2018年6月28日，美国加利福尼亚州议会在没有反对票的情况下，通过《2018加州消费者隐私法案》（California Consumer PrivacyAct of 2018/Assembly Bill No. 375）。该法案被称为美国“最严厉、最全面的个人隐私保护法案”，定于2020年1月1日生效。对此，包括脸书、谷歌、优步、亚马逊和微软等公司的游说团体反应激烈，抗议法案尚未进行充分的公开辩论。

　　一、法案推出背景

　　近期，脸书等公司的数据泄露事故加大了监管介入的压力。在脸书遭遇剑桥分析隐私门事件后，加州消费者隐私组织（Californians for Consumer Privacy）起草了限制个人信息收集的立法提案，并成功获得了60万加州公民署名。一旦提案通过审核并在全民投票过半数，民间法案无需加州议会通过便可直接生效。面对不利情形，科技公司游说立法者删除提案中对企业过于严苛的条款。加州议会于近期修改了隐私法案，并与加州消费者隐私组织达成放弃原始提案提交公投的协议。

　　二、法案主要内容

　　不同于既往美国针对特定行业或者特定隐私权事项的法案，加州隐私法案广泛适用于收集加州消费者个人信息的企业。法案赋予了消费者对公司收集和管理其个人信息更多的控制权，规范了企业收集处理数据的方式。

　　法案为消费者创建了访问权、删除权、知情权等一系列消费者隐私权利：访问权：消费者有权要求收集个人信息的企业向消费者披露其收集的信息类别和具体内容；删除权：消费者有权要求企业删除其所收集的任何个人信息；知情权：消费者有权知道其个人信息被卖去何处，企业必须发布有关消费者的个人信息如何被出售或披露以及披露给谁（或哪些第三方）的信息。

　　对此，企业需要根据消费者要求披露收集了哪些信息；根据消费者的要求删除相关数据；尊重消费者选择不出售个人数据的权利，不得通过拒绝给消费者提供商品或服务，或者对商品或者服务收取不同的价格或者费率的方式歧视消费者行使此项权利。

　　在罚则方面，企业违反隐私保护要求将面临支付给每位消费者最高750美元的赔偿金以及最高7500美元的民事处罚。

　　三、业内影响分析

　　其一，法案适用范围宽泛，许多企业恐将落入被规制对象。任何“收集消费者个人信息”的企业都必须遵守该法案。法案针对“企业”的定义非常广泛，不仅包括拥有在线和实体店的大公司，还包括任何可能会出于商业目的共享5万名或更多消费者、家庭或设备个人信息的小型实体，以及任何通过销售此类数据获得超过50％收入的企业。由于法案适用广泛，有的小型企业即便没有非常受欢迎的网站或应用，即便没有满足该定义中的收入门槛，也很容易落入本法案所界定的“企业”范畴中。

　　其二，法案将增加企业的经营成本，并面临可能的高额罚款违规成本。为了遵守该法案，公司将需要新的基础设施以满足消费者的要求，比如接到消费者确切的获取个人信息请求后应立即采取措施并向消费者免费披露和交付所需的个人信息，此外还必须做出其他努力，例如，该法案要求在企业的互联网主页上要有一个清晰而明显的链接，标题为“不要出售我的个人信息”，许多网站需调整版面设计。

　　其三，法案对消费者选择依法行使权利时，企业何时以及如何收费仍未明确，易造成企业执法上的无所适从。如果消费者根据该法案行使权利，企业不得向消费者收取不同的价格或提供不同质量的商品或服务，但事实上，若这种价格或质量的差异与消费者所提供数据的价值“合理相关（reasonably related）”，法案中并无明文规定企业不得收取不同的价格或提供不同质量的商品或服务。如果消费者行使其权利，企业能否收取不同的服务费用？“合理相关”意味着什么并未明确，未来或将借助诉讼明确释解。

　　其四，企业可为收集、销售和删除个人信息向消费者提供某些财务激励措施，可行性仍有待实践检验。企业可向消费者提供折扣，以换取他们对企业出售这些数据的许可，如果个人同意公司交易其信息，可获得经济利益，比如返券，折扣等，这让个人信息有了实质性财产权。企业推出的财务激励措施，须征得消费者的同意，消费者可随时撤销该选择。这些要求对消费者来说是有好处的，但是可行与否取决于公司的资源以及访问其商店或网站的消费者数量。

　　其五，该法案具有示范效应，或将被美国其他州或者域外借鉴，加重中国企业海外展业的个人信息保护责任。