文|石月信通院互联网法律研究中心高级研究员
魏儒淇信通院互联网法律研究中心实习生
2022年3月24日,美国犹他州州长SpencerJ.Cox正式签署《犹他州消费者隐私法》(UtahConsumerPrivacyAct,简称UCPA)。继加利福尼亚州、弗吉尼亚州和科罗拉多州之后,犹他州成为美国第四个颁布综合性消费者隐私法的州。UCPA在大量借鉴《弗吉尼亚州消费者数据保护法》(VirginiaConsumerDataProtectionAct,VCDPA)、《科罗拉多隐私法》(ColoradoPrivacyAct,CPA)以及《加州消费者隐私法》(CaliforniaConsumerPrivacyAct,CCPA)的基础上,采取了一种更为宽松且商业友好型的消费者隐私保护方案。本文拟对UCPA法案主要内容进行分析介绍,以供参考。
一、UCPA的主要内容
(一)法律适用范围
UCPA第13-61-102节第(1)条明确规定,该法案仅适用于符合以下条件的控制者或处理者:
“(a)(i)在本州开展业务;或(ii)生产针对本州居民消费者的产品或服务。
(b)年收入(Revenue)为$25,000,000及以上;并且
(c)达到以下一个或多个标准:(i)在一个日历年内,控制或处理100,000人及以上消费者的个人数据;或(ii)通过销售个人数据取得的收入占总收入的50%以上,并且控制或处理25,000人及以上消费者的个人数据。”[1]
由此可见,年收入门槛的设置意味着年收入在2500万美元以下的实体不会受到UCPA的管辖,而年收入高于2500万美元的实体也仅在同时满足上述(c)项所述条件之一的情况下才会受到UCPA的约束。相比之下,2500万美元的年收入门槛是CCPA适用于实体的独立条件,CPA和VCDPA均不包括基于收入的豁免,显然UCPA的适用范围比其他三个州隐私法更为狭窄。
在限缩了法案适用范围的前提下,UCPA还另行规定了豁免适用的诸多情形,包括实体层面的豁免和信息(information)层面的豁免。前者主要指政府、与政府有合同关系并代表其行事的第三方、高等教育机构、非营利组织等实体,此类实体并不落入UCPA的管辖范围;后者则主要指UCPA不适用于受《健康保险携带和责任法》(HealthInsurancePortabilityandAccountabilityAct)、《格雷姆-里奇-比利雷法》(Gramm-Leach-BlileyAct)、《公平信用报告法》(FairCreditReportingAct)、《驾驶员隐私保护法》(Driver’sPrivacyProtectionAct)、《家庭教育权利和隐私法》(FamilyEducationalRightsandPrivacyAct)以及《农业信贷法》(FarmCreditAct)等保护的信息。就业过程中处理或维护的数据,包括求职者数据,也不在UCPA的保护范围内。
值得注意的是,CCPA和CPA对“销售”的定义涵盖了以货币或其他有价值的对价(formoneyorothervaluableconsideration)而进行的交易,相比之下,UCPA将“销售”限定为控制者与第三方以可以用货币衡量的对价(monetaryconsideration)交换个人数据的行为,而未引入含义不明的“其他有价值的对价”这一概念。
除此以外,UCPA和VCDPA、CPA一样将符合特定情形的“披露个人数据”的行为排除在“销售”行为之外,例如向代表控制者处理个人数据的处理者披露、向控制者的关联方披露、为提供消费者要求的产品或服务而向第三方披露等,均不属于销售行为。除此之外,UCPA规定,如果结合消费者在向控制者提供个人数据时的情况,控制者向第三方披露个人数据的目的符合消费者的合理期待,亦不构成“销售”。
(三)控制者的义务
UCPA对控制者主要规定了以下几方面的义务:
二是建立、实施和维护旨在保护个人数据的保密性和完整性的合理的数据安全制度。
五是关于儿童个人数据保护。控制者在处理已知是13岁以下的儿童(aknownchild)的个人数据时,控制者应取得其父母或其他法定监护人的同意,并遵守《儿童在线隐私保护法》(Children"sOnlinePrivacyProtectionAct)的规定。
六是关于敏感数据处理的规则。根据UCPA,以下内容被视为敏感数据:(1)揭示个人的种族或民族血统、宗教信仰、性取向、公民身份或移民身份的个人数据,或有关个人病史、心理或身体健康状况或医疗保健专业人员的医疗或诊断的信息;(2)以识别特定个人为目的时处理的个人基因数据或生物特征数据;和(3)具体的地理位置数据。同时,UCPA还规定了敏感数据不包括由视频通信服务处理的揭示个人种族或民族血统的个人数据,以及根据《卫生保健设施许可和检查法》(HealthCareFacilityLicensingandInspectionAct)和《职业和专业》(OccupationsandProfessions)被许可提供医疗保健服务的人员处理的有关个人病史、心理或身体健康状况或医疗保健专业人员的医疗或诊断的信息。与其他数据隐私法一样,UCPA明确创建了围绕“敏感数据”的额外保护,控制者在处理敏感数据时必须“首先向该消费者提供明确的通知,并提供选择退出(opt-out)处理的机会”。
此外,与VCDPA和CPA不同,UCPA不包括对数据保护评估或进行网络安全审计或风险评估的要求。
(四)消费者的权利
UCPA为犹他州的消费者创设了访问权、删除权、数据可携带权以及决定退出某些处理的权利。具体要求包括:
一是消费者的访问权。法律的规定了消费者有权:(a)确认控制者是否正在处理消费者的个人数据;(b)获取消费者的个人数据。
二是消费者删除权。法律规定消费者有权删除其提供给控制者的个人数据。
三是消费者的可携带权。法律规定消费者可以以可携带且易于使用的格式获取消费者个人数据的副本,使消费者能够不受阻碍地将数据传输到另一个实体。
法律规定可以通过控制者规定的方式向控制者提交请求以行使权利,通常情况下,控制者应当在收到行使权利要求之日起45日内采取行动并告知对应的消费者,如果控制者决定不针对消费者的请求采取行为,亦应当在收到行使权利要求之日起45日内通知其不采取行动的理由,如需延长上述期限还应当通知消费者延期长度及合理理由。
值得注意的是,UCPA并未授予犹他州消费者纠正其个人数据不准确之处的纠正权,且未为消费者创设私人诉讼权。
(五)执法程序
二、对于UCPA的评价
从企业的角度出发,Foley&Lardner的合伙人JaredBraithwaite认为,法案并不会对企业造成太大的合规成本,他表示:“我不认为这项法案中有什么地方能让它成为一个例外或需要特殊考虑的东西。”但另一方面,也有人对法案表示失望,例如,《消费者报告》高级政策分析师MaureenMahoney认为,法案并没有保护公民的隐私权,它缺乏使其对消费者可行的关键要素,并且可能无法有效约束谷歌和脸书等科技巨头的隐私实践。
三、结语
UCPA将于2023年12月31日生效,其实施效果仍有待观察。但正如提案人KirkCullimore所言,该法案目前的形式只是一个起点。UCPA要求犹他州的消费者保护部门和司法部长在2025年7月1日前提交一份评估该法案的实施有效性的报告。