涉外法律 | CCPA诉讼案例:沃尔玛泄露个人数据案
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:数据;CCPA;个人隐私;个人信息
本文约1181字,大概需要阅读3分钟。
2018年6月28日,美国加利福尼亚州(“加州”)颁布了《2018年加州消费者隐私法案》(“CCPA”),旨在加强消费者隐私权和数据安全保护。CCPA被认为是美国国内最严格的隐私立法,于2020年1月1日生效。鉴于CCPA是一个较新的法案,目前根据CCPA起诉的案例大多数都处于初始阶段。然而,已经有一些案件有了最新的结果。今天,我们将根据沃尔玛泄露个人数据案的结果,分析法院如此判罚的理由,并提出笔者自己的评论。
Gardiner v. Walmart
案件概况:
沃尔玛是一家通过其网站在其商店和在线销售商品的零售商。2020年7月,原告 Lavarious Gardiner 指控沃尔玛遭受了数据泄露,尽管该泄露从未披露过。作为违规的“证据”,原告声称与他的沃尔玛账户相关的个人信息是在暗网上被发现的,并展示了在沃尔玛网站上执行的安全扫描结果,据称该结果显示了某些漏洞。换句话说,原告就沃尔玛系统遭到破坏的推论提起诉讼,沃尔玛予以否认。
原告提出以下诉因:(1) 违反《加州消费者权益法隐私法》;(2) 疏忽;(3) 违反《加利福尼亚州不正当竞争法》;(4)违反明示合同;(5) 违反默示合同;(6) 违反默示契约诚信和公平交易。原告寻求补偿性损害赔偿和禁令救济。
判决结果:
对此法院作出了驳回依据 CCPA 索赔的动议。首先,法院认为 CCPA 不具有追溯力,因此涉及沃尔玛的涉嫌违规行为仅在 2020 年 1 月 1 日之后发生时才可根据 CCPA 提起诉讼。而原告未声明违规行为发生的时间这一点是致命的。其次,法院还认为,原告没有充分证明被告披露了 CCPA 中定义的个人信息。诉状仅声称被告的违规行为损害了沃尔玛客户的全名、财务账户信息、信用卡信息等。法院认为这一指控是不充分的,并指出“尽管在投诉中原告通常提到财务信息和信用卡欺诈,但他并未指控披露信用卡或借记卡或帐号,以及访问所需的安全或访问代码帐户。”因此,法院认为原告的指控不足以构成CCPA 中定义的“个人信息”。
小结:
笔者认为,本案中,法院主要是以“CCPA不溯及既往”,和“指控不满足个人信息的定义”这两条理由,驳回了原告的起诉。法不溯及既往是一般原则,暂且按下不表。法院驳回原告起诉的另一条重要原因是CCPA 对“数据泄露”的定义非常具体。
根据 CCPA,必须满足以下四个相互关联的要素才可以被定义为数据泄露:
1)未经授权的访问,并且
2)数据被泄露、盗窃或披露,其原因是
3)违反了为保护个人信息而实施和维护的安全措施,同时
4)该信息的种类应是法律所保护的。
因此,要确定企业或机构存在可以被起诉违规行为,作为个人的原告不仅须证明其个人信息受到了未经授权的访问,还须证明个人信息泄露的发生是因为被告没有依法实施和维护保护个人信息安全的合理措施。
例如,如果一家企业只是丢失了原告的个人信息——而原告无法证明它被访问过——那么原告则将无法根据 CCPA 提起诉讼。
这里,我们将 CCPA 对数据泄露定义与 GDPR 的定义进行一下比较。GDPR规定“违反安全措施导致意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据。” 比较而言,CCPA 的定义无疑更窄。
陆续更新,敬请期待
版权归闪涛律师团队所有,未经许可不得转载。
如认为本文侵犯版权,请及时联系闪涛律师团队。
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、金融、证券、私募、区块链、人工智能、智能合约、大数据、合规等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
执业证号:
14401200810597414
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
往期回顾
数据安全
数据安全 | 欧洲数据保护委员会EDPB:澄清域外适用与数据跨境传输条款间的相互作用
数据安全 | Vodafone因违反GDPR被西班牙数据保护局罚款4万欧元
数据安全 | 脸书前员工出席欧洲议会听证会,欧盟数字监管步伐加速?
数据安全 | 网信办拟出规定严管算法推荐:不得利用算法实施流量造假控制热搜
数据安全|最高院明确对于人脸识别技术的民事司法裁判规则, 扩宽个人信息保护救济途径
数据安全 | 步步为营—中国企业“走出去”跨境数据合规要点与步骤
数据安全 | 俄罗斯对Whatsapp违反个人数据法提起行政诉讼
《信息安全技术人脸识别数据安全要求》国家标准征求意见稿 都说了啥?
四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》
涉外法律
涉外法律 | 美国联邦贸易委员会更新金融机构网络安全保障措施规则
涉外法律 | EDPB通过GDPR第23条数据主体权利限制指南
涉外法律 | 美国参议员提出关于安全处理人工智能收集的数据的法案
涉外法律 | 浅析《欧盟两用物项管制条例》对科技领域企业的影响
案例分析
案例分享 | 从蚂蚁微贷诉企查查案看公共数据商业化利用的合法性边界
案例分享 | 广州互联网法院公布涉数据及虚拟财产十大典型案例
案例分享|平台能否根据算法自动化决策进行处罚?看看法院怎么说!
案例分享 | iTunes反垄断案——独家音乐版权是垄断吗?
案例分享 | 大众点评网数据信息不正当竞争纠纷案——数据信息使用行为是否构成不正当竞争的司法认定
案例分享 | 欧美数据跨境的角力:Facebook诉DPC被驳回
立法动态
新法速递 |《上海市数据条例》公布 自2022年1月1日起施行
新闻速递 | 网信办发布《网络数据安全管理条例》(征求意见稿)
立法动态 | 国家互联网信息办公室就《数据出境安全评估办法(征求意见稿)》公开征求意见
新闻速递|《粤港澳大湾区“跨境理财通”业务试点实施细则 》正式发布,一起来看看吧!
立法动态 |蹭热点:《个人信息保护法》个人信息处理者应当遵循的十一条义务
立法动态 | 《关键信息基础设施安全保护条例》,网络安全保护再添坚强后盾
立法动态 | 深圳市、广州市首席数据官制度试点方案出台(全文与简评)
立法动态|浙江省发布《数字化改革 公共数据分类分级指南》省级地方标准
立法动态 | 上海经信委发布“关于《上海市智能网联汽车测试与示范实施办法(征求意见稿)》公开征询意见的公告
立法动态 | 国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》
立法动态 | 国内数据领域首部综合性立法-《深圳经济特区数据条例》正式公布
全国人大法工委举行记者会公布数据安全法草案、个人信息保护法草案最新修改内容
新闻速递
新闻速递 | 工信部:下架540款拒不整改的APP,高压震慑违规行为
新闻速递 | 中方正式提出申请加入《数字经济伙伴关系协定》(DEPA)
新闻速递 | DDTP分布式数据传输协议助力个人信息可携带权落地
新闻速递|《国家标准化发展纲要》发布!未来15年我国标准化发展设定目标和蓝图敲定
新闻速递|腾讯安全《车联网数据安全体系建设指南》正式发布!一起来看看吧!
新闻速递 | 马斯克:特斯拉车主所有个人身份信息都安全地存储在中国国内
新闻速递 | 工信部就《工业和信息化领域数据安全管理办法(试行)》公开征求意见
新闻速递 | WhatsApp对DPC的GDPR罚款提出上诉
新闻速递|CPTPP文本目录与加入程序(附官方中英对照PDF全文)
新闻速递 | Zoom同意就隐私诉讼支付8500万美元与用户和解
新闻速递 | 菲律宾国家隐私委员会发布实施ISO隐私标准的建议
行业政策 | 2021年6月中国各省区块链与数字人民币政策速览
简评 | 关于腾讯手机管家等84款App违法违规收集使用个人信息情况的通报
其他文章
“十四五”规划与区块链的那些事儿:加快数字发展,建设数字中国