一、为什么会有两个不同的隐私法案 

   2018年，《加州消费者隐私法（CCPA）》通过。仅仅两年之后，《加州隐私权法（CPRA）》由Proposition24通过。该法案将于2023年生效。该法案对CCPA进行的全面的修改。凭常识也能感受到这一事件的不寻常之处：立法和法律的实施都需要一定的稳定性。短短两年间对一部全新的法律进行全面修改，这绝不常见。

  这一切得以发生可归因于加州独特的“建议投票系统”（ballot proposition system）。简而言之，该系统的运作模式如下：1.发起投票人形成动议并搜集一定的签名数；2.形成最终动议；3.全体加州居民对这一动议进行投票。如果投票通过，该动议即成为州法律。该系统绕开了传统政府立法机构的立法权，大公司或者其它利益相关方也无权干涉其流程。事实上，CCPA的动议就是通过“建议投票系统”形成的。只是在后期加州立法机构与动议发起人形成了共识，加州议会保证该动议内容经传统立法程序通过，发起人随即撤回该动议。

  当加州立法机构随后以修正案及其它形式对该法案（CCPA）的适用进行限制，该法案发起人和投票人的愤怒也就可想而知了。这直接促成了CRPA的诞生。

  加州是全美人口最多的州。加之自由的投资环境，吸引了大量的外资进入。但是该州人口的自由意识和隐私意识在全美而言也是独树一帜的。对于未来的意向投资者和法律从业人员而言，意识到这一点尤为重要。

 二.关于该法案的一些重点内容

  1.公司主动披露义务（2023年生效的CPRA的要求）

 公司须在收集客户信息之前，主动向客户提供公司如下信息：

  (1).客户信息的类别，收集目的；该信息是否将被转卖或分享至第三方；

  (2). 公司对该信息的保留期间；

  (3).公司是否收集客户敏感信息。该敏感信息的类别，收集目的；该信息是否将被转卖或分享至第三方；

  2023年并不是遥远的未来，意向未来赴美投资的企业从今天起就应按CPRA的标准做好合规。

 2.新的政府机构的设立

 CPRA设立了一个新的监管机构，即加利福尼亚隐私保护局（California Privacy Protection Agency），该机构被赋予充分的行政权力和管辖权来实施CPRA法案。该机构将调查并举行听证会，以确定企业、服务提供商或合同商的运作是否符合CPRA的要求。

 这与之前由州检察官（attorney general）全权执行的CCPA法案的区别甚巨。在决定新法案执行问题的执行委员会（five-member board）中, 检察官仅有权任命一名委员会成员,州立法机构和州长也对该委员会享有人员任免权。这种分权与制衡的设计正是为了防止执行机构受到大公司、大集团利益的裹挟。

 3.一项要求：目标公司对个人信息的收集、使用和存贮、分享都需要与公司提供商业服务的目的密切相关。

  与国内实名制要求不同，国外大部分情况下目标公司都不会收集与公司提供的服务无关的任何个人信息。因此在资料搜集过程中的，尤为重要的是筛选出与服务真正有关的信息，切记模式化收集信息。否则即便是作为选填信息设置（如收集客户的生日信息，以为日后发送生日优惠提示），也有可能会引起法律责任。另一方面，本法并未强制要求公司储存客户个人数据，及时删除无用信息是保护自己的良方。

 因此，赴美投资，我们应当树立这样一种数据处理意识：数据是一种负担，拿在手里的数据越少越好。

 4.企业需要主动公布的内容和&企业不必完成的事项：

 企业需要主动公布的内容：被搜集的个人信息的种类；个人信息搜集的渠道；是否将个人信息用于商业用途；企业与哪些类别（如政府、广告公司）的第三方分享了该个人信息；客户要求企业告知其已搜集的个人信息的权利。

  企业不必完成的事项：完好保存在一次性交易过程中获得的客户个人信息。

  该项内容的弹性相当之大：如：你如何定义“一次性交易”呢？

  不用去期待更详细的法条和更明确的解释，美国法的精髓在于对抗，在于据理力争的使法官接受我方的定义，而不在于遵从。

  5.公司的日常合规要求：

 (1)公司需要在公司网页上以及内部管理制度中提及以下内容：

 a. 消费者不应由于要求披露信息而受到歧视待遇；消费者享有的修改其个人信息的权利；消费者制止公司出售其个人信息至第三方的权利。企业需主动公布的关于个人信息的内容。

 b. 列出公司已收集的个人信息的类别。

 c. 列出公司已出售或者已透露至第三方的个人信息。若公司未向他方出售和透露任何个人信息，公司应公布这一事实。

 d. 公司是否出售或向第三方透露已经匿名化处理的患者信息以及该信息类别（若有）

 e. 公司通过何种渠道获取上述各类信息。

 f.  公司内部合规培训的义务

 公司应设置为消费者答疑（数据安全方面）的客服人员，公司应当保证这些人员知晓消费者所享有的权利，并且能熟练的指导消费者行使其权利。

 6. 对服务商和合同方的要求（指为目标公司提供辅助服务的第三方）

  服务商和合同方在履行对目标公司的合同义务的过程中会接触到各类个人信息，其有权不向消费者提供该类个人信息。但是当目标公司需要向消费者提供个人信息时，服务商与合同方应协助公司的信息收集工作。   

  如公司由于并购，破产或其它原因使得第三方获得了对公司的控制权，并因此获取了原公司所收集的个人数据，该行为不构成对个人信息的销售行为。但是，如果新公司实质上改变了这些信息的内容、用途和分享方式，消费者有权获得通知，并行使相应权利。

  三、预期实施效果

  加州隐私权法案(CPRA)的通过在业界引起了广泛的探讨和研究。学者认为，以下几项法律实施效果是值得被期待的：

  1.消费者将享有更多权利拒绝定向广告

  跨主题行为广告（cross-context behavior advertising）指的是消费者在网上的各类行为所留下的个人数据被网站方提供给第三方，第三方由此根据数据所体现的个人偏好和需求向消费者发布定向广告。根据之前CCPA的规定，只有在上述个人数据被“出售（sale）”给第三方时，网站才有义务提示消费者其拒绝相关广告的权利。由于州检察官对“出售”进行了限缩解释，谷歌等大公司的得以继续其广告投放。因为他们并未直接将数据出售给第三方。而根据新法，消费者可以直接前往目标公司的官网，拒绝所有对其个人数据的“分享行为（sharing）”，包括跨主题行为广告。

  2.保证了对消费者的隐私权保护不会倒退

“Watering down”是英美判例法系中常用的一个词汇。指的是立法或者判例形成以后，通过解释，具体执行，随后的其他判例使其实际效力相对于法律规则的字面意思发生减损。

  CCPA法案就经历了这一过程。如加州的SB-753法案，企图为CCPA补充“批发商定向广告例外条款”，以授予批发商在不经消费者授权的情况下，发布定向广告的权利。SB-753虽然未通过，但着实将CCPA的支持者们惊出一身冷汗。新的CPRA明确规定立法机构对该法进行进一步修改必须满足“与该法案的制定目的一致并且进一步推动这一目的的实现，致力于加强隐私权的保护，包括公民宪法权利和消费者权利”。（ consistent with and furthers the initiative’s purposes and intent “to further protect consumers’ rights, including the constitutional right to privacy）” 

  四、缺陷

  我们已经知道，在该法案项下消费者享有充分的拒绝目标公司出售和分享相关个人信息的权利。问题在于，该法案为实现该权利所设计的退出机制显得过于繁复了：消费者必须精确的找出哪些公司利用了自己的个人数据，并且向该公司主张自己的权利—我们知道，在信息社会，很多时候消费者自己也不清楚自己的个人信息通过了多少种渠道外露；该法案未能设计一种“一键退出机制”，即通过单一操作对所有持有消费者个人数据的公司起作用的机制，不得不说无形中为消费者增加了很多负担；另一方面，公司方也很可能用各种方法增加消费者行使权利的难度：比如规定消费者必须要下载特定APP来完成相关的申请。