CCPA自2020年1月开始正式实施以来,尚未传出过天价罚单的新闻。与之形成鲜明对比的是高调而严苛的GDPR。据Atlas VPN统计,2021年,共有412家企业因违反GDPR被罚,其中不乏亚马逊、WhatsApp等互联网巨头,罚款总额更是高达10亿欧元。CCPA的处罚标准似乎比GDPR更为温和,事实果真如此吗?

一、罚款标准

CCPA第1798.155条规定,“对每一次违法行为处以最高2,500美元的行政处罚,对每一次故意的违法行为和每一次涉及未成年消费者个人信息的违法行为处以最高7,500美元的行政罚款。”

再来看GDPR的处罚标准。对于一般性的违法,GDPR的罚款上限是1000万欧元,或最高为上一个财政年度全球全年营业收入的2%(两者中取数额大者);对于严重的违法,罚款上限是2000万欧元,或者最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者)。

我国2021年11月新颁布的《个人信息保护法》也效仿GDPR,对违法企业按照营业额营收比例收取罚款。其规定,“……拒不改正的,并处一百万元以下罚款……情节严重的,并处五千万元以下或者上一年度营业额百分之五以下罚款……”与GDPR和《个人信息保护法》动辄千万级别的罚款相比,CCPA最高不过7,500美元的数字确实显得微不足道。但要注意的是,CCPA是“按次收费”的。对拥有大量用户数据的平台而言,一旦数据泄露造成用户实际损失,按照每项违法行为最高处罚7,500美元计算的话,罚款总额很容易便会达到上亿美元。而且CCPA并没有罚款上限,无限累加的罚款计算方式也有着不小的威慑作用。

上述罚款必须通过加州检察长提起诉讼才可收取,也叫做“行政罚款”。

除“行政罚款”外,消费者可利用个人诉讼权提起诉讼,申请“民事救济”。规定,如果消费者的个人信息因企业保护义务不到位而遭到泄露,消费者可提起民事诉讼,并要求以下赔偿:

(1)为每名消费者每件事故赔偿少于100美元不多于750美元的损害赔偿金或实际损害赔偿金,以数额较高者为准。

(2)禁令性或宣告性法律救济。

(3)法院认为适当的其他救济。

750美元的罚款上限虽然不高,但若是提起集体诉讼的人数足够多,违法企业也有可能面临千万罚款。 个人诉讼权往往被视作消费者捍卫自身权益的有力武器。不过,CCPA在赋予消费者这一权利的同时,也对它的发动设置了严苛的条件:1)仅限于特定的信息泄露;2)企业未尽到保护义务;3)已造成实际损害。

严苛标准的制定主要是防止有人滥用个人诉讼权,浪费有限的执法资源。同样赋予消费者个人诉讼权的GDPR也设置了类似的条件。截至目前,加州法院尚未成功受理一例起诉企业违反CCPA的个人诉讼案。由此可见,CCPA并不将个人诉讼视为保障消费者权益的主要手段。

二、整改期

CCPA赋予消费者提起个人诉讼的权利,违法公司也有可能被提起行政诉讼。不过,加州司法部长曾坦言,每年司法部的资源只够处理几起诉讼案件,这也意味着大多数公司都不会被起诉。提起诉讼并非CCPA执法的最终目的,最重要的是督促企业采取恰当的措施,从而保护消费者的隐私权利。

为了将有限的资源用到刀刃上,CCPA特地设置了30天的整改期,这也是CCPA的程序设置优于GDPR的一个地方。CCPA第1798.150条规定:

如果在发起针对企业的任何基于个人或集体的法定损害的诉讼前,消费者提前30天向企业提供了书面通知,表明消费者指控的企业已经或正在违反本法之具体规定,则消费者可依照本条提起诉讼。

如果企业在30天内实际纠正了被通知的违规行为,并向消费者提供明确的书面声明以表明相关违规行为已被纠正,且不会再发生违规行为,则不得发起针对企业的基于个人或集体法定损害的诉讼。

如果企业再次违反CCPA的相关规定,消费者可对企业发起诉讼,要求其执行书面声明,也可针对书面声明的任一项违反行为请求法定损害赔偿金。

消费者提起个人诉讼应遵守30天整改期的规定,行政诉讼也不例外。执法机构在发现企业有不合规行为后,应立即向企业发出通知,指导其在30天内进行整改。企业未能在30天内完成整改的,检察长可依法提起行政诉讼。

三、合规建议

2021年7月,加里福尼亚检察署发布一份CCPA执法总结,细致地描述了27例典型案例以及企业后续的整改措施。绝大多数企业都能在检察署的指导下,在30天内改正自己的不合规行为,很少有企业走到诉讼罚款这一步。即使真的被起诉,截至目前也没有开出GDPR那样的天价罚单:CCPA发出的第一张罚单不过40万美元。在政府监管层面上,CCPA的执法机构更注重通过日常监督与整改期来加强企业隐私保护的意识与实践,诉讼与罚款更多是起到威慑和兜底作用。

来源:加州检察署

对出海企业而言,温和的处罚标准意味着较低的试错成本,但这并不意味着企业就可以放松对CCPA的执行。事实上,在CCPA实施后,加州在2020年11月又通过了CCPA的修正案《加州隐私权利法案》(CPRA)。CPRA设立了专门的监管机构——隐私保护署(California Privacy Protection Agency),负责CCPA与CPRA的日常监管与执法,加强公众教育。

专门的机构意味着更专业的人力,可调用的资源也更加充裕。随着隐私保护署的人员配置逐渐齐全,它的执法范围和内容也会不断扩大,企业的不合规行为被发现的几率也会上升。在此背景下,出海企业应及时追踪最新的隐私政策法规,发现问题后积极配合执法机构,在规定时间内完成整改,避免被开罚单。