当前位置 > 网站首页 > 隐私法资讯 >
迈向行政规制的个人信息保护:GDPR与CCPA处罚制度比较
发布时间 :2020-07-07      作者 :笔尖的思想

规制处罚制度是个人信息保护法律的重要组成,保障着法律规则在实践中得到遵从。本文选取具有全球标杆意义的:欧盟《通用数据保护条例》(GDPR)和《美国加州消费者隐私法》(CCPA),对个人信息保护立法中的规制处罚制度进行了比较。虽然法系和法律传统不同,但美欧都不约而同地选择以效率为先、行政执法处罚为主的规制模式。而且,私人诉权都受到某种程度的限制和弱化,以避免过度诉讼、滥诉的发生。此外,《美国加州消费者隐私法》设计的改正期制度给予企业改正违规行为的窗口期,有助于提升违规行为纠正效率,实现监管资源有效利用,可资借鉴。

【核心观点】:

 1.CCPA罚款制度与欧盟GDPR行政处罚制度功能相通,具有可比较性。行政罚款,其英文中经常采用的表述是civil penalty,直译是“民事罚金”,但实质为行政处罚。

 2. CCPA和GDPR均强化了对行政/监管部门的执法授权。CCPA授权的执法主体是加州总检察长。在美国权力体系中,总检察长属于行政部门。通过CCPA,总检察长获得了个人信息保护领域的广泛执法权,这与GDPR对独立监管机构的授权本质上并无二致。

3. 与GDPR直接确定罚款上限不同的是,CCPA延续美国传统规定罚款基准和确立方式。这是因为美国行政规制机关没有直接征收行政罚款的权力,需要通过诉讼程序才能征收罚款。在两造平等的诉讼过程中,逐渐发展出了“每次违法行为”、“每人每事件”等罚金公式,以确定罚款总额。美欧关于罚款基准的差异,体现了不同法系之下的法律传统,但仍旧是为了实现处罚功能。

4. CCPA和GDPR都限制或弱化了私人发起的民事诉讼机制。CCPA仅允许私人针对特定的数据泄露事故提起诉讼,不得针对CCPA项下其他违规行为提起诉讼。并且结合美国司法体系所坚持的高标准诉讼资格(legal standing),私人诉讼在个人信息保护执法落地中的作用有限。对于大陆法系的GDPR而言,其更倚重于行政执法,GDPR仅仅在条文中认可诉讼权利,在民事诉讼的实体性和程序性问题上,仍存在着诸多理论和实践障碍。

5. 相比GDPR,CCPA对于规制处罚的程序设计更加优化和合理,尤为体现在改正期(cure period)制度。行政罚款启动的前提条件是,总检察长发出不合规通知(notice of noncompliance),如果企业在30天内做出了整改,总检察长就不得提起罚金诉讼。

6.概言之,CCPA与GDPR最有力的规制方式都是专业的执法机构的行政执法。处罚程序上的优化,是CCPA与GDPR的最大差别。

一、CCPA罚款制度与欧盟GDPR行政处罚制度的可比较性

《美国加州消费者隐私法》(California Consumer Privacy Act,简称CCPA)与《通用数据保护条例》(General Data Protection Regulation,简称GDPR)所规定的行政处罚制度,是体现英美法系和大陆法系关于处罚机制差异的典型代表。欧盟属于大陆法系传统,行政规制有着明确的公私法分界,由代表公权的行政监管机构依据法律授权,通过行政程序对行政违法行为进行调查和惩处;而在美国,则属英美法系,没有严格的公私法之分,公共规制的方式有着特殊之处。

行政罚款,其英文中经常采用的表述是 civil penalty等,直译为“民事罚款”。它与侵权法上的惩罚性赔偿在概念上有相关性,都涉及金钱的赔偿并且具有制裁的功能。但实际上,两者存在着明显差别。虽然民事罚款带有“民事”二字,但在行政规制领域,“civil ”指向的是实现处罚依赖的民事程序[1],惩罚或处罚即“penalty”才是其根本功能。

换言之,美国行政处罚制度是授权行政/监管机构[2]对行政违法行为进行调查和惩处,只不过不像大陆法系那样,行政/监管机构通过行政程序收取罚款,而是需要通过民事诉讼程序来收取。也因此,在讨论美国行政罚款制度时,“civil penalty”并不基于民事法律关系而是基于行政法律关系。Civil penalty的概念产生于美国公法与私法没有严格划分的法律传统之下,在中国法的语境中使用“行政罚款”才能更准确地反映其实质[3]。正如王名扬教授所指出的:“(美国)法律授予行政机关制裁的种类,主要是科处罚款,大量用于环保、卫生、工业安全、交通规则、保护消费者的各种违法案件中……这些制裁在我国称为行政处罚。”[4]

因此,CCPA中规定的罚款制度与GDPR中的行政处罚,尽管归属于不同法系,但在基本功能和目标上,二者具有一致性,核心都是发挥行政监管机构对个人信息保护违规行为的规制、惩处和威慑作用,我们可以将二者予以制度上的比较,并通过这种比较,反思和优化个人信息保护法律中的规制处罚机制。

二、GDPR中的行政处罚制度

GDPR的执行落地主要依靠行政规制。采取大陆法系行政规制模式的GDPR,赋予了监管机构广泛职权,监管机构可以进行调查、指导、建议,对企业违规行为给与行政处罚。在GDPR确定的法律框架内,监管机构主导行政处罚的程序并确定具体处罚数额。而行政处罚的手段中,保护力度最强、惩罚力度最大的无疑是行政罚款。

GDPR对数据控制者或数据处理者的行政罚款根据违规行为的性质不同,分为轻重两类。较轻的一类,处罚上限是1000万欧元或全球营收的2%之中的高者(针对不需要识别的处理规定,以及一般性义务等);较重的一类是2000万欧元或全球营收的4%之中的高者(针对违反处理个人信息的原则,数据主体权利等)。

从执法实践来看,GDPR项下的行政罚款确实也起到了主导作用。根据欧盟数据保护委员会(Europe Data Protection Board,EDPB的回顾评估报告,自2018年5月到2019年12月30日,各国监管机构已对GDPR下的违规行为进行了总计785次的行政罚款,罚款金额累计超过4.2亿欧元[5]。尽管GDPR仍然属于实施早期阶段,但罚款竞赛已然开启,罚款屡创新高[6]。

除了行政处罚制度,GDPR中也认可民事损害赔偿机制,但是并没有规定统一的民事诉讼程序,而是授权适格法院适用其所在国的法律进行审理[7]。由于GDPR项下的民事诉讼没有统一的审理机构,因此面临一系列程序上的问题,而且各成员国法院对某些实体法律问题的判断认定也并不完全一致,还需要欧盟法院进行统一。例如认定“非物质损害”(immaterial harm)的标准,奥地利法院与荷兰法院持相对宽松的立场,而德国法院坚持较为严格的态度[8]。大陆法系的传统是在赔偿责任方面恪守损失填补的界限,这对民事诉讼的救济功能有所削弱,事实上,自GDPR实施以来,与行政案件总量已达27万件相比,民事诉讼案件凤毛麟角,这也充分说明GDPR 更加倚重行政规制。 

三、CCPA规定的罚款及诉讼制度

如前所述,在行政规制方面,英美法系和大陆法系存在一些根本差异——英美基于司法的对抗法律主义,欧洲则代表官僚法律主义。英美法律传统不严格区分公、私法,将民事诉讼作为执行行政法规的主要工具。[9]

与英美法系基于司法的对抗法律主义相一致,CCPA规定了两种诉讼模式:一是由地方总检察长(Attorney General )提起诉讼,请求法院判处罚款(civil penalty),即行政处罚;二是自然人提起诉讼,请求损害赔偿等民事救济。两种都通过民事程序予以执行和保障。为理解方便,我们将前一种称为行政处罚诉讼,而后一种称为私人诉讼。在前一种诉讼中,总检察长依据法律授权行使规制权力,并通过民事程序收取罚款,性质上与大陆法系行政处罚一致。

CCPA对两种诉讼模式下的罚款或赔偿金都制定了相应标准,同时为避免滥诉,并以更有效的方式纠正违法行为,CCPA也对行政处罚诉讼和私人诉讼进行了严格的限制。

(一) CCPA规定的罚款及限制

在美国行政处罚机制中,立法往往规定执法机关确定计算罚款金额的公式,以及执法机关在和解、免除或者减轻罚款金额时采用的一般标准。执法机关初步认定行政相对人违法事实之后,会与相对人进行非正式的接触,以理清基本案件事实,并且共同达成和解的罚款数额。实践中,面对监管机构的指控,高达90%的案件相对人都会在上述非正式谈判程序中和监管机构达成和解。但是,也有一些情况下双方未能就罚款金额达成一致。那么,接下来的程序就是行政机关必须在法院进行的诉讼程序中胜诉才能最终实施该行政罚款[10]。在和解环节中与当事人就罚款数额达成一致,仍然是以民事诉讼程序为保障的,或者我们可以将“评估和解”作为民事诉讼程序的非正式前置环节。

根据CCPA1798.155(b)条规定,行政罚款的执行需要“总检察长以加利福尼亚州人民的名义提起民事诉讼”,在诉讼中,总检察长可以对罚款进行“评估和主张”。CCPA规定的罚款为:企业每次违法行为的罚款最高为2500美元,每次故意违法的罚款最高为7500美元。

与GDPR直接确定罚款上限数额不同的是,美国法确立行政罚款一般都如CCPA一样,仅规定罚款基准和公式。这是因为美国行政监管机关没有直接收取行政罚款的权力,需要通过民事诉讼程序才能收取罚款。在两造平等的诉讼过程中,在法官的主持之下,逐渐发展出了“每次违法行为”、“每人每事件”等类似的罚款公式,以确定罚款总额。这与同样通过民事诉讼程序的私人赔偿的计算标准模式在内在逻辑上是一致的,在体系上也得到了统一。美欧法关于罚款基准的差异,也体现了不同法系之下深厚而复杂的制度逻辑。

由于总检察长尚未启动过执法[11],CCPA具体的执法情况还尚待实践的验证,但CCPA与美国在消费者隐私保护领域的执法传统是一致的,我们可以以美国联邦层面的个人信息保护执法机构——联邦贸易委员会(Fedearal Trade Commission,FTC)来作为类比。同样,FTC在消费者隐私保护领域并没有直接的行政处罚权,必须通过诉讼程序,胜诉之后由法院执行行政罚款。而在实践中,FTC在消费者保护领域的执法案件大部分都是以和解收取罚款[12]。虽然美国的行政罚款的执行制度与大陆法系有较大差别,但我们同样看到,在个人信息保护领域,针对违规行为的规制,也仍然是行政监管机构在发挥主导作用。

此外,为了防止行政罚款的滥用,CCPA对行政罚款规定了一些限制,其中最重要的是改正期(cure period)制度。CCPA针对行政罚款规定了30天的改正期。行政罚款启动的前提条件是,企业在收到总检察长发出的不合法通知(notice of noncompliance)后的30天,仍然没有改正。换句话说,如果企业在30天内做出了整改,总检察长就不会提起罚款诉讼。

(二) CCPA规定的私人诉讼及其限制

如上述,遵循诉讼对抗的法律传统,除了规定行政罚款诉讼外,CCPA也规定了私人诉讼机制。并且相比GDPR以行政规制为重点,将民事诉讼授权给各成员国的做法,CCPA对私人诉讼的规定更为详细,包括具体法定赔偿金和对私人诉讼的限制。

CCPA对于私人诉讼救济:一是规定了私人损害赔偿金,数额为法定损害赔偿或实际损害赔偿中的高者。法定损害赔偿的幅度为每人每事件100美元到750美元,具体金额由法院综合考虑。二是禁令救济(injunctive relief)或确认性救济(declarative relief)。三是法院认为适当的其他救济。三种救济方式中,赔偿金是保护力度最大的。由于数据违规行为往往有较广的影响,再加之美国独有的发达的集团诉讼机制,会对企业的违规行为造成有力威慑,进而保护消费者隐私。但同样考虑到防止滥诉,CCPA对私人诉讼也有程序上和实体上的严格限制。

1. 私人诉讼的实体性限制

首先,CCPA限制了私人诉讼适用的范围。根据第1798.150(a)、(c)条规定,自然人只能对于“未加密和未经授权的个人信息,因企业违反了执行和维护合理安全程序的义务而受到未经授权的访问和过滤、盗窃或泄露的影响”的条件下,才能提起诉讼。概言之:CCPA对于私人诉讼,仅针对特定的数泄露事件,自然人不能针对CCPA项下其他违规行为提起诉讼。[13]并且,CCPA第1798.150(C)款声明:CCPA的任何规定不得解释为任何其他法律规定的私人诉讼权利的依据。

其次,CCPA限制了私人诉讼中个人信息的范围。根据第1798.150(c)条,作为构成要件的“未加密和未经授权的个人信息”定义规定于1798.81.5(d)(1)(A)条,此处定义的范围明显小于CCPA对个人信息的定义。“未加密和未经授权的个人信息”的定义限缩为:社保账号数字、驾照数字、银行账号加密码、医学信息、生物信息等等。进一步而言,只有针对这几类特定信息,企业违反相关网络安全管理要求,在未加密状态下予以泄露后,私人才有资格提起民事诉讼。

最后,CCPA对于私人诉讼范围的限制意图,也体现在立法过程中。在CCPA于2019年6月出台后,加州议会又陆续讨论了十几项CCPA修正案,并审议通过了其中六项法案,不断廓清制度规范。其中,2012SB-561修正案曾试图将私人的诉权扩展到整个CCPA违规行为,但最终该修正案在议会遭到否决。这说明,立法机关在权衡之后,仍然选择对私人诉权予以严格限制。

2. 私人诉讼的程序性限制

除了将私人诉讼限制在特定的数据泄露案件中以外,CCPA还对私人诉讼作出了程序性限制。消费者个人基于过失的数据泄露案件中如寻求法定损害赔偿,其仍需要在程序上适用30天的改正期制度,向涉事企业发出书面改正通知,如果企业在30天内改正,那么消费者就不能进一步提起诉讼。

如果消费者个人在基于过失的数据泄露案件中寻求实际损害赔偿(非法定损害赔偿之诉),则可以不适用改正期制度,即CCPA1798.150(b)条规定:个人消费者的实际金钱损害赔偿(actual pecuniary damages)没有改正期,消费者可以直接提起诉讼。但考虑到美国司法系统依据美国宪法第三条关于司法权的适用和管辖范围条款,原告拥有诉讼主体资格通常必须主张存在可以被审理的损害,对个人信息违规行为涉及的实际损害赔偿,坚持较高的诉讼资格(legal standing)标准,这使得私人诉讼的意义仍然十分有限。

在个人信息侵权损害赔偿相关案件中,美国法院树立了较高的诉讼门槛。法官一般会坚持:损害必须是事实上存在这一原则。在2013年Clapper v.Amnesty International USA案,最高法院指出原告具有诉讼资格须证明其受到实际损害(injury in fact,injury that is concrete, particularized,and actual or imminent),此后许多联邦法院也坚持了这一原则[14]。

2016年,在Spokeo, Inc. v. Robins一案中,最高法进一步坚持和完善了实际损害标准。原告涉及个人信息遭受的损害的程度须是已存在的或者具有紧迫性的,而非推测或假设的("actual or imminent, not conjectural or hypothetical"),仅仅是对程序性要求的违反,而没有实际损害的支撑,不能构成有效的诉讼资格(standing)。

总结起来,对于涉及个人信息类的侵权损害赔偿,为了满足宪法第三条的规定,原告获得诉讼资格,必须证明三个要件:

1.事实上受到的损害,它是(1)具体和特定的(concrete and particularized)(2)事实已存在的或者具有紧迫性的,而非推测或假设的(actual or imminent, not conjectural or hypothetical);

2.导致受害人的损害的行为可以追溯到被告的被控诉行为上;

3.与仅仅是推测性的风险相比,这种损害有可能通过有利的法院判决得到判决。这些要求决定了个人信息的实际损害赔偿的诉讼门槛是较高的[15]。况且,CCPA1798.150(b)条限制消费者的个人诉讼,排除了集体诉讼,这决定了诉讼赔偿金额不会太高,当事人和诉讼律师缺乏经济上的激励,欠缺进行单独诉讼的意愿。

综上而看,CCPA对私人诉讼在实体和程序方面都作出了相当性的限制,使得私人诉讼在个人信息违规纠正机制方面的发挥作用有限。相反,对于个人信息违规行为,CCPA通过制度设计,更倚重于总检察长职权下的行政规制和处罚威慑,这在本质上和欧盟GDPR以行政监管为主导的规制体系具有了相似性。

 四、迈向行政规制的个人信息保护

(一)美欧的相似性:更倚重于行政规制

经过以上分析,我们可以发现CCPA与GDPR都采取了行政规制主导的保护方式。尽管受法律体系的影响,在实现路径上的具体表现上有差异,但并不妨碍二者在功能目的上达成一致,即通过行政规制对违规行为形成纠正和威慑效应。具体体现在两方面:

一是强化对监管机构的授权。欧盟GDPR在这方面的突出特征自不必多言。GDPR授予了监管机构充沛的权力,包括调查权、矫正权(包括发出警告、申诫),实施强治性措施(发布禁令、命令删除数据、撤回认证)、以及极具威慑力的行政处罚。

同样,美国CCPA对加州总检察长在消费者隐私保护执法方面给予了全面的授权。这里尤需说明的是,在美国权力体系中,联邦总检察长和各州检察长都属于执法机关,也是行政部门的组成。在隐私和个人信息保护执法领域,美国州检察长与欧盟个人数据保护监管的性质相通。CCPA对总检察长的监管授权包括:

1)实施条例的制定权。由总检察长负责依据CCPA制定具体的实施条例(regulation)

2)监督实施权。总检察长指导和监督企业实施CCPA

3)诉讼并主张罚款的权力

二是弱化或者限制民事诉讼机制。GDPR本身都可以看做是一部典型的行政规制法,民事诉讼相比行政规制显然力不能及。GDPR中,仅仅是认可和授权各成员国民事诉讼机制。而即使在美国,虽然有着发达完善的私人诉讼制度(尤其是集团诉讼),但是从联邦FTC到加州CCPA,隐私保护的规制仍采取了与欧盟类似的专业执法机构的监管模式。特别从加州而看,CCPA对私人诉讼在实体和程序上有严格的限制,将私人诉权限缩在较小的范围之内。当然,考虑到美国仍然是一个诉讼国家,私人民事诉讼所发挥的作用仍应当会比欧盟大陆法系国家会稍大一些。

概言之,CCPA与GDPR中最有力的救济方式都是专业执法机构的行政执法。一方面,法院系统欠缺相关资源和能力,以实施广泛性的、前瞻性的规制,以平衡隐私保护与技术发展之间的社会利益。另一方面,广泛赋予私人诉权,也会导致过度诉讼的发生,特别是在个人信息侵权领域,理论上还没未解决实质性损害,以及因果关系等问题。

周汉华老师曾指出:由于个人信息保护超出了隐私侵权、民法保护的范畴,除了传统的程序法和民法的救济之外,个人信息更多的是要靠政府监管和行政法的保护方式[16]。在此背景下,美欧都选择了将隐私保护作为公共目标,由专业行政机关进行规制的模式。隐私保护规制面对的是高度动态的信息市场,而企业的经营与发展也受到规制的影响。专业的执法机关能够采取更加合理准确的手段平衡隐私保护与市场活力之间的关系。

(二)美欧的差异性:美国的程序性设计更具有合理性

虽然美欧都选择了专业性监管为主的规制模式,但在程序设计方面,CCPA的制度设计显示出合理性。

CCPA与GDPR都规定了高昂的罚款上限,实践中企业被处以令人乍舌的罚款不足为奇。但为了罚款能够有针对性的适用,让罚款符合适当性原则,CCPA在行政罚款和私人诉讼中都规定了改正期(cure period)制度。对于违规行为,原告(总检察长或私人)需要首先向企业发出不合规通知(notice of noncompliance),如果企业在收到通知后的30天内做出了整改,原告就不得提起诉讼。

改正期制度虽然只是一个程序性的优化,但它大大提升了监管机制的效率和合理性。处罚制度的初衷不是为了罚而罚,更不是单纯追求天文数字的罚款,而是树立法律的权威,促进法律的执行。毕竟实践中,对于正常合法经营的企业来说,恶意违反数据处理规则的情形仍在少数,接受通知并改正应当作为个人信息保护执法落地的最主要机制。CCPA通过“改正期”制度给予了企业一次“亡羊补牢”的机会,同时也大大限缩了罚款和损害赔偿诉讼,有助于将有限的执法资源投入到真正恶意违法案件中去。

结 语

法律权威的实现有赖于其在实际生活中被遵守,但是,法律的执行毕竟需要耗费社会成本[17], 这就需要合理选择适合的法律落地途径。有学者通过对德国、法国、意大利等欧盟国家的隐私(个人信息)保护实证研究,发现其共同趋势是将严格的政府执法、公共压力之下的行业自律和低水平的诉讼机制相结合,称之为“合作法治主义”模式。[18]在具有行为规模性、事前可规范性的个人信息保护领域,行政规制彰显了更高的执法效率。

本文来自微信公众号“腾讯研究院”(ID:cyberlawrc),作者:王融 黄致韬,如有侵权,及时联系,我司会第一时间安排删除!