CCPA自2020年1月開始正式實施以來，尚未傳出過天價罰單的新聞。與之形成鮮明對比的是高調而嚴苛的GDPR。據Atlas VPN統計，2021年，共有412家企業因違反GDPR被罰，其中不乏亞馬遜、WhatsApp等網際網路巨頭，罰款總額更是高達10億歐元。CCPA的處罰標準似乎比GDPR更為溫和，事實果真如此嗎？

01罰款標準

CCPA第1798.155條規定，「對每一次違法行為處以最高2,500美元的行政處罰，對每一次故意的違法行為和每一次涉及未成年消費者個人信息的違法行為處以最高7,500美元的行政罰款。」

再來看GDPR的處罰標準。對於一般性的違法，GDPR的罰款上限是1000萬歐元，或最高為上一個財政年度全球全年營業收入的2%（兩者中取數額大者）；對於嚴重的違法，罰款上限是2000萬歐元，或者最高為上一個財政年度全球全年營業收入的4%（兩者中取數額大者）。

我國2021年11月新頒布的《個人信息保護法》也效仿GDPR，對違法企業按照營業額營收比例收取罰款。其規定，「……拒不改正的，並處一百萬元以下罰款……情節嚴重的，並處五千萬元以下或者上一年度營業額百分之五以下罰款……」與GDPR和《個人信息保護法》動輒千萬級別的罰款相比，CCPA最高不過7,500美元的數字確實顯得微不足道。但要注意的是，CCPA是「按次收費」的。對擁有大量用戶數據的平台而言，一旦數據泄露造成用戶實際損失，按照每項違法行為最高處罰7,500美元計算的話，罰款總額很容易便會達到上億美元。而且CCPA並沒有罰款上限，無限累加的罰款計算方式也有著不小的威懾作用。

上述罰款必須通過加州檢察長提起訴訟才可收取，也叫做「行政罰款」。

除「行政罰款」外，消費者可利用個人訴訟權提起訴訟，申請「民事救濟」。規定，如果消費者的個人信息因企業保護義務不到位而遭到泄露，消費者可提起民事訴訟，並要求以下賠償：

（1）為每名消費者每件事故賠償不少於100美元、不多於750美元的損害賠償金或實際損害賠償金，以數額較高者為準。

（2）禁令性或宣告性法律救濟。

（3）法院認為適當的其他救濟。

750美元的罰款上限雖然不高，但若是提起集體訴訟的人數足夠多，違法企業也有可能面臨千萬罰款。 個人訴訟權往往被視作消費者捍衛自身權益的有力武器。不過，CCPA在賦予消費者這一權利的同時，也對它的發動設置了嚴苛的條件：1）僅限於特定的信息泄露；2）企業未盡到保護義務；3）已造成實際損害。

嚴苛標準的制定主要是防止有人濫用個人訴訟權，浪費有限的執法資源。同樣賦予消費者個人訴訟權的GDPR也設置了類似的條件。截至目前，加州法院尚未成功受理一例起訴企業違反CCPA的個人訴訟案。由此可見，CCPA並不將個人訴訟視為保障消費者權益的主要手段。

02整改期

CCPA賦予消費者提起個人訴訟的權利，違法公司也有可能被提起行政訴訟。不過，加州司法部長曾坦言，每年司法部的資源只夠處理幾起訴訟案件，這也意味著大多數公司都不會被起訴。提起訴訟並非CCPA執法的最終目的，最重要的是督促企業採取恰當的措施，從而保護消費者的隱私權利。

為了將有限的資源用到刀刃上，CCPA特地設置了30天的整改期，這也是CCPA的程序設置優於GDPR的一個地方。CCPA第1798.150條規定：

如果在發起針對企業的任何基於個人或集體的法定損害的訴訟前，消費者提前30天向企業提供了書面通知，表明消費者指控的企業已經或正在違反本法之具體規定，則消費者可依照本條提起訴訟。

如果企業在30天內實際糾正了被通知的違規行為，並向消費者提供明確的書面聲明以表明相關違規行為已被糾正，且不會再發生違規行為，則不得發起針對企業的基於個人或集體法定損害的訴訟。

如果企業再次違反CCPA的相關規定，消費者可對企業發起訴訟，要求其執行書面聲明，也可針對書面聲明的任一項違反行為請求法定損害賠償金。

消費者提起個人訴訟應遵守30天整改期的規定，行政訴訟也不例外。執法機構在發現企業有不合規行為後，應立即向企業發出通知，指導其在30天內進行整改。企業未能在30天內完成整改的，檢察長可依法提起行政訴訟。

03合規建議

2021年7月，加里福尼亞檢察署發布一份CCPA執法總結，細緻地描述了27例典型案例以及企業後續的整改措施。絕大多數企業都能在檢察署的指導下，在30天內改正自己的不合規行為，很少有企業走到訴訟罰款這一步。即使真的被起訴，截至目前也沒有開出GDPR那樣的天價罰單：CCPA發出的第一張罰單不過40萬美元。在政府監管層面上，CCPA的執法機構更注重通過日常監督與整改期來加強企業隱私保護的意識與實踐，訴訟與罰款更多是起到威懾和兜底作用。

對出海企業而言，溫和的處罰標準意味著較低的試錯成本，但這並不意味著企業就可以放鬆對CCPA的執行。事實上，在CCPA實施後，加州在2020年11月又通過了CCPA的修正案《加州隱私權利法案》（CPRA）。CPRA設立了專門的監管機構——隱私保護署（California Privacy Protection Agency），負責CCPA與CPRA的日常監管與執法，加強公眾教育。

專門的機構意味著更專業的人力，可調用的資源也更加充裕。隨著隱私保護署的人員配置逐漸齊全，它的執法範圍和內容也會不斷擴大，企業的不合規行為被發現的機率也會上升。在此背景下，出海企業應及時追蹤最新的隱私政策法規，發現問題後積極配合執法機構，在規定時間內完成整改，避免被開罰單。

關注「數美科技」，看CCPA全面解讀~