□ Sara Morrison

数十年来，无论是你的名字、地址，还是你的购物习惯，你的个人数据一直都属于一种商品。收集、购买、出售、共享、转让——无论企业通过以上哪种方式，他们总是能够获得关于个人的大量信息。企业以个人从未同意的方式使用它，有时甚至连你自己也没有意识到。企业因此而赚得盆满钵满，而你却没有办法阻止他们。

某种程度上，这种情况即将改变。

2018年6月28日，美国加利福尼亚州州长签署公布的数据隐私法案——《加利福尼亚州消费者隐私保护法案》（英文缩写：CCPA），已于2020年1月1日起正式施行。

该法案旨在改变企业在这个人口众多的州进行数据处理的方式，法案一经生效，包括谷歌和Facebook在内的科技公司将面临非常严格的隐私保护要求，包括披露其收集的关于消费者的个人信息的类别和具体要素、收集信息的来源、收集或出售信息的业务目的以及与之共享信息的第三方的类别等。

法案增加了透明度，即企业现在必须通知消费者，他们收集了哪些有关用户的个人信息，以及为什么要收集这些信息。一些公司可能会在全美范围内提供和加州人一样的选择退出和删除的权利，因此即便用户不住在加州，用户仍然可能从法律的某些要求中受益。

尽管如此，大多数专家和利益相关者表示，该法律远非完美。批评人士圣塔克拉拉大学法学院高科技法律研究所教授兼联席主任埃里克·戈德曼提出，这项法律将会损害必须遵守它的企业。据一份提交给州司法部长办公室的报告显示，遵守CCPA将花费企业550亿美元的初始费用。

如果用户想利用用户的权利，用户首先要知道它们是什么。该法律的简介明确列出了以下五项权利。

一是加州人有权知道关于他们的什么信息正在被收集

这意味着，企业必须在收集用户的个人信息之前或在收集这些信息时就告知用户。

事实上，媒体公司Vox Media将在其隐私政策中告诉用户，在过去12个月内，他们已经从用户那里收集了几类个人信息，其中包括姓名、电子邮件地址和人口统计数据等。它还涉及了政策中的另一个部分，该部分详细描述了当用户接受Vox Media的服务时所自动收集的信息，比如用户正在Vox Media的某个网站上阅读一篇文章，那么包括用户的IP地址和位置等信息将会被自动收集。

这也具有一定的局限性，潜在问题在于CCPA对“个人信息”的定义过于广泛，从显而易见的(用户的名字)到不那么明显的(用户的互联网浏览历史记录)都属于“个人信息”。对相关信息的强保护通常对消费者来说是好事，但这也给企业监控和统计一些数据带来了巨大的监管难度。

“并非所有的数据都是平等的，因此不应该以同样的方式进行监管。”Quantcast首席隐私官阿里·利文菲尔德表示，“数据属于敏感范围，从个人身份信息(如姓名和电子邮件地址)到不太敏感的信息(如cookie ID和IP地址等），利用或滥用不同类型数据的影响是完全不同的，因此旨在降低隐私泄露风险的法规应该注意区别这些细微的差别。”

二是加州人有权知道他们的个人信息是否被出售以及出售给了谁

这意味着，一旦用户提出要求，企业必须将共享用户个人信息的第三方公司类别告知给用户。同时，用户也有权要求公司删除其个人信息，并禁止出售。

事实上，用户有权向Vox Media询问其个人信息被披露给了哪些第三方，用户可以通过发送电子邮件或在线提交请求的方式来进行询问。

该权利的局限性在于，关于CCPA的这一部分，一些批评人士认为其在保护用户隐私方面做得不够。斯坦福大学法学院互联网与社会中心隐私部主任珍妮弗·金认为，“用户必须自己采取行动，才能有效保护个人信息，了解企业正在收集哪些数据并出售给哪些公司。”

“如果我们继续以这种‘个人消费者必须自己做出所有这些选择’的方式立法，那么，在这个复杂的生态系统中，驾驭这些选择的责任将完全落在用户的肩上，这些法律也只会在一定程度上发挥作用。”珍妮弗·金补充道，“我不会完全批判这项法律，毕竟它很重要，它是一个起点。”

CCPA也可能给企业带来一些问题，因为其中的一些规定含糊不清。例如，Facebook销售基于Pixel服务的广告，Pixel服务是企业在其网站上放置的一行代码，用于跟踪用户的行为，并将其链接到用户的Facebook账户。棘手的是，Facebook并不出售Pixel收集的数据，然而却从这些数据中获利，这能算是一笔交易吗？

对此，数据处理公司LiveRamp总裁兼产品主管安妮卡·古普塔表示，一些企业对如何解读CCPA感到困惑。“例如，用户和企业均不清楚‘销售数据’的确切定义是什么。”

三是加州人有权对出售个人信息的行为说“不！”

这意味着，企业必须给用户提供选择的途径，选择是否将个人信息出售或共享给广告商或第三方公司，且一旦用户选择拒绝，企业必须满足用户的要求。

事实上，Vox Media提供了两种选择“拒绝”的途径。用户可以将请求通过电子邮件发送到vmprivacy@voxmedia.com，或单击站点页脚中的一个链接，上面写着“不要出售我的信息”。然后，用户将被重新定向到要求披露一些个人信息的联系表，讽刺地说，就是Vox Media必须知道用户的真实身份才能满足用户的要求。

这一规定存在的潜在问题在于，用户可以明确告知企业不希望其出售个人数据，但是没有办法选择拒绝企业收集其个人数据。这也意味着像Google和Facebook这样的“数据收集之王”基本上可以继续如此操作，即使该法律原本就是要限制这两家公司收集用户个人数据的行为。

“CCPA的初衷是限制数据经纪人和其他销售客户数据的公司。”新罕布什尔大学富兰克林·皮尔斯法律与技术中心教授罗杰·福特提到，“然而，更大的问题来自于CCPA无法限制一些公司无需买卖任何数据即可收集和使用有关消费者的个人信息的方式。”

四加州人有权获取自己的个人信息

这意味着，企业必须提供各种方式，让用户索取其被收集到的个人信息的副本，且企业必须在用户提出要求后45天内免费提供。用户有权知道企业收集的个人信息的类型(例如:姓名、电子邮件或位置)、来自何处、为何收集、与之共享信息的第三方的类别以及收集的具体信息片段等。同时，用户也可以要求企业删除这些个人信息。

目前，一些企业仍在试图加大验证这些用户请求的难度。安妮卡·古普塔表示，“用户应该提供一系列信息来验证他们的个人身份(如姓名、地址、电话号码、电子邮件、身份验证材料等)，企业需要对其个人信息进行大量的验证。”

五是加州人享有同等服务和价格的权利，即使其行使隐私权

这意味着，如果用户行使新法律规定的隐私权，商家不能向其收取额外费用或拒绝为其提供服务。

事实上，Vox Media的服务政策中包括“不受歧视的权利”，以及一个“财务激励”部分，称可能会为客户的个人信息付费。

法律一旦生效，就必须执行。

在某些情况下，用户可以起诉企业侵犯隐私，但前提是企业的安全措施不够，导致用户的信息被泄露，而且这些信息只涵盖最敏感的信息，比如身份证号码、信用卡或健康信息等。包括美国公民自由联盟和电子前沿基金会在内的隐私权倡导者一致认为，CCPA做得还不够。

罗杰·福特认为，“目前还不清楚该法案的执行情况如何。消费者只能就数据泄露提起诉讼，这是一个相当小的隐私问题类别。国家对法律其余部分的执行可能有助于将执法重点放在真正的隐私问题上，而不是技术违规，但这也可能给法律的执行力度带来困难。”

事实上，CCPA的意义并不在于法律本身，而是它所启发的精神。在立法方面，加州往往是全美潮流的引领者。其他各州也开始着手探究隐私方面的立法，已有几项数据隐私法案正在向联邦政府提交。

“虽然CCPA并不完美，但它确实提供了在技术时代关于隐私保护的一个初步框架。”阿里·利文菲尔德认为，“这是美国首部关于隐私的法案，它将在未来引发更为全面的监管。”

阿拉斯泰尔·麦克塔格特现在正在为一项名为《加州隐私权法案》的2020年投票倡议征集签名，以填补他认为CCPA尚未涉及的空白。他认为，“在任何时候，消费者都必须被赋予更大的权力来控制其个人信息——不仅是CCPA所监管的数据销售，还有我们最敏感的个人信息使用。”

（孟佳惠译）