编者按:
围绕着美国方面的个人信息保护立法,本公号发表了以下文章:
2月18日,《消费者数据保护法》(Virginia Consumer Data Protection Act,CDPA)已在美国弗吉尼亚州议会参议院和众议院通过,可能成为美国州层面颁布的第二部全面的消费者隐私法案。目前,该法案的最终通过,还需要州长的签字。也就是说,在3月1日本届州议会会议结束之前,还需要完成参议院的三读和众议院的两读。如果CDPA在本届州议会会议期间到达弗吉尼亚州州长手中,他将有七天时间批准、修改或否决该法案。如果他不采取任何行动,根据弗吉尼亚州宪法,该法案将在七天结束时成为法律。按照CDPA文本,该法案在2023年1月1日生效。这一天也恰好是加州隐私权利法案(CPRA)的执行日期,该法案对加州消费者隐私法案(CCPA)进行了实质性修订。公号君将在接下来的系列文章中,分专题系统地比较CDPA、CPRA,以及美国华盛顿州正在审议过程中的《华盛顿州隐私法案》(the Washington privacy act),以为我国《个人信息保护法》立法提供些许参考。
弗吉尼亚州的CDPA
该法案中对“个人数据交易”和“画像分析”的定义如下:
1. The disclosure of personal data to a processor that processes the personal data on behalf of the controller;
2. The disclosure of personal data to a third party for purposes of providing a product or service requested by the consumer;
3. The disclosure or transfer of personal data to an affiliate of the controller;
4. The disclosure of information that the consumer (i) intentionally made available to the general public via a channel of mass media and (ii) did not restrict to a specific audience; or
5. The disclosure or transfer of personal data to a third party as an asset that is part of a merger, acquisition, bankruptcy, or other transaction in which the third party assumes control of all or part of the controller's assets.
"出售个人数据"是指控制者为了金钱代价向第三方交换个人数据。"个人数据的出售 "不包括
1. 将个人数据披露给代表控制者处理个人数据的处理者。
2. 为提供消费者要求的产品或服务而向第三方披露个人数据。
3. 向控制者的关联公司披露或转移个人数据。
4. 披露消费者(i)已经自行通过大众媒体渠道向公众提供的信息,且(ii)不限于特定的受众;或
5. 作为合并、收购、破产或其他交易的一部分,向第三方披露或转让个人数据,使第三方获得对控制者全部或部分资产的控制权。
"Profiling" means any form of automated processing performed on personal data to evaluate, analyze, or predict personal aspects related to an identified or identifiable natural person's economic situation, health, personal preferences, interests, reliability, behavior, location, or movements.
"画像分析"是指对个人数据进行的任何形式的自动处理,以评估、分析或预测与已识别或可识别的自然人的经济状况、健康、个人偏好、兴趣、可靠性、行为、位置或移动有关的个人方面。
华盛顿州的WPA
该法案中对“个人数据交易”和“画像分析”的定义如下:
(b) "Sale" does not include the following: (i) The disclosure of personal data to a processor who processes the personal data on behalf of the controller; (ii) the disclosure of personal data to a third party with whom the consumer has a direct relationship for purposes of providing a product or service requested by the consumer; (iii) the disclosure or transfer of personal data to an affiliate of the controller; (iv) the disclosure of information that the consumer (A) intentionally made available to the general public via a channel of mass media, and (B) did not restrict to a specific audience; or (v) the disclosure or transfer of personal data to a third party as an asset that is part of a merger, acquisition, bankruptcy, or other transaction in which the third party assumes control of all or part of the controller's assets.
(a) "出售"、"卖出 "或 "售出 "是指控制者以货币或其他有价值的代价向第三方交换个人数据。
(b) "出售 "不包括以下情况。(i)向代表控制者处理个人数据的处理者披露个人数据;(ii)为提供消费者要求的产品或服务而向与消费者有直接关系的第三方披露个人数据;(iii)向控制者的关联公司披露或转让个人数据。(iv)披露消费者(A)已经自行通过大众媒体渠道向公众提供的信息,以及(B)不限制向特定受众提供的信息;或(v)向第三方披露或转让个人数据,作为合并、收购、破产或其他交易的一部分资产,其中第三方获得控制人全部或部分资产的控制权。
"Profiling" means any form of automated processing of personal data to evaluate, analyze, or predict personal aspects concerning an identified or identifiable natural person's economic situation, health, personal preferences, interests, reliability, behavior, location, or movements.
"画像分析"是指对个人数据进行的任何形式的自动处理,以评估、分析或预测与已识别或可识别的自然人的经济状况、健康、个人偏好、兴趣、可靠性、行为、位置或移动有关的个人方面。
加州的CPRA
该法案中对“个人数据交易”和“画像分析”的定义如下:
For purposes of this title, a business does not sell personal information when:
(A) A consumer uses or directs the business to: (i) intentionally disclose personal information; or (ii) intentionally interact with a one or more third party parties;,
(B) The business uses or shares an identifier for a consumer who has opted out of the sale of the consumer’s personal information or limited the use of the consumer’s sensitive personal information for the purposes of alerting persons that the consumer has opted out of the sale of the consumer’s personal information or limited the use of the consumer’s sensitive personal information.; or
(C) The business transfers to a third party the personal information of a consumer as an asset that is part of a merger, acquisition, bankruptcy, or other transaction in which the third party assumes control of all or part of the business, provided that Information is used or shared consistently with this title. If a third party materially alters how it uses or shares the personal information of a consumer in a manner that is materially inconsistent with the promises made at the time of collection, it shall provide prior notice of the new or changed practice to the consumer, The notice shall be sufficiently prominent and robust to ensure that existing consumers can easily exercise their choices consistently with this title. This subparagraph does not authorize a business to make material, retroactive privacy policy changes or make other changes in their privacy policy in a manner that would violate the Unfair and Deceptive Practices Act (Chapter 5 (commencing with Section 17200) of Part 2 of Division 7 of the Business and Professions Code).
"卖出"、"出售"或 "售出"是指企业将消费者的个人信息以货币或其他有价值的代价出售、出租、释放、披露、传播、提供、转让或以其他方式以口头、书面、电子或其他方式告知第三方。
就本法而言,在以下情况下,企业不是出售个人信息:
(A)消费者使用或指示该企业:(i)以披露个人信息;或(ii)故意与一个或多个第三方当事人互动;
(B)企业使用或分享已选择不出售个人信息的消费者的,或限制使用敏感个人信息的消费者的身份识别符,以提醒有关人员注意该消费者已选择不出售个人信息或限制使用敏感个人信息;或
(C)企业将消费者的个人信息作为资产转让给第三方,作为合并、收购、破产或其他交易的一部分,在这些交易中,第三方取得了对企业的全部或部分控制权,但信息的使用或共享应与本法一致。如果第三方在实质上改变了消费者个人信息的使用或分享,而这种改变与信息收集时对消费者所作的承诺有实质上的不一致,则应事先将新的或改变后的做法通知消费者,该通知应足够醒目和有力,以确保现有的消费者可以很容易地行使与本法一致的选择。本项并不授权企业以违反《不公平和欺骗性行为法》(《商业和职业法典》第7部第2部分第5章(从第17200条开始))的方式对其隐私政策进行实质性的、追溯性的改变或对其隐私政策进行其他改变。
“Profiling” means any form of automated processing of personal information, as further defined by regulations pursuant to paragraph (16) of subdivision (a) of Section 1798.185, to evaluate certain personal aspects relating to a natural person, and in particular to analyze or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behavior, location or movements.
"画像分析"是指根据第1798.185条(a)项第(16)款的规定进一步界定的对个人信息的任何形式的自动处理,以评估与自然人有关的某些个人方面,特别是分析或预测与该自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、行为、地点或行动有关的方面。
简要分析
1、基本上美国成熟的州法都把出售个人信息的内核,放在以金钱或其他有价值的代价共享个人信息。
2、这三部州法实际上还界定了不以金钱或其他有价值的代价共享个人信息的情况,一是:将个人数据披露给代表控制者处理个人数据的处理者。二是:为提供消费者要求的产品或服务而向第三方披露个人数据。三是:向控制者的关联公司披露或转移个人数据。
这三种情况在《个人信息安全规范》的术语体系中,第一种情况称为委托处理;第二、三种情况称为共享。
3、至于“向第三方披露或转让个人数据,作为合并、收购、破产或其他交易的一部分资产,其中第三方获得控制人全部或部分资产的控制权”,三部州法均不将此作为出售个人信息。在《个人信息安全规范》的术语体系中,此种情况也做了单独规范。
4、弗州和华州法律中提出“披露消费者(A)已经自主通过大众媒体渠道向公众提供的信息,以及(B)不限制向特定受众提供的信息”,并将此种情况排除在出售个人信息之外。其实就是消费者已经自主公开披露的信息,企业收集后再次披露,无论是否对特定对象,均不算是出售个人信息。
5、总结起来:《个人信息安全规范》中界定的共享、委托处理、转让、公开披露,以及合并、收购、破产等中的个人信息转让,美国三部州法也都对这些行为做了区分,并做出了区别对待。
在我国《网络安全法》《民法典》中,用的词只有两个——对外提供、公开,涵盖了上述所述的各种情况。目前《个人信息保护法(草案)》做了进一步细化。
6、弗州和华州法律对画像分析的界定,均指向了——经济状况、健康、个人偏好、兴趣、可靠性、行为、位置或移动。但加州的法律还在此基础上,增加了工作表现。(本篇完)
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
美国电信行业涉及外国参与的安全审查系列文
-
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
-
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
-
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
-
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
中国的网络安全审查系列文章:
自动驾驶系列文章:
欧盟“技术主权”进展跟踪系列文章:
数据安全法系列文章:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
中国个人信息保护立法系列文章
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
人脸识别系列文章:
数据跨境流动政策、法律、实践的系列文章:
传染病疫情防控与个人信息保护系列文章
人脸识别系列文章:
本文始发于微信公众号(网安寻路人):美国个信保护立法 | 州层面三部法案系列研究之三:出售个人数据和画像分析的定义
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论