中国企业如何在美国申请专利？

中国企业在美国申请专利需要通过USPTO（美国专利商标局）提交申请。主要步骤包括：1）进行专利检索评估可专利性；2）撰写专利申请文件（说明书、权利要求书、附图）；3）通过注册专利代理人或律师向USPTO提交申请；4）应对审查意见通知书（Office Action）；5）获得专利授权。中国申请人可以通过PCT国际申请途径进入美国，也可以直接向USPTO提交申请。整个过程通常需要2-4年。格知律师事务所专门为中国发明人提供全流程USPTO专利申请服务。

美国专利申请需要多少费用？

美国专利申请费用因专利类型和复杂程度而异。USPTO官费方面，小实体（Small Entity）的临时申请费约为800美元，非临时申请费约为1600美元。律师费用通常包括：专利检索费2000-5000美元、专利撰写费5000-15000美元、审查答辩费2000-5000美元/次。外观设计专利的费用通常低于发明专利。具体费用需根据技术领域和申请复杂度评估。格知律师事务所提供免费初步咨询，帮助中国企业评估专利申请的可行性和预算。

什么是知识产权诉讼？中国企业在美国被起诉专利侵权怎么办？

知识产权诉讼是指因专利、商标、版权或商业秘密等知识产权纠纷而提起的法律诉讼。中国企业在美国被起诉专利侵权时，应当：1）立即聘请有经验的美国知识产权律师评估案情；2）分析原告专利的有效性和侵权指控的合理性；3）制定应诉策略，包括不侵权抗辩、专利无效抗辩等；4）考虑是否通过IPR（多方复审）程序挑战专利有效性；5）评估和解或许可的可能性。格知律师事务所在代理中国企业美国知识产权诉讼方面拥有丰富经验。

中国企业如何在美国注册商标？

中国企业在美国注册商标需要向USPTO提交商标申请。流程包括：1）进行商标可注册性检索；2）确定商标分类（Nice分类）和商品/服务描述；3）提交商标申请（可基于使用意向Intent-to-Use或实际使用）；4）通过审查员审查；5）公告期（30天异议期）；6）获得注册证书。中国企业也可通过马德里体系（Madrid Protocol）指定美国进行国际注册。整个过程通常需要8-12个月。建议在进入美国市场前尽早申请商标保护。

格知律师事务所提供哪些法律服务？

格知律师事务所（Getech Law Firm）是一家总部位于芝加哥的美国律师事务所，专注于为中国企业和发明人提供以下法律服务：1）美国专利申请与审查答辩（USPTO Patent Prosecution）；2）美国商标注册与维权；3）知识产权诉讼代理（联邦法院和ITC）；4）专利许可谈判与技术转让；5）知识产权尽职调查；6）跨境商业交易法律支持。事务所成立于2017年，拥有中英双语服务能力，在芝加哥、华盛顿特区、上海及成都设有办事机构。

美国专利有哪些类型？

美国专利主要分为三种类型：1）发明专利（Utility Patent）：保护新的、有用的发明或发现，保护期为自申请日起20年，是最常见的专利类型；2）外观设计专利（Design Patent）：保护产品的新颖、原创的装饰性外观设计，保护期为自授权日起15年；3）植物专利（Plant Patent）：保护通过无性繁殖方式培育的新品种植物。中国企业在美国最常申请的是发明专利和外观设计专利。选择哪种专利类型取决于要保护的技术创新的性质。

加州CCPA/CPRA全景解读：中国企业在美业务的数据合规红线与跨境传输策略

Apr 19

Written By getech law

随着越来越多中国企业在加利福尼亚州设立分支、投资并购、或者通过电商、SaaS、游戏、智能硬件等渠道直接服务加州消费者，加州消费者隐私法案（California Consumer Privacy Act, “CCPA”）及其大幅升级版——加州隐私权法案（California Privacy Rights Act, “CPRA”）已成为中国企业在美最“绕不开”的数据合规法律之一。2023年1月1日CPRA正式生效、2023年7月1日开始执法以来，加州隐私保护局（California Privacy Protection Agency, “CPPA”）、加州总检察长办公室（California AG）已陆续开出多张罚单，执法基调日趋严厉。对于同时受中国《个人信息保护法》（“PIPL”）规制的中国企业而言，如何在CCPA/CPRA与PIPL之间做好“双向合规”，已成为美国业务合规工作的重中之重。

一、立法沿革与适用范围：何为“加州法下的企业”

CCPA于2018年6月颁布、2020年1月1日生效，是美国第一部综合性消费者隐私立法。2020年11月，加州选民通过Proposition 24（CPRA），对CCPA进行了实质性升级，于2023年1月1日生效、2023年7月1日开始正式执法。CPRA设立了全美唯一的专门隐私监管机构——CPPA，并授予其独立执法权。

CCPA/CPRA的适用对象是在加州从事营业活动、收集加州消费者个人信息，并满足以下任一门槛的“营业企业（business）”：

（1）上一日历年度全球年度总营收超过2,500万美元；

（2）每年购买、出售、共享或为商业目的处理10万名以上加州消费者或家庭的个人信息；

（3）年度收入的50%以上来自出售或共享加州消费者的个人信息。

值得注意的是，判定企业是否落入CCPA/CPRA范围时，不以是否在加州设有实体为标准。只要通过网站、App、SaaS后台等方式收集到加州居民的个人信息并满足上述门槛，即属规制对象。因此，许多总部在中国、仅通过线上渠道服务加州用户的企业也可能构成“business”。此外，CPRA还将过去CCPA下临时豁免的员工数据（HR data）与B2B通讯数据正式纳入规制范围，这对设有加州子公司、分公司或派驻人员的中国企业影响尤为直接。

二、CPRA对CCPA的核心升级

相较CCPA，CPRA的升级主要体现在四个维度：

第一，新增“敏感个人信息（Sensitive Personal Information, SPI）”类别。SPI涵盖社会安全号、驾照号、护照号、精确地理位置、种族或民族起源、宗教信仰、工会成员身份、私人通讯内容、生物识别信息、健康信息、性取向等。消费者有权“限制敏感个人信息的使用和披露（Right to Limit）”。

第二，新增“更正权（Right to Correct）”与“数据可携权（Right to Data Portability）”。消费者可以要求企业更正其持有的不准确个人信息，并获取结构化、常用、可机读格式的个人信息副本。

第三，将“销售（sale）”概念扩展为“销售与共享（sale or sharing）”。即使没有金钱对价，只要为“跨境广告（cross-context behavioral advertising）”目的向第三方披露个人信息，也落入须支持“opt-out”的范围。这一调整直接影响使用第三方广告追踪、再营销、像素（pixel）的电商、游戏与内容企业。

第四，强化“服务提供商（service provider）”、“承包商（contractor）”与“第三方”之间的合同义务与数据流向要求。企业必须与处理其客户数据的各类下游主体签订数据处理协议（DPA），并就目的限制、安全措施、审计权、分包规则等明确约定。

三、消费者权利与企业义务的主要内容

在CCPA/CPRA框架下，加州消费者主要享有七项权利：知情权、删除权、更正权、opt-out权（选择不被出售/共享）、限制SPI使用权、非歧视权、数据可携权。与之对应，企业须至少履行以下核心义务：

（1）在收集个人信息“当时或之前”提供隐私政策（Privacy Policy）与收集告知（Notice at Collection），具体说明信息类别、收集目的、保留期限、是否出售或共享；

（2）在网站显著位置设置“Do Not Sell or Share My Personal Information”及（如处理SPI）“Limit the Use of My Sensitive Personal Information”链接，且必须识别并尊重浏览器发出的Global Privacy Control（GPC）信号；

（3）建立消费者行使权利的请求受理渠道（至少两种方式，如Toll-free电话+网站表单）与核验流程，并在45天内响应，可延长一次45天；

（4）在涉及SPI处理、开展自动化决策（automated decision-making）、风险较高的处理活动时，进行风险评估（risk assessment）并保留记录；

（5）与服务提供商、承包商及第三方签订符合法定要素的DPA；

（6）为员工与承包商就CCPA/CPRA合规开展培训。

四、执法格局与罚款风险：从Sephora到Honda的执法信号

CCPA/CPRA采取双轨执法机制：加州AG与CPPA均可主动执法。法定处罚为：一般违规每次最高2,500美元；故意违规或涉及16岁以下未成年人的违规每次最高7,500美元。此外，在发生未加密或未编辑的个人信息数据泄露事件时，消费者享有法定范围内的私人诉权（private right of action），法定损害赔偿为每人每次事件100至750美元或实际损害中的较高者。

几宗典型执法案件揭示了监管重点：

Sephora案（2022年，加州AG和解，120万美元）：加州AG认定，Sephora通过第三方分析与广告服务向外传输消费者数据，构成“sale”却未披露、亦未提供有效的opt-out。和解方案要求Sephora更新披露、响应GPC信号、向AG报告合规整改进展。该案是CCPA第一起大型执法和解，确立了“即便没有金钱对价的数据外传也可能构成‘sale’”的执法思路。

DoorDash案（2024年，加州AG和解，37.5万美元）：AG认定DoorDash将加州用户信息通过“数据合作计划（marketing cooperative）”形式与其他零售商交换，构成未经披露的“sale”。该案明确：企业与同业伙伴之间的数据互换也属CCPA规制的“出售或共享”范围。

Honda Motor案（2025年，CPPA首起独立执法和解，632,500美元）：这是CPPA成立以来开出的第一张独立罚单。CPPA认定本田美国公司在消费者行使知情权、删除权、opt-out时，要求过度的身份核验信息、设置过多障碍、对消费者委托的授权代理人（authorized agent）处理不当、与广告技术供应商之间未签订合规合同。和解要求Honda重构其DSAR受理系统、重新签署DPA、培训员工，并接受未来五年的合规报告义务。Honda案被视为CPPA确立其执法权威的标志性案件，尤其对汽车、智能硬件、物联网等数据高强度行业具有强烈警示意义。

此外，CPPA近两年还对数据经纪人注册（Delete Act / SB 362）展开专项执法，对未按期注册、未缴费、未更新信息的数据经纪人开出多起罚单；加州AG也持续开展针对儿童/未成年人数据、行为广告追踪、暗模式（dark patterns）的专项检查。

五、跨境数据传输：CCPA/CPRA与中国PIPL的双向合规

对中国企业而言，CCPA/CPRA的真正难点往往不在“加州境内如何合规”，而在跨境数据传输中如何同时满足CCPA/CPRA与中国PIPL的要求。

1. 中国侧（出境）：PIPL第38–41条。将加州消费者数据从境外回传至中国境内（例如客服工单入中国CRM系统、产品数据流回中国研发团队），属于PIPL意义上的“出境”，原则上需走安全评估、标准合同（SCC）或专业机构认证三条路径之一，并完成个人信息保护影响评估（PIPIA）、获得单独同意。反向地，将中国用户数据传至美国公司亦受PIPL约束。

2. 美国侧（入境）：CCPA/CPRA的披露与合同义务。CCPA/CPRA并不禁止跨境传输，但要求企业在隐私政策中披露可能将个人信息传输至美国以外的地区、与境外接收方签订合规DPA，并对消费者opt-out、删除、更正等请求做到在“集团内、跨境”层面同样落实。

3. 中美叠加的现实痛点：（a）“单独同意”与“opt-out”之间的体验冲突——PIPL强调事前明示同意，CCPA/CPRA允许事后opt-out，企业需设计分地区的同意管理平台（CMP）；（b）DPA模板的差异化——与美国服务提供商签订的CCPA DPA，与中国SCC下签订的出境协议，内容、语言与管辖不尽相同，应避免“一份合同打天下”；（c）数据映射的颗粒度——跨境合规要求企业对数据流（data flow）形成可动态更新的“数据地图”，精确到字段级别。

4. 与美国其他州法、联邦草案的协同：目前弗吉尼亚、科罗拉多、康涅狄格、犹他、德州、俄勒冈、蒙大拿等多州已有各自的综合隐私法，联邦层面的American Privacy Rights Act（APRA）立法讨论仍在推进。中国企业应当在加州合规的基础上，建立“以CCPA/CPRA为基线、按州动态扩展”的隐私合规框架。

六、对中国企业的实务合规路线图

第一，完成“加州适用性”的初步判定。针对在美业务的每一法律实体，检视营收、加州消费者数量、收入来源三项门槛，形成书面判定备忘录。不属于“business”的实体亦应定期复审，因门槛随业务增长可能被触发。

第二，建立企业级“数据地图”。列明加州消费者数据的类别、来源、处理目的、存储位置、保留期限、跨境流向、接收方及合同状态。数据地图是执法应对、DSAR响应、DPA谈判、PIPIA撰写的共同基础。

第三，重构隐私政策与Notice at Collection。确保同时满足CCPA/CPRA的披露颗粒度要求（信息类别、目的、保留期限、出售/共享、SPI处理、消费者权利行使方式等）与PIPL的透明度要求；为加州用户设置独立页面或明显区分。

第四，部署GPC与opt-out机制。至少覆盖“Do Not Sell or Share”与“Limit the Use of My SPI”两个链接，同时确保前端代码识别GPC信号——这是Sephora以来执法的核心事实。

第五，清理与升级下游合同。对所有服务提供商、承包商、广告技术合作方、数据分析供应商签署或升级CCPA DPA，并就分包、跨境、审计、删除义务进行标准化；对涉及中国的数据处理环节，并行签署PIPL SCC或完成安全评估。

第六，建立DSAR响应与授权代理人处理SOP。参照Honda案教训，避免“过度核验”，在45天时限内响应，对消费者授权代理人提供的委托函和身份证明采用合理而非过度的核验标准，相关流程记录留痕。

第七，针对高风险处理开展风险评估。包括：针对未成年人的产品与服务、涉及SPI的业务线、自动化决策或画像、跨境数据传输、使用AI模型训练等场景，开展符合CPPA规则的风险评估并留存文档。

七、结语

CCPA/CPRA并非一部“只看字面”的法律——从Sephora到DoorDash再到Honda，执法机关正通过一系列和解案件，将“数据销售”、“opt-out有效性”、“GPC识别”、“DSAR响应友好度”等概念不断具体化。对中国企业而言，加州既是进入美国市场的“桥头堡”，也是数据合规的“前沿阵地”。将CCPA/CPRA与中国PIPL统筹考量，建立以数据地图、分区同意、标准化DPA、GPC识别、DSAR SOP为核心的合规体系，是中国企业在美长期稳定经营的必要前提。

格知律师事务所在加州及美国联邦层面的数据合规、跨境数据传输、CPPA/AG执法应对、数据泄露事件响应等领域具有丰富实务经验，可协助中国企业完成从“加州适用性判定”到“全美多州合规框架”的完整落地。如您希望就所在行业的具体场景进行一对一咨询，欢迎联系格知律师事务所美国数据合规团队。

getech law