2018年6月28日加州州長簽署了2018年加州消費者隱私法(the California Consumer Privacy Act,以下簡稱「CCPA」),將於2020年1月1日生效。新法就消費者對於其被蒐集之個資賦予了一些新的權利。
受CCPA規範的「企業」係指任何符合以下條件之一且在加州從事營業活動的營利事業:
(i)年營業額超過2,500萬美元;
(ii) 為了商業目地而購買、收受、出售、或共享至少50,000筆以上之消費者、家庭戶、存儲於設備中的個資;或
(iii) 出售消費者個資占其一半以上的營業額。
如同企業面臨到遵循歐盟個人資料保護法之挑戰(General Data Protection Regulation,以下簡稱「GDPR」),CCPA亦將對企業於加州的商業行為造成明顯的衝擊。受CCPA規範之企業的主要義務如下:
對於個資之蒐集應為揭露
蒐集個人資料的企業必須揭露下列事項:
(i) 被蒐集的消費者個資之類別;
(ii)消費者個資的蒐集來源之類別;
(iii) 蒐集或出售消費者個資的營業或商業目的;
(iv)與該企業共享消費者個資的第三方之類別; 及
(v) 企業所蒐集有關該消費者的具體個資內容。
告知隱私權及其行使內容
企業應向消費者揭露下列具體內容:
(i) CCPA賦予消費者之權利,包括:
1.得取得被企業蒐集的消費者個資;
2.得要求刪除被蒐集的消費者個資;
3.得要求揭露被蒐集及與他人共享的消費者個資;
4.得要求揭露被出售的消費者個資之類別;
5.得選擇不出售消費者個資;及
6.企業對於消費者行使CCPA項下之權利不會給予差別待遇;
(ii) 消費者至少有兩種方式可行使CCPA項下之權利,包括可透過一免付費電話號碼及該企業的網址來行使;及
(iii)企業為營業目的所蒐集、出售或揭露的消費者個資之類別。
取得被蒐集與共享的個資
當企業收到來自消費者的請求時,企業必須向消費者揭露其所蒐集的個資類別與具體的個資內容,以及與之共享個資之第三方的類別。企業並不得向消費者收取揭露費用。
刪除個資
企業應依消費者的請求,刪除該消費者的個資,並確保其服務提供商也將一併進行刪除。但在有限的例外情形下得不予刪除。
得選擇不出售個資
在未事先向消費者發出通知且給予消費者機會得選擇不出售其個資之情形下,則企業不得出售該消費者的個資。為使消費者得以行使該權利,企業應採取之方式包括在其網站上提供「請勿出售本人個資」的連結,引導消費者造訪允許其可選擇不出售個資的網頁。
未成年者得選擇不出售個資
當企業知悉消費者未滿16歲時,在消費者未明確選擇同意前,其不得出售該消費者的個資。
資料維安
若企業未實施和維護符合個資特性的「合理維護個資安全之程序及作法」,其將面臨CCPA責任。
企業若未遵循CCPA將面臨:
(i) 加州總檢察長針對每次違規最高7,500美元的裁處。
(ii) CCPA賦予私人求償權,允許消費者單獨或集體訴訟,尋求法定或實際損害賠償、禁制令和其他救濟。
總結,根據目前的定義,CCPA規範對象不及於加州以外的中小企業。然而,受規範之企業不限於在加州有實體經營(physical presence)者。如果事業體在加州進行網路銷售,且有購買、收受、出售、或與他人共享至少50,000筆以上的個資(無論該個資是否是從加州消費者蒐集而來),其即應遵守CCPA規範。此外,提議CCPA修正案目前正在審查中,該修正案意在取消30天的補正期和特定檢察總長指導權。若立法機關通過該修正案,則意味著企業將沒有緩衝期間進行改正,亦無法向加州檢察總長尋求法律指導。因此,受到CCPA規範的台灣企業,應盡快尋求法律援助,以遵守此一複雜法案。