CCPA
CCPA(California Consumer Privacy Act,加州消费者隐私法)是美国第一部全面性的隐私保护法律,于 2020 年 1 月 1 日正式生效。鉴于加州作为全球第五大经济体的地位,CCPA 实际上成为了美国的国家级隐私标准。与专注于传统医疗机构数据的 HIPAA 不同,CCPA 覆盖了广泛的商业实体,保护消费者在数字生态中的个人信息(PI)。对于医疗行业而言,CCPA 最关键的意义在于它监管了移动医疗 App、可穿戴设备和基因检测公司(若非 HIPAA 涵盖实体)所收集的健康数据,赋予了用户“拒绝出售数据”的权利。2023 年生效的修正案 CPRA 进一步加强了对“敏感个人信息”(含健康和基因数据)的保护。
CCPA vs. GDPR:关键差异
虽然被称为“美国版 GDPR”,但两者的底层逻辑有根本不同。
| 比较维度 | GDPR (欧洲) | CCPA (加州/美国) |
|---|---|---|
| 默认机制 |
Opt-in (默认禁止) |
Opt-out (默认允许) |
| 核心关注 |
基本人权 (Privacy as a Human Right)。 |
商业透明度与数据所有权。 |
| 受保护数据 |
所有个人数据。 |
个人信息,但明确豁免了受 HIPAA 监管的 PHI。 |
填补 HIPAA 的空白
这是 CCPA 在数字医疗时代最重要的作用。它监管了那些处于 HIPAA 监管范围之外的“灰色地带”。
案例分析:
- 场景 A (HIPAA): 你在斯坦福医院做手术,医院将你的数据发给保险公司。→ 受 HIPAA 保护,CCPA 不适用。
- 场景 B (CCPA): 你下载了一个经期追踪 App,或者佩戴 Fitbit 手环,或者在 23andMe 做基因测试。这些公司通常不是医疗服务提供者。→ 不受 HIPAA 保护,但数据极其敏感。此时,CCPA 介入,赋予你要求删除数据或禁止其出售给广告商的权利。
- CPRA 的加强: 2023 年生效的 CPRA 引入了“敏感个人信息” (SPI) 概念,明确包括了“健康数据”和“基因数据”,要求企业对这些数据的使用必须基于“必要性”原则,且用户有权限制其使用。
“不要出售我的信息” (Do Not Sell)
CCPA 最具标志性的规定是要求企业在其网站首页显著位置放置“Do Not Sell My Personal Information”链接。
- 广泛的“出售”定义: CCPA 对“Sale”的定义极宽,不仅指金钱交易,还包括为了“其他有价值的对价”而交换数据(例如使用第三方的广告追踪 Cookie)。
- 医疗数据经纪商: 许多公司专门收集非 HIPAA 的患者数据(如网络搜索症状记录)并打包出售。CCPA 直接打击了这一商业模式,允许消费者切断数据流。
法律与学术参考文献 [Legal References]
[1] State of California. (2018). Assembly Bill No. 375. The California Consumer Privacy Act of 2018.
[点评]:法案原文。详细定义了“生物识别信息”、“健康保险信息”等关键术语。
[2] Pardau SL. (2018). The California Consumer Privacy Act: Towards a European-Style Privacy Regime in the United States. Journal of Technology Law & Policy.
[点评]:详细比较了 CCPA 和 GDPR,指出了美国隐私法从“行业分散式”向“综合式”转变的趋势。
[3] Terry N. (2019). Appification, AI, and Healthcare's New Iron Triangle. Journal of Health Care Law & Policy.
[点评]:分析了移动医疗 App 兴起带来的隐私风险,以及 CCPA 如何尝试解决 HIPAA 无法覆盖的“健康数据真空”。