《加利福尼亞州消費者隱私法案》（CCPA）已于2020年1月1日生效，它將成為美國州層面的最重要數據隱私立法之一。這是由于加州的經濟在美國居于舉足輕重的地位，而除了微軟和亞馬遜之外的美國互聯網公司的總部都設置在加州，這也注定CCPA將對美國的聯邦立法產生重要的影響。

當前，歐盟和美國正在試圖打造獨立的數據王國：如果說歐盟是以“數據基本權利”為基礎的模式，集中體現在GDPR(《通用數據保護條例》)；那么美國就是以“自由式市場+強監管”為基礎的模式，集中體現在CCPA(《加利福尼亞州消費者隱私法案》)。從表面上看，美國和歐盟的兩種模式互不兼容，甚至背道而馳，但事實上卻是殊途同歸，都在尋求“數據權利保護和數據自由流通的平衡”。無非歐盟模式偏向“數據權利保護”一方，意在打造公民的數據基本權利；而美國模式卻偏向“數據自由流通”一方，意在數字經濟的發展。

而對于正在進行中的中國數據立法來說，應當向左走靠近歐盟模式，還是向右走靠近美國模式，抑或徑直走向中國特色的獨有道路？這個問題非常關鍵，值得我們認真思考。

一、GDPR是史上最嚴的數據法律

歐盟的GDPR(《通用數據保護條例》)被稱為人類史上最嚴格的數據隱私法律，這主要體現在兩方面：

一方面，GDPR賦予了數據主體同意權、訪問權、更正權、被遺忘權、限制處理權、拒絕權及自動化自決權等廣泛的數據權利和自由，同時明確了數據控制者和處理者應盡到采取合法、公平和透明的技術和組織措施保護數據權益的法定義務，以及履行對監管部門及數據保護認證組織的法定義務。

另一方面，GDPR設定了天價的罰款，起步最高額度就是1000萬歐元或企業上一財年全球營業總額2%，并以較高者為準。

二、GDPR將對中國的數據立法產生重要的影響

毫無疑問的是，GDPR作為具有全球影響力的數據立法新范式和標桿，不僅形塑了中國、日本、新加坡、澳大利亞等亞太國家的《個人信息保護法》或《隱私法》的制定和修改，而且還深刻影響了美國的CCPA的出臺，甚至影響后續的美國聯邦的統一數據立法的進程。

我認為，由于統一的數據法典更加適合大陸法系傳統的中國，再加上“數據權利主義”也比較符合社會主義的“政治正確”，GDPR必將對中國正在制定中的《個人信息保護法》和《數據安全法》產生非常重大的影響。

而為中國數據立法積累經驗的國家標準《個人信息安全規范》，更是全盤借鑒了GDPR的精髓，從個人信息的定義、信息主體及信息控制者等法律關系主體的設置、同意機制、個人信息處理的基本原則等與GDPR如出一轍，收集、保存、使用、共享、轉讓、公開披露、刪除等個人信息處理活動應遵循的原則和安全要求也與GDPR的規定基本一致。

三、GDPR不符合中國數據立法的目的和整體利益

歐盟GDPR的出現，最起碼有以下幾個原因：

一是，歷史原因。由于希特勒德國通過個人信息的收集實施對猶太人的全面迫害，這讓歐洲人民心有余悸，對隱私權利格外珍惜，并將其上升為憲法上的基本權利，即信息自決權；

二是，作為通用數據立法的GDPR是統一歐盟數字市場的最佳工具；

三是，通過輸出嚴格的數據保護規則，以便歐盟在與美國、中國的貿易談判中占據法律優勢和道德制高點。比如歐盟和美國之間先后形成了“避風港”原則和“隱私盾”原則。

四是，GDPR制定嚴格的個人數據保護規則，也與歐盟缺少世界領先（前20強沒有一席）的互聯網公司也有關系。

上述原因在中國基本都不存在或不成立，也并不符合中國的整體利益，更不適合中國數字經濟的長遠發展，因此GDPR不應當成為中國數據立法的借鑒對象。

四、CCPA才是中國數據立法的借鑒對象

在我看來，與以“數據基本權利”為基礎的歐盟GDPR相比，CCPA模式更值得中國未來的數據立法借鑒和參考。理由闡述如下：

其一，美國CCPA模式更加強調“數據的自由流動”和“數字經濟的發展”，這顯然更加符合中國的整體利益和長遠利益。

根據騰訊孫海鳴老師的已有研究《GDPR VS CCPA：歐美這兩部個人數據保護法規有什么差異？》，我對CCPA與GDPR的區別主要做如下整理：

1）個人數據的范圍界。GDPR采取抽象概念定義模式，而CCPA結合抽象定義與不完全列舉兩種方式，一方面通過抽象定義對個人信息的管轄范圍劃定邊界，另一方面通過具體列舉為企業提供了相對明確的判定指引，以試圖一定程度上避免交易雙方對“個人數據”范圍達不成一致的情況，也可以針對諸如面部識別、聲紋識別、虹膜識別等新技術領域出現的存在標識屬性的個人信息進行更加明確的界定。

2）管轄權原則。GDPR規定復雜覆蓋面廣，CCPA規定簡練聚焦重點。GDPR的管轄較廣泛，管轄邏輯復雜，只要與歐盟、歐盟居民、向歐盟輸出產品服務或監控歐盟個人等因素相關，即大概率落入GDPR管轄范圍。

相反，CCPA管轄邏輯簡明，聚焦于管轄“以營利目的處理個人信息的企業”，為被管轄實體設置了“年收入金額門檻”和“消費者、家庭和設備數量門檻”，注重對于風險影響程度和范圍較大的實體進行管轄，執法的針對性就更強。

3）數據跨境傳輸管控：GDPR環環相扣嚴格限制，CCPA無明確規定。GDPR環環相扣嚴格限制，設置五道“關口”：充分性認定白名單；是否提供適當協議、行為準則為跨境傳輸提供保障；集團內部規則（BCR）并被監管機構批準；通過“必要性測試”和“偶然性判定”等。

而CCPA對于跨境傳輸管控的態度則是留白與放任。因為美國的互聯網乃至整個信息產業領先于全球，因而從價值取向上更加鼓勵數據的跨境流動，跨境流動越自由，美方在數據資產控制和利用方面就越主動。

4）兒童個人信息處理的差異。GDPR傾向于默認13到16周歲兒童對個人信息的處理行為不具備完全認知能力，因而需要監護人的授權，企業方能處理其個人信息。而CCPA傾向默認為13到16周歲的兒童具備一定的行為能力，即其作為消費者有權授權他人處理自己的個人數據。

5）數據處理原則的差異。GDPR規定，個人數據的處理“原則上禁止，有合法授權時允許，且個人有權反對或撤回授權”；而CCPA則是“原則上允許，有條件禁止”。GDPR是基于監管者的立場，以保護基本人權為出發點，強調有關責任主體主動規范數據處理的行為；而CCPA更偏向于消費者的立場，側重規范數據的商業化利用。

6）對“被遺忘權”的態度。GDPR關于被遺忘權的規定采取“以被遺忘為原則，以不遺忘為例外”，例外主要有：為了行使言論和信息自由權，遵守法律義務，在公共健康領域執行有公共利益的任務或行使控制者被授予的官方權力，為公共利益、科學或者歷史研究目的、數據統計目的，或者為了法律辯護需要時。

相比GDPR，CCPA為數據主體“被遺忘權”的行使設置了更多障礙，想要突破這些障礙的門檻較高（如：需確保“數據主體的基本權利和自由與控制者的合法利益不相沖突”，這就要求企業要開展“利益平衡測試”來證明兩種利益不互相沖突），這也體現了CCPA促進數據自由流動和便捷交易的價值取向。

其二，美國對隱私權利的保護事實上是很嚴格的。

在這里，我必須強調一點，我并不認為，對個人數據權利的忽視或剝奪會導致數字經濟的發展。如果這個邏輯能成立的話，最大的互聯網公司應該會在南極洲出現，印度也應該擁有比Facebook更大的數據公司。這顯然不是現實。相反，我認為，對數據權利的保護有利于數字經濟的發展，只是要注意數據權利保護與數據流通的平衡，不可偏頗。

事實上，美國對個人數據及數據權利的保護，并不像我們想象中的那么寬松。美國在聯邦層面的確沒有統一立法，但卻有行業領域的嚴格立法，如在金融領域有FCRA，在健康醫療領域有HIPPA，在消費領域有VPPA，在兒童隱私領域有COPPA，在教育領域有FERPA，在政府數據開放領域有FIA，在數據跨境領域有CLOUD ACT等等。

五、小結

我認為，與以“數據基本權利”為基礎的歐盟GDPR相比，我個人更推崇以“促進數據自由流動和便捷交易為價值取向”的美國CCPA模式，這更值得中國未來的數據立法借鑒和參考。

“安全風險防范為主兼顧數字經濟發展”的中國數據立法模式與GDPR并不兼容，“數據隱私保護和數字經濟發展的平衡”才是中國數據立法應當遵守的主要指導原則。

(作者何淵為上海交大數據法律研究中心執行主任，DataLaws主理人)