明毓律師事務所HSU & Associates
2021/4/1 / 時事探討

加州消費者隱私保護法(CCPA)升級版?加州隱私權利法(CPRA)要來了!

2020 年 11 月 3 日,於美國大選如火如荼舉行之際,留心個資權利發展趨勢者所關注之重點,則係加州同時通過之《加州隱私權利法(California Privacy Rights Act,下稱 CPRA)》。本法係針對2019年《加州消費者隱私保護法(California Consumer Privacy Act ,下稱 CCPA)》之全面修訂,增強並擴張了CCPA規範,其將於 2023 年 1 月 1 日生效,並於 2023 年7 月 1 日起發生全面之執法效力,該效力並回溯至 2022 年 1 月 1日——意即,自 2022 年 1 月 1日 起所蒐集之個人資訊均應遵守 CPRA 之規範。

 

CCPA 既係大眾所公認美國最周全的資料隱私法案,亦被認為係與歐盟一般資料保護規則(General Data Protection Regulation, GDPR)可相提並論之先進個資立法。因此,承繼 CCPA 進行修訂之 CPRA 於資料隱私規管策略上將如何調整,即成為各界關注之重點。本文即擬略述 CPRA 之規範重點供讀者對此一個資修訂新法有初步了解:

 

一、加州隱私保護局(California Privacy Protection Agency,下稱CPPA)之設立:CPRA 設立 CPPA 做為 CPRA 及 CCPA 之執法主管機關,負責規則制定及執行法規。

二、企業定義及規範對象之調整:CPRA 更改了企業之定義以排除小型企業,並將「透過蒐集、共享、出售加州居民個人資訊盈利」之大型企業納入規範。

三、增加四項資料主體之個資權利:

(一)更正權(Right to Correct Information):對於企業所持有之個人資料,消費者有權更正。企業應向消費者披露此項新權利,並於消費者提出請求時,盡商業上合理努力(commercially reasonable efforts)進行更正。

(二)限制敏感資訊之權利(Right to Limit Sensitive Personal Information):CPRA 創建了「敏感個人資訊(sensitive personal information)」此一類別,包含種族、宗教、性向、地理定位等。消費者可以限制企業於此類資訊之使用及披露,企業並應提供清晰操作指示便利消費者行使此權利。

(三)近用自動決策相關資訊之權利(Right to Access Information About Automated Decision Making):消費者有權得知用以分析其個人資料之自動決策方法之邏輯及演算過程。

(四)退出自動決策科技之權利(Right to Opt-Out of Automated Decision-Making Technology):消費者有權於自動決策科技就其工作表現、經濟狀況、健康、個人偏好、興趣、可靠程度、行為表現、定位或動作剖繪進行評估或決策時選擇退出。

四、修改五項 CCPA 已予規範之個資權利:

(一)擴張知情權之請求範圍(Expanded Right to Know):於 2022 年 1 月 1 日後蒐集之個人資訊,CPRA允許消費者向企業請求自請求日起回溯超過十二個月的資訊;CCPA之規定則為十二個月。

(二)擴張選擇退出權(Expanded Right to Opt Out):CPRA 擴張了 CCPA 所規範之選擇退出權,將選擇退出權利及於個人資訊之「共享(sharing)」。「共享」指企業將消費者個人資訊移轉或提供給第三方進行「跨情境行為廣告」(cross-context behavioral advertising),無論出於金錢或其他利益考量。所謂「跨情境行為廣告」,指於消費者並未有意與特定企業、網站、應用程式或服務互動並提供個資之情況下,前述主體運用用戶追蹤之方式,目標性鎖定消費者,運用其個人資訊投放廣告。

(三)修改之刪除權(Modified Right to Delete):CPRA 擴張個資刪除義務人之範圍。企業於接獲消費者所提出之刪除請求後,須通知其服務提供商(service provider)、承包商(contractor),各服務提供商及承包商亦應通知其下游。除此之外,企業亦應通知曾向其購買或共享個資之第三方,除非欲達成該通知係不可能或成本顯不相稱。

(四)擴張之資訊可攜權(Expanded Right to Data Portability):CCPA 並未明確描述資訊可攜權之請求方式,僅規範當消費者向企業請求時,得以 Email 或是電子方式獲取其個人資訊。CPRA 則規範消費者有權請求企業在技術上可行的範圍內將其個人信息傳輸給其他實體。

(五)強化未成年人之個資選擇加入權(Strengthened Opt-In Rights for Minors):於未成年人拒絕提供個人資料之十二個月內,企業不得再次提出請求。

 

CPRA 承繼了 CCPA 之既有架構,但於規範之企業類型、企業之義務、消費者之權利方面均有調整,並設立專責主管機關。為了避免個資保護義務過度擴張造成企業難以支應之成本,企業與服務提供商及承包商訂定合約時,需更加謹慎,確保契約條款就個資保護措施有明確規範,且契約內容並未有任何違反 CPRA 之行為態樣。有歐盟一般資料保護規範(GDPR)及 CCPA 在前,CPRA 是否將更進一步衝擊企業之個資保護措施整備,則有待觀察。

 

參考資料:

1. California Consumer Privacy Act 

2. California Privacy Rights Act

3. The National Law Review, ‘CPRA Series: New, Expanded and Modified Consumer Rights’(November 30, 2020)