个人信息的权利

第6条：消费者更正不准确个人信息的权利

第7条：消费者有权知晓正在收集的个人信息。个人信息查阅权

第8条：消费者有权知道出售或共享的个人信息以及向谁出售或共享

第9条：消费者选择退出出售或共享个人信息的权利

第10条：消费者限制使用和披露敏感个人信息的权利

第11条：消费者选择退出或者行使其他权利后免于报复的权利

第12条：通知、披露、更正和删除要求

第13条：出售、共享和使用个人信息以及使用敏感个人信息的限制方法

第14条：定义

第15条：豁免

第16条：个人信息安全泄露

第17条：行政执法

第18条：消费者隐私基金

第19条：冲突条款

第20条：优先

第21条：细则

第22条：防止规避

第23条：弃权

第24条：建立加利福尼亚州隐私保护局

第25条：修改

第26条：可分割性

第27条：相互冲突的倡议

第28条：诉讼资格

第29条：解释

第30条：保留条款

第31节：生效和执行日期

第1条标题

本措施应被称为并可被引用为《2020年加利福尼亚州隐私权法》。

第2条调查结果和声明

加利福尼亚州居民特此发现并宣布以下全部内容：

A. 1972年，加州选民修改《加州宪法》，将隐私权列入所有人“不可剥夺”的权利之列。当代社会数据收集和使用行为不断增长，导致个人自由和安全侵权现象加剧，为此，加州选民采取行动。该修正案为每位加州居民确立了一项合法且可执行的宪法性隐私权。这项隐私权的基础是个人具有控制其个人信息使用(包括出售)的能力。

B 加州选民批准宪法性隐私权以来，加州立法机关引入了多项保护加州选民隐私的具体机制，包括《在线隐私保护法》《数字世界下的加州未成年人隐私权法》和《照亮》(“Shine the Light”)。但是，消费者仍然无权了解企业收集了哪些关于他们的个人信息以及其是如何使用这些信息的，也无权指挥企业不要出售消费者的个人信息。

C 改变发生在2018年。当时，超过62 9万名加州选民签署请愿书，为《2018年加州消费者隐私法》争取投票资格。争取投票资格的回应是，立法机关随即将《2018年加州消费者隐私法》(CCPA)上升为法律。CCPA赋予加州消费者了解企业收集到的消费者信息的权利，要求企业删除消费者的个人信息，阻止企业出售消费者的个人信息，包括阻止企业追踪并利用消费者网站间的浏览行为信息并向消费者定向投放广告，以及追究没有采取个人信息保护措施的企业的责任。

D 立法机关甚至还在2019年CCPA生效之前审议了诸多CCPA修改法案，其中一些法案将显著削弱CCPA。如果加州选民不采取行动，未来立法可能会破坏消费者得之不易的权利。

E 加利福尼亚州应逐步加强隐私权，而非淡化隐私权。许多企业收集、使用消费者个人信息，很多时候，消费者并不知道企业在使用和留存其个人信息。实践中，消费者经常签订此类合同协议，消费者以其关注或个人信息为交换，获得某种商品或服务，而无须支付金钱。消费者用来交换商品或服务的个人信息的价值往往是不透明的，其价值取决于企业实践，因此，消费者往往不具备良好的交易价值评估办法。同时，合同约定或政策条款中列明的安排往往是复杂而不明确的，导致大多数消费者缺乏阅读或理解时间。

F 这种信息不对称导致消费者难以理解他们交换出去的是什么，从而难以与企业进行有效谈判。不同于消费者可以进行比较购物或一眼就能判断某项商品或服务是昂贵的还是负担得起的其他经济领域，消费者很难知道消费者信息在某个特定企业那里的价值，因为各个企业的数据使用实践差别很大。

G 因此，国家有必要制定法律，使消费者能够更充分地了解他们的信息是如何被使用的以及被用于何种目的。就像食品包装上的原材料标签能帮助消费者更有效地购物一样，数据管理实践的相关披露也可以帮助消费者在数字经济中获得更多信息，从而促进竞争。此外，如果消费者可以直接告诉企业不得出售数据，那么消费者就不必在隐私政策中费力查找企业有无出售数据(事实上，企业都会这么做)，因此节省下来的时间总体上是非常可观的。

H 消费者需要更强有力的法律，使他们在与企业谈判时能够获得更平等的地位，以保护他们的权利。消费者应有权得到关于其个人信息用途的明细解释包括信息是如何用于广告的，有权控制、纠正或删除这些信息包括允许消费者限制企业使用其敏感个人信息以助于防范身份盗窃，有权选择不出售、不分享其个人信息，并有权要求企业纠正与他们有关的不准确信息。

I 加州在许多重塑人类社会的新技术上引领世界。一个没有互联网这一最重大的人类发明以及基于互联网而产生的新型服务和新型业务的世界是无法想象的，而其中有许多就是在加州这里被发明的。互联网最成功的商业模式之一就是依靠广告赚钱的服务，和向消费者收取费用的服务形成鲜明对比。以广告为支撑的服务已经存在了好几代，对消费者和企业来说都是一个很好的模式。然而，如今有一些广告企业利用对消费者不透明的技术和工具，大量收集和交易个人信息，全网追踪消费者，对消费者个人兴趣建立详细档案。一些不向消费者收取费用的公司，将消费者的个人信息商业化，以贴补企业服务。消费者应该具备必要的信息和工具，将他们的信息使用限制在非侵入性的隐私广告中，意即消费者可以选择他们的个人信息不被出售或分享给数百家他们从未听说过的企业。如果没有这些工具，消费者基本不可能真正理解他们在与形形色色的企业互动时所签订的合同。

J 从谈判来看，儿童的隐私权尤其脆弱。家长应具备能够控制其年幼子女的哪些相关信息被收集和出售或分享的能力，并有权要求公司删除收集其子女的相关信息。

K 企业还应该就数据安全泄露向消费者承担直接责任，还应在牵涉到消费者最敏感的信息时通知消费者。

L 一个以保护消费者隐私为使命的独立监察机构，应该确保企业和消费者充分了解自己的权利和义务，并对侵犯消费者隐私权的企业严格执法。

第3条目的和意图

出于进一步保护消费者权利包括宪法规定的隐私权的目的和意图，加利福尼亚州居民制定本法。本法的实施应遵循以下原则：

A 消费者权利

1 消费者应该知道谁在收集他们及其子女的个人信息、这些信息是如何被使用的以及这些信息的披露对象是谁，掌握必要的信息之后，消费者方可对企业使用他们及其子女的个人信息进行有意义的控制。

2 消费者应该能够控制其个人信息的使用，包括限制其敏感个人信息的使用，未经授权使用或披露敏感个人信息给消费者带来伤害的风险更大，消费者应有权对如何收集、使用和披露这些信息做出有意义的选择。

3 消费者应该能够查阅自己的个人信息，并且应该能够更正、删除这些信息，并且能够把这些信息从一个企业带到另一个企业。

4 消费者或其授权代理人应能通过易于获取的自助工具行使上述选择权。

5 消费者行使这些权利时，不应受到惩罚。

6 消费者应该能够要求没有对黑客侵犯和安全泄露采取合理防范措施以保护消费者最敏感的个人信息的企业承担责任。

7 消费者应该从企业对其个人信息的使用中获益。

8 考虑到雇员或独立承包商与企业的关系不同于消费者与企业的关系，雇员和独立承包商的隐私利益也应得到保护。此外，本法无意干涉《国家劳动关系法》规定的组织和集体谈判权。该法的目的和意图是将本标题关于雇员和企业的通信的豁免延长至2023年1月1日。

B 企业责任

1 企业应具体、明确告知消费者其如何收集和使用个人信息，以及消费者如何行使权利和选择。

2 企业收集消费者个人信息只能出于具体的、明确的、合法披露的目的，不得以与这些目的不兼容的理由进一步收集、使用或披露消费者的个人信息。

3 企业应仅限在与收集、使用和共享个人信息的目的相关的必要限度内，收集消费者的个人信息。

4 企业应向消费者或其授权代理人提供易于获取的方式，使消费者及其子女能够获取其个人信息，能够删除或更正其个人信息，能够选择不在商业平台、服务、业务和设备之间出售和共享其个人信息，并限制其敏感个人信息的使用。

5 企业不得因消费者行使这些权利而对其进行惩罚。

6 企业应采取合理的防范措施，保护消费者的个人信息免于安全漏洞。

7 当企业侵犯消费者的隐私权时，应追究其责任；当侵权行为影响到儿童时，应加重处罚。

C 法律的实施

1 应以强化消费者隐私保护为目标，落实消费者权利和企业责任，同时对企业和创新产生的影响给予关注。消费者隐私保护与有益新产品和服务的开发二者目标并不必然互斥。强有力的消费者隐私权会激发创新和开发的隐私保护新产品的动力。

2 企业和消费者应该能够获得关于其责任和权利的明确指导。

3 法律应该能够让消费者在与企业就消费者个人信息的商业使用的谈判中处于知情、自由的地位。

4 法律应根据技术变化进行调整，帮助消费者行使权利，并协助企业遵守加强消费者隐私保护这一持续性目标。

5 法律应使消费者能够获得新的产品和服务，并提升企业的执行有效性，但前提是修正案不损害或削弱消费者隐私。

6 如有必要，应修改法律以改善其运作，但前提是修改后的法律不损害或削弱消费者隐私，同时对商业和创新产生的影响给予关注。

7 应通过严格的行政与民事执法，追究企业的违法责任。

8 在促进消费者隐私和企业合规的限度内，本法应与其他司法辖区内的隐私法保持一致。

一、美国加利福尼亚州2020年《隐私权法》(CPRA)

二、美国弗吉尼亚州2021年《消费者数据保护法》

三、英国2018年《数据保护法》

四、澳大利亚1988年《隐私权法》(2020年修正案)

五、新西兰2020年《隐私法案》

六、日本2017年《个人信息保护法》与2020年修正案

七、泰国2019年《个人数据保护法》

八、韩国2020年《个人信息保护法》

九、新加坡2020年《个人数据保护法》

译后记