《加利福尼亚州消费者隐私法案》（CCPA）已于2020年1月1日生效，它将成为美国州层面的最重要数据隐私立法之一。这是由于加州的经济在美国居于举足轻重的地位，而除了微软和亚马逊之外的美国互联网公司的总部都设置在加州，这也注定CCPA将对美国的联邦立法产生重要的影响。

当前，欧盟和美国正在试图打造独立的数据王国：如果说欧盟是以“数据基本权利”为基础的模式，集中体现在GDPR(《通用数据保护条例》)；那么美国就是以“自由式市场+强监管”为基础的模式，集中体现在CCPA(《加利福尼亚州消费者隐私法案》)。从表面上看，美国和欧盟的两种模式互不兼容，甚至背道而驰，但事实上却是殊途同归，都在寻求“数据权利保护和数据自由流通的平衡”。无非欧盟模式偏向“数据权利保护”一方，意在打造公民的数据基本权利；而美国模式却偏向“数据自由流通”一方，意在数字经济的发展。

而对于正在进行中的中国数据立法来说，应当向左走靠近欧盟模式，还是向右走靠近美国模式，抑或径直走向中国特色的独有道路？这个问题非常关键，值得我们认真思考。

一、GDPR是史上最严的数据法律

欧盟的GDPR(《通用数据保护条例》)被称为人类史上最严格的数据隐私法律，这主要体现在两方面：

一方面，GDPR赋予了数据主体同意权、访问权、更正权、被遗忘权、限制处理权、拒绝权及自动化自决权等广泛的数据权利和自由，同时明确了数据控制者和处理者应尽到采取合法、公平和透明的技术和组织措施保护数据权益的法定义务，以及履行对监管部门及数据保护认证组织的法定义务。

另一方面，GDPR设定了天价的罚款，起步最高额度就是1000万欧元或企业上一财年全球营业总额2%，并以较高者为准。

二、GDPR将对中国的数据立法产生重要的影响

毫无疑问的是，GDPR作为具有全球影响力的数据立法新范式和标杆，不仅形塑了中国、日本、新加坡、澳大利亚等亚太国家的《个人信息保护法》或《隐私法》的制定和修改，而且还深刻影响了美国的CCPA的出台，甚至影响后续的美国联邦的统一数据立法的进程。

我认为，由于统一的数据法典更加适合大陆法系传统的中国，再加上“数据权利主义”也比较符合社会主义的“政治正确”，GDPR必将对中国正在制定中的《个人信息保护法》和《数据安全法》产生非常重大的影响。

而为中国数据立法积累经验的国家标准《个人信息安全规范》，更是全盘借鉴了GDPR的精髓，从个人信息的定义、信息主体及信息控制者等法律关系主体的设置、同意机制、个人信息处理的基本原则等与GDPR如出一辙，收集、保存、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求也与GDPR的规定基本一致。

三、GDPR不符合中国数据立法的目的和整体利益

欧盟GDPR的出现，最起码有以下几个原因：

一是，历史原因。由于希特勒德国通过个人信息的收集实施对犹太人的全面迫害，这让欧洲人民心有余悸，对隐私权利格外珍惜，并将其上升为宪法上的基本权利，即信息自决权；

二是，作为通用数据立法的GDPR是统一欧盟数字市场的最佳工具；

三是，通过输出严格的数据保护规则，以便欧盟在与美国、中国的贸易谈判中占据法律优势和道德制高点。比如欧盟和美国之间先后形成了“避风港”原则和“隐私盾”原则。

四是，GDPR制定严格的个人数据保护规则，也与欧盟缺少世界领先（前20强没有一席）的互联网公司也有关系。

上述原因在中国基本都不存在或不成立，也并不符合中国的整体利益，更不适合中国数字经济的长远发展，因此GDPR不应当成为中国数据立法的借鉴对象。

四、CCPA才是中国数据立法的借鉴对象

在我看来，与以“数据基本权利”为基础的欧盟GDPR相比，CCPA模式更值得中国未来的数据立法借鉴和参考。理由阐述如下：

其一，美国CCPA模式更加强调“数据的自由流动”和“数字经济的发展”，这显然更加符合中国的整体利益和长远利益。

根据腾讯孙海鸣老师的已有研究《GDPRVSCCPA：欧美这两部个人数据保护法规有什么差异？》，我对CCPA与GDPR的区别主要做如下整理：

1）个人数据的范围界。GDPR采取抽象概念定义模式，而CCPA结合抽象定义与不完全列举两种方式，一方面通过抽象定义对个人信息的管辖范围划定边界，另一方面通过具体列举为企业提供了相对明确的判定指引，以试图一定程度上避免交易双方对“个人数据”范围达不成一致的情况，也可以针对诸如面部识别、声纹识别、虹膜识别等新技术领域出现的存在标识属性的个人信息进行更加明确的界定。

2）管辖权原则。GDPR规定复杂覆盖面广，CCPA规定简练聚焦重点。GDPR的管辖较广泛，管辖逻辑复杂，只要与欧盟、欧盟居民、向欧盟输出产品服务或监控欧盟个人等因素相关，即大概率落入GDPR管辖范围。

相反，CCPA管辖逻辑简明，聚焦于管辖“以营利目的处理个人信息的企业”，为被管辖实体设置了“年收入金额门槛”和“消费者、家庭和设备数量门槛”，注重对于风险影响程度和范围较大的实体进行管辖，执法的针对性就更强。

3）数据跨境传输管控：GDPR环环相扣严格限制，CCPA无明确规定。GDPR环环相扣严格限制，设置五道“关口”：充分性认定白名单；是否提供适当协议、行为准则为跨境传输提供保障；集团内部规则（BCR）并被监管机构批准；通过“必要性测试”和“偶然性判定”等。

而CCPA对于跨境传输管控的态度则是留白与放任。因为美国的互联网乃至整个信息产业领先于全球，因而从价值取向上更加鼓励数据的跨境流动，跨境流动越自由，美方在数据资产控制和利用方面就越主动。

4）儿童个人信息处理的差异。GDPR倾向于默认13到16周岁儿童对个人信息的处理行为不具备完全认知能力，因而需要监护人的授权，企业方能处理其个人信息。而CCPA倾向默认为13到16周岁的儿童具备一定的行为能力，即其作为消费者有权授权他人处理自己的个人数据。

5）数据处理原则的差异。GDPR规定，个人数据的处理“原则上禁止，有合法授权时允许，且个人有权反对或撤回授权”；而CCPA则是“原则上允许，有条件禁止”。GDPR是基于监管者的立场，以保护基本人权为出发点，强调有关责任主体主动规范数据处理的行为；而CCPA更偏向于消费者的立场，侧重规范数据的商业化利用。

6）对“被遗忘权”的态度。GDPR关于被遗忘权的规定采取“以被遗忘为原则，以不遗忘为例外”，例外主要有：为了行使言论和信息自由权，遵守法律义务，在公共健康领域执行有公共利益的任务或行使控制者被授予的官方权力，为公共利益、科学或者历史研究目的、数据统计目的，或者为了法律辩护需要时。

相比GDPR，CCPA为数据主体“被遗忘权”的行使设置了更多障碍，想要突破这些障碍的门槛较高（如：需确保“数据主体的基本权利和自由与控制者的合法利益不相冲突”，这就要求企业要开展“利益平衡测试”来证明两种利益不互相冲突），这也体现了CCPA促进数据自由流动和便捷交易的价值取向。

其二，美国对隐私权利的保护事实上是很严格的。

在这里，我必须强调一点，我并不认为，对个人数据权利的忽视或剥夺会导致数字经济的发展。如果这个逻辑能成立的话，最大的互联网公司应该会在南极洲出现，印度也应该拥有比Facebook更大的数据公司。这显然不是现实。相反，我认为，对数据权利的保护有利于数字经济的发展，只是要注意数据权利保护与数据流通的平衡，不可偏颇。

事实上，美国对个人数据及数据权利的保护，并不像我们想象中的那么宽松。美国在联邦层面的确没有统一立法，但却有行业领域的严格立法，如在金融领域有FCRA，在健康医疗领域有HIPPA，在消费领域有VPPA，在儿童隐私领域有COPPA，在教育领域有FERPA，在政府数据开放领域有FIA，在数据跨境领域有CLOUDACT等等。

五、小结

我认为，与以“数据基本权利”为基础的欧盟GDPR相比，我个人更推崇以“促进数据自由流动和便捷交易为价值取向”的美国CCPA模式，这更值得中国未来的数据立法借鉴和参考。

“安全风险防范为主兼顾数字经济发展”的中国数据立法模式与GDPR并不兼容，“数据隐私保护和数字经济发展的平衡”才是中国数据立法应当遵守的主要指导原则。

(作者何渊为上海交大数据法律研究中心执行主任，DataLaws主理人)