CCPA（加州消费者隐私法案）#

2019 年 1 月，一个名叫「不要出售我的个人信息」（Do Not Sell My Personal Information）的按钮出现在数十万个网站底部。这个按钮源于同年生效的加州消费者隐私法案（CCPA）的强制要求。三年后的 2023 年，这个按钮变得更加重要——因为加州隐私权法案（CPRA）修正案正式生效，对 CCPA 进行了全面升级。

如果说 GDPR 代表了欧盟对数据隐私的最高要求，那么 CCPA/CPRA 则代表了美国各州立法的方向。由于加州 GDP 位居全球第五、拥有超过 3900 万人口、聚集了大量科技企业，加州的隐私法规往往成为美国事实上的国家标准。

#CCPA 的背景与适用范围

#立法背景

CCPA 于 2018 年通过，2019 年 1 月 1 日生效。2020 年，加州通过了 CPRA 对 CCPA 的修正案，CPRA 部分条款于 2023 年 1 月 1 日生效。

CCPA/CPRA 的立法背景有几个关键驱动因素：大型科技公司的数据泄露事件频发；消费者对数据收集和使用的不信任加剧；现有消费者保护法规无法覆盖数字时代的数据隐私问题。

#适用范围

CCPA/CPRA 适用于符合以下条件的企业：

营业额门槛：企业年总收入超过 2500 万美元。

数据处理门槛：企业单独或综合处理超过 10 万加州居民/家庭个人信息，或。

数据销售门槛：企业出售或共享（share）加州居民个人信息以获取对价。

这三个条件满足任意一个即受 CCPA 约束。「出售个人信息」的定义非常宽泛，包括以对价交换个人信息的行为，也包括某些共享行为。

#个人信息的定义

CCPA 中「个人信息」的定义非常广泛，包括任何直接或间接识别、关联、描述、能够与特定消费者或家庭相关联的信息。包括但不限于：真实姓名、地址、身份证号、IP 地址、cookie 标识符、浏览记录、购买历史、生物特征信息、教育信息、专业信息、工作信息。

CPRA 新增了「敏感个人信息」（Sensitive Personal Information, SPI）类别，包括：社会安全号、驾驶执照、宗教信仰、精确地理位置、邮件内容、基因数据、性取向信息。

#CCPA 与 CPRA 的关系

CPRA 对 CCPA 进行了重要修正：

CPRA 还设立了「消费者隐私权保护局」（California Privacy Protection Agency, CPPA），专门负责执行 CCPA/CPRA，违者将面临更严格的执法。

#消费者的权利

CCPA/CPRA 赋予加州消费者以下权利：

#知情权

消费者有权了解企业收集的个人信息类别、来源、使用目的、与第三方的共享情况。具体包括：

• 收集的个人信息类别
• 信息收集的来源类别
• 信息收集的业务或商业目的
• 与之共享信息的第三方类别
• 过去 12 个月内的具体收集示例

#删除权

消费者有权要求企业删除其收集的个人信息。存在若干例外：安全检测、防止作弊、调试、履行法律义务、履行承诺、进行研究、消费者预期的服务、消费者同意的其他用途。

#选择退出权

消费者有权选择退出企业出售或共享���个人信息。企业必须在网站首页设置明显的「不要出售或共享我的个人信息」链接。

#不受歧视权

企业不得因消费者行使 CCPA 权利而歧视消费者，包括：拒绝提供服务、提供不同质量的服务、收取不同价格。但企业可以提供财务激励，只要消费者知情并同意。

CPRA 新增的权利：

#更正权

消费者有权要求企业更正其不准确的个人信息。

#限制敏感个人信息使用权

消费者有权限制企业使用其敏感个人信息用于特定目的（如广告定向）。

#企业的义务

#隐私声明义务

企业必须在网站隐私声明中披露：过去 12 个月收集的个人信息类别、收集目的、信息来源、信息共享对象、业务目的。

隐私声明必须使用通俗易懂的语言，避免法律术语的堆砌。

#选择退出机制

企业必须提供简单的方式让消费者行使选择退出权。这个机制必须：

• 在消费者请求后立即生效（不要设置额外的确认步骤）
• 在网站每个页面底部设置明显链接
• 不要求消费者创建账户才能行使退出权
• 支持浏览器级别的退出信号（Global Privacy Control）

#响应时限

企业必须在收到可验证消费者请求后 45 天内 响应。复杂请求可延长 15 天，但必须提前告知消费者。

#数据清单

如果企业收集敏感个人信息，必须披露：收集的 SPI 类别、使用目的、是否出售或共享 SPI。

#「出售」个人信息的定义

CCPA 中「出售」的定义比传统理解宽泛得多，包括：

• 以对价交换个人信息
• 以对价向第三方共享个人信息
• 某些不以对价为条件但可能被视为「共享」的行为

广告技术领域是 CCPA 执行的重点。定向广告、DSP、SSP 都可能涉及个人信息「出售」。

「共享」是 CPRA 新增的概念，专门针对基于跨上下文行为广告（cross-context behavioral advertising）共享信息的行为。

#CCPA 与 GDPR 的主要差异

最大的差异在于「同意」模式：GDPR 要求处理前必须获取明确同意（Opt-in），而 CCPA 采用选择退出模式（Opt-out）。这意味着 CCPA 框架下，企业默认可以收集和使用数据，消费者需要主动行使退出权。

#CCPA 的执法与罚款

#执法机构

加州司法部长（Attorney General）是 CCPA 的主要执法机构。CPRA 新增的消费者隐私保护局（CPPA）具有独立执法权。

#违规处罚

故意违规或涉及儿童数据的违规，罚款可达 7500 美元/次。非故意违规，罚款可达 2500 美元/次。

#私诉权

CCPA 给予消费者有限的私诉权。当企业因未能实施「合理安全措施」导致个人信息泄露时，消费者可以提起诉讼。

每次恶意泄露，赔偿 100-750 美元/消费者，或实际损失（取较高者）。在司法部长介入前，消费者团体诉讼的最高赔偿额为 750 万美元。

#真实案例

2023 年，Sephora 因向第三方出售个人信息，被加州司法部长罚款 120 万美元，成为 CCPA 执法第一案。该案确立了广告技术领域的「出售」认定标准。

#合规实施建议

#隐私声明的更新

更新隐私声明以满足 CCPA 披露要求：过去 12 个月的数据实践、数据收集类别和目的、「不要出售或共享」链接。

#选择退出机制

部署选择退出机制，包括：网站底部链接、API 支持、浏览器信号支持。确保机制在消费者请求后立即生效。

#数据映射

了解企业收集、存储、共享的个人信息，建立数据流图。这是响应消费者请求的基础。

#员工培训

确保面向消费者的员工了解 CCPA 消费者权利，能够正确引导消费者行使权利。

#合同审查

审查与第三方的数据共享协议，确保合同条款符合 CCPA 要求，包括通知义务、数据保护义务。

#思考题

问题 1：一家电商平台的服务器位于北京，业务面向全美用户加州用户占比 15%，年营收 500 万美元，总营收（含非加州用户）约 800 万美元。请问该公司是否受 CCPA 约束？

参考答案

需要逐一检查 CCPA 的三个门槛条件：

年总收入：800 万美元 < 2500 万美元，不满足。 数据处理数量：需要评估是否处理超过 10 万加州用户数据。如果加州用户 15% 对应约 120 万用户，则超过门槛。如果用户量不足 10 万，则不满足。 数据销售：需要评估是否有出售或共享加州用户信息以获取对价。

结论：取决于加州用户数量和数据处理方式。如果加州用户超过 10 万，即使总收入不足门槛，仍受 CCPA 约束。这提示我们，CCPA 的门槛是「或」的关系，满足任一条件即受约束。建议进行完整的范围评估。

问题 2：企业网站同时面向欧盟用户和美国用户，如何设计统一的隐私合规框架同时满足 GDPR 和 CCPA？

参考答案

建议采用「就高原则」——以更严格的 GDPR 要求为基准，辅以 CCPA 的补充要求：

同意机制：采用 GDPR 的 Opt-in 模式作为默认值。欧盟用户需要明确同意，美国用户也通过同一机制同意（因为 Opt-in 同样满足 CCPA 的选择退出）。

消费者权利响应：实现 GDPR 的完整权利集（访问、更正、删除、限制、可携带、拒绝）。这会自动覆盖 CCPA 的核心权利要求。

隐私声明：合并两套要求，用清晰的语言披露：数据收集类别、用途、共享对象、各地区特有的权利和联系方式。

数据处理记录（ROPA）：同时记录 GDPR 的数据处理活动，满足两套法规的文档要求。

跨境传输：如果涉及欧盟→美国数据传输，需要签署 SCC。CCPA 对跨境传输无特殊要求。

技术实现：一次设计，同时满足两套要求，避免维护两套独立系统带来的管理复杂度。