域外观察 | 美国俄克拉荷马州正在制定计算机数据隐私法案

全文共计约3000字，细读时间约10分钟

文| 石   月 信通院互联网法律研究中心研究员

     王怡璎 信通院互联网法律研究中心实习生

该法案将为适用性设定比《加州消费者隐私法》CCPA更低的门槛。具体而言，该法案将适用于以下营利性企业：（1）在该州开展业务；（2）收集俄克拉荷马州居民的个人信息；（3）确定处理目的和方式，以及：（a）年总收入超过10,000,000美元；（b）单独或与其他人合并，每年出于商业目的购买，出售或接收或分享50,000个或更多消费者，家庭或设备的个人信息，和/或（c）年销售收入的25％或更多来自销售消费者的个人信息。俄克拉荷马州的法案将把年度总收入门槛从CCPA规定的2500万美元降低到1000万美元，这意味着该法案可能比CCPA适用于更多的公司。

该法案对同意的概念的界定将超出CCPA的范围，并且需要征得同意才能收集个人信息。具体而言，第16条规定：在通知消费者将要收集的各类个人信息及其用途，并征得消费者同意（消费者可以以电子方式提供）收集消费者个人信息之前，企业不得直接向消费者收集消费者的个人信息。企业不得直接从消费者处收集其他类别的个人信息，也不得将收集的个人信息用于其他目的，除非企业按照规定向消费者提供关于其他类别或目的的通知。

该法案将“同意”定义为“明确且明显地传达个人对某行为或惯例的授权的行为，而该行为或惯例是在用户界面中不存在旨在掩盖、破坏或损害决策机制的情况下做出的。”

“去识别信息”：是指不能直接或间接地识别、关联、描述、关联或链接特定消费者的信息。

“个人信息”是指识别、涉及、描述、可与特定消费者或家庭相关或可合理地与特定消费者或家庭相关联或合理联系的信息。如果信息能够直接或间接地识别、涉及、描述特定消费者或家庭，或者能够与特定消费者或家庭直接或间接地联系起来，该术语包括以下类别的信息：

a)      一种标识符，包括实名、别名、邮寄地址、帐户名、出生日期、驾驶证号码、唯一标识符、社会保障号码、护照号码、签名、电话号码或其他政府颁发的身份证号码或其他类似标识符；

b)      在线标识符，包括电子邮件地址或互联网协议地址，或其他类似标识符；

c)      身体特征或描述，包括州或联邦法律规定的受保护类别的特征；

d)      商业信息,包括:（1）个人财产记录;(2)购买、获得或考虑的商品或服务，(3)保险单编号或（4）其他购买或消费历史或倾向；

e)      生物识别信息；

f)       互联网或其他电子网络活动信息，包括：（1）浏览或搜索历史，以及(2)关于消费者与互联网网站、应用程序交互的其他信息

g)      地理位置数据；

h)      音频、电子、视觉、热量、嗅觉或其他类似信息；

i)       专业或与就业相关的信息；

j)       根据1974年《家庭教育权利和隐私法》，未公开的个人身份信息；

k)      财务信息，包括金融机构账号、信用卡或借记卡号码、与信用卡或借记卡或银行账户相关的密码或存取码；

l)       医疗信息；

m)     健康信息或者；

n)      从本段所列任何信息中得出的推论，以建立一个反映消费者偏好、特征、心理趋势、倾向、行为、态度、智力、能力或才能的消费者简介。

法案规定消费者有权在任何时候选择退出销售个人信息。具体而言，第13A规定“消费者有权在任何时候通过指示企业不出售消费者个人信息的方式，选择退出企业向第三方出售消费者个人信息的行为。消费者可以仅授权他人代表消费者选择不出售其个人信息。”第13D节规定：“企业不得向第三方出售消费者的个人信息，该消费者在本法生效日期后或在消费者提交可核实的请求选择退出任何未来销售后，未选择出售该信息”。此外，企业已向其出售消费者个人信息的第三方不得出售该信息，除非该消费者收到关于该潜在出售的明确通知，并有机会行使根据法案规定选择出售的权利。

向第三方出售消费者个人信息的企业，应当在企业的互联网站上提供：（1）消费者告示；（2）确定信息将被或可能被出售给的人员类别；（3）消费者有权选择销售；（4）一个清晰而显眼的链接，使消费者或消费者授权的人员能够选择销售消费者的个人信息。

企业或服务提供商应实施并维持合理的安全程序和做法，包括与信息性质和个人信息使用目的相适应的行政、物理和技术保障措施，以保护消费者的个人信息不受未经授权的使用，披露、访问、销毁或修改，无论客户是否选择加入或退出数据销售。

法案列举了消费者的一些权利，包括：1）要求披露某些信息的权利；2）要求删除其信息的权利；具体规定：企业应指定并以合理可得的形式向消费者提供至少两种方法，以提交可核实的消费者要求披露或删除的信息。这些方法必须至少包括：消费者免费拨打的电话号码或者企业网站；3）要求获得和接收公开出售或披露的个人信息的权利；4）选择参加和退出出售其个人信息的权利；和5）禁止保留，使用或披露其个人数据的权利。

未经消费者同意或者授权，使用去识别身份信息的企业不得对去识别身份信息主体的消费者进行重新认定或者试图重新认定。

使用非识别信息的企业应实施：（1）技术保障措施和业务流程，以禁止重新识别可能涉及该信息的消费者，以及（2）防止意外释放去识别信息的业务流程。

企业不得因消费者行使本法规定的权利而歧视消费者，包括：（1）拒绝向消费者提供商品或者服务;（2）对商品或服务向消费者收取不同的价格或费率，包括拒绝使用折扣或其他优惠或处以罚款；（3）向消费者提供不同水平或质量的商品或服务；或（4）建议对一种商品或服务向消费者收取不同的价格或费率，或提供不同等级或质量的商品或服务。但是如果服务或商品价格或质量差异与消费者数据的价值合理相关，则不禁止。

法案不适用于：公开可获得的信息；受州隐私健康法管辖的医疗信息或受保护实体或业务伙伴收集的受美国卫生和公众服务部发布的隐私、安全和数据泄露通知规则管辖的受保护健康信息；去识别的或者汇总的消费者信息等。

如果获得通过，该法案将由州总检察长办公室强制执行，该办公室可能对每项违规行为处以2500美元的罚款，对每一次故意违规行为处以7500美元的罚款。如前所述，该法案的先前版本包括一项私人诉权，该诉权已被删除。该版本还可能要求俄克拉荷马州公司委员会采用规则来实施，管理和执行该法案。

俄克拉荷马州成为许多提议消费者数据隐私法律的州之一，该法案类似于欧盟的《通用数据保护条例》（GDPR）和加利福尼亚州的《消费者隐私法》（CCPA）。尽管像GDPR和CCPA这样的立法批评家认为，这给业务造成了不必要的负担，但该法的作者认为在不断变化的技术环境中保护俄克拉荷马州需要该法案。立法要努力跟上技术的进步，法案代表了更有效地使用互联网的第一步。

在联邦层面通过全面的数据隐私立法之前，鉴于技术的不断进步，俄克拉荷马州等各个州将继续提出并颁布消费者隐私法律。因此，企业可以期待未来会有更多的法规.

该法案规定“选择加入”可能在美国尚属首次。

尽管法律上有相似之处，但《俄克拉荷马州计算机数据隐私法案》比起CCPA有两个重大发展。首先，该法规是美国最早的“选择加入”数据隐私法案之一，这意味着公司在收集个人身份信息之前必须先征得其同意。从这个意义上讲，俄克拉荷马州的法案看起来更像GDPR而不是CCPA，后者是“选择退出”。其次，俄克拉荷马州的法案具有明确的门槛，应该使一些小型企业免于遵守义务，但是这些门槛低于CCPA等法规。

敬请期待

6月15日：英国威尔士政府发布数字战略，明确六大任务

6月18日：半导体作为自然资源——探索中美技术竞赛的国家安全层面

6月25日：欧盟明确社交媒体平台的个人数据保护要求

6月29日：欧盟高风险人工智能监管的五大亮点

7月09日：重返亚太将是美国主导全球数据治理规则的战略起点