美國通過第24號CPRA提案 《加州消費者隱私法》將達到歐盟GDPR標準

2020-11-20

CPRA將先前已被認為為美國最周全的資料隱私法──2018年《加州消費者隱私法》(CCPA)──做全面修訂,不只修改了已在今年(2020)初生效的CCPA關鍵部分: 對於CCPA下的商業關係至關重要的一些定義外,CPRA還規定了更多的消費者權利,結合了資料最小化和《一般資料保護規則》中的其他原則。

作者

作者

No items found.

魏培元

於2020年11月3日,除了美國總統大選之外,加州選民通過了第24號提案《加州隱私權法案》(California Privacy Rights Acts, 或CPRA)。

CPRA將先前已被認為為美國最周全的資料隱私法──2018年《加州消費者隱私法》(CCPA)──做全面修訂,不只修改了已在今年(2020)初生效的CCPA關鍵部分: 對於CCPA下的商業關係至關重要的一些定義外,CPRA還規定了更多的消費者權利,結合了資料最小化和《一般資料保護規則》中的其他原則,並設立加州隱私保護局作為全新的法規執行者,以取代總檢察長辦公室。

以下為新通過CPRA主要規範的概要:

管理機構

CPRA將所有的資金、規則制定和執行權限從總檢察長轉移到新的加州隱私保護局(Privacy Protection Agency, PPA)。主要的執法責任仍歸州政府機構(而不是私人訴權),但有微小卻重要的變化。具體而言,對於與未滿16歲未成年人相關的違法行為,CPRA的罰金增加三倍,並取消目前可資企業利用的CCPA下30天改正期。

消費者隱私權

CPRA增加了數個新的消費者隱私權及保護:

1. 更正不正確資料的權利

對於商家所持有之個人資料,消費者有權更正不正確部分。

2. 擴大選擇退出資料「共享」的權利

消費者對於使用個人資料進行自動決策有權選擇退出之權利,包括消費者工作表現、經濟狀況、健康狀況、個人喜好、興趣、可靠性、行為、位置或動作之剖繪,以進行評估或決策。CPRA還擴大了選擇退出權的範圍,同時囊括「銷售」和「共享」,並包含為「跨情境行為廣告」而向第三方揭露個人資料之情形,而使加州法律規範線上廣告網路之方式益加明確 。

3. 限制使用敏感個人資料的權利

CPRA涵蓋一項新的消費者權利,可以限制使用及揭露敏感個人資料,其中包括有關種族和族裔、性取向、精確地理位置以及在HIPAA範圍之外的某些健康資料的訊息(註:HIPPA意指Health Insurance Portability and Accountability Act,對於健康及醫療個資有特別規範)。 依消費者要求,業者不僅必須停止出售或共享敏感資料,且就此類資料的任何內部使用或其「次要」目的,都必須予以限制。

4. 數據最小化和目的限制

CPRA建立了一項新的一般義務(1798.100),即企業蒐集、處理、保管和共享消費者的個人資料,「對於達成蒐集或處理個人資料之目的,或達成其他符合個人資料蒐集情境下已揭露之目的(且並未以衝突於該目的之方式處理者),應具有合理必要性,且比例相符。」

總而言之,CPRA保留了與CCPA相同的基本結構,但對受監理的企業類型,有小幅調整。業者未來必須檢閱其服務提供商/承包商條款,以確保條款涵蓋必要的合約條款及服務範圍,確保其並未訂有違反CPRA的行銷和廣告行為態樣。許多業者可能需要執行新流程,以因應這些新的消費者權益。而此提案之通過,代表加州隱私權規範更趨嚴格,將達到歐盟《一般資料保護規則》(General Data Protection Regulation,GDPR)標準。

最後,CPRA規定,新主管機關自2023年1月1日起始依CPRA執行民事和行政執法,且該等民事與行政執法僅適用於該日期以後所發生的違規行為。在此之前,業者僅必須遵守CCPA及其施行規則。