明毓律師事務所HSU & Associates
2021/4/1 / 時事探討

加州消費者隱私保護法(CCPA)升級版?加州隱私權利法(CPRA)要來了!

2020 年 11 月 3 日,於美國大選如火如荼舉行之際,留心個資權利發展趨勢者所關注之重點,則係加州同時通過之《加州隱私權利法(California Privacy Rights Act,下稱 CPRA)》。本法係針對2019年《加州消費者隱私保護法(California Consumer Privacy Act ,下稱 CCPA)》之全面修訂,增強並擴張了CCPA規範,其將於 2023 年 1 月 1 日生效,並於 2023 年7 月 1 日起發生全面之執法效力,該效力並回溯至 2022 年 1 月 1日——意即,自 2022 年 1 月 1日 起所蒐集之個人資訊均應遵守 CPRA 之規範。

 

CCPA 既係大眾所公認美國最周全的資料隱私法案,亦被認為係與歐盟一般資料保護規則(General Data Protection Regulation, GDPR)可相提並論之先進個資立法。因此,承繼 CCPA 進行修訂之 CPRA 於資料隱私規管策略上將如何調整,即成為各界關注之重點。本文即擬略述 CPRA 之規範重點供讀者對此一個資修訂新法有初步了解:

 

一、加州隱私保護局(California Privacy Protection Agency,下稱CPPA)之設立:CPRA 設立 CPPA 做為 CPRA 及 CCPA 之執法主管機關,負責規則制定及執行法規。

二、企業定義及規範對象之調整:CPRA 更改了企業之定義以排除小型企業,並將「透過蒐集、共享、出售加州居民個人資訊盈利」之大型企業納入規範。

三、增加四項資料主體之個資權利:

(一)更正權(Right to Correct Information):對於企業所持有之個人資料,消費者有權更正。企業應向消費者披露此項新權利,並於消費者提出請求時,盡商業上合理努力(commercially reasonable efforts)進行更正。

(二)限制敏感資訊之權利(Right to Limit Sensitive Personal Information):CPRA 創建了「敏感個人資訊(sensitive personal information)」此一類別,包含種族、宗教、性向、地理定位等。消費者可以限制企業於此類資訊之使用及披露,企業並應提供清晰操作指示便利消費者行使此權利。

(三)近用自動決策相關資訊之權利(Right to Access Information About Automated Decision Making):消費者有權得知用以分析其個人資料之自動決策方法之邏輯及演算過程。

(四)退出自動決策科技之權利(Right to Opt-Out of Automated Decision-Making Technology):消費者有權於自動決策科技就其工作表現、經濟狀況、健康、個人偏好、興趣、可靠程度、行為表現、定位或動作剖繪進行評估或決策時選擇退出。

四、修改五項 CCPA 已予規範之個資權利:

(一)擴張知情權之請求範圍(Expanded Right to Know):於 2022 年 1 月 1 日後蒐集之個人資訊,CPRA允許消費者向企業請求自請求日起回溯超過十二個月的資訊;CCPA之規定則為十二個月。

(二)擴張選擇退出權(Expanded Right to Opt Out):CPRA 擴張了 CCPA 所規範之選擇退出權,將選擇退出權利及於個人資訊之「共享(sharing)」。「共享」指企業將消費者個人資訊移轉或提供給第三方進行「跨情境行為廣告」(cross-context behavioral advertising),無論出於金錢或其他利益考量。所謂「跨情境行為廣告」,指於消費者並未有意與特定企業、網站、應用程式或服務互動並提供個資之情況下,前述主體運用用戶追蹤之方式,目標性鎖定消費者,運用其個人資訊投放廣告。

(三)修改之刪除權(Modified Right to Delete):CPRA 擴張個資刪除義務人之範圍。企業於接獲消費者所提出之刪除請求後,須通知其服務提供商(service provider)、承包商(contractor),各服務提供商及承包商亦應通知其下游。除此之外,企業亦應通知曾向其購買或共享個資之第三方,除非欲達成該通知係不可能或成本顯不相稱。

(四)擴張之資訊可攜權(Expanded Right to Data Portability):CCPA 並未明確描述資訊可攜權之請求方式,僅規範當消費者向企業請求時,得以 Email 或是電子方式獲取其個人資訊。CPRA 則規範消費者有權請求企業在技術上可行的範圍內將其個人信息傳輸給其他實體。

(五)強化未成年人之個資選擇加入權(Strengthened Opt-In Rights for Minors):於未成年人拒絕提供個人資料之十二個月內,企業不得再次提出請求。

 

CPRA 承繼了 CCPA 之既有架構,但於規範之企業類型、企業之義務、消費者之權利方面均有調整,並設立專責主管機關。為了避免個資保護義務過度擴張造成企業難以支應之成本,企業與服務提供商及承包商訂定合約時,需更加謹慎,確保契約條款就個資保護措施有明確規範,且契約內容並未有任何違反 CPRA 之行為態樣。有歐盟一般資料保護規範(GDPR)及 CCPA 在前,CPRA 是否將更進一步衝擊企業之個資保護措施整備,則有待觀察。

 

參考資料:

1. California Consumer Privacy Act 

2. California Privacy Rights Act

3. The National Law Review, ‘CPRA Series: New, Expanded and Modified Consumer Rights’(November 30, 2020)
文章分類
近期文章
拜登《發展數位資產行政命令》簡介
加密貨幣該怎麼管?美國《金融創新責任法案》簡介(下篇)
加密貨幣該怎麼管? 美國《金融創新責任法案》簡介(上篇)
公益與營業秘密揭露之兩難——簡介TRIPS Covid-19豁免提案
認識歐盟新版標準契約條款:個資國際傳輸新發展
深偽技術移花接木——面對人工智慧,個資法準備好了嗎?
疫苗通行證將上線?淺談「台北通app」之個資蒐用問題
中國個人信息保護法開跑!十大重點一次看!
真的假的!?埋在發財致富路的陷阱 ——淺談詐欺取財罪與非法吸金罪
謝絕來電計畫——公正第三方介入當事人同意機制之可行性?
召集股東會:是雙胞胎!恭喜老爺,賀喜夫人!?
萬華區民眾健保卡註記事件之隱私疑雲——兼談「剖析」之基本概念
從隱私保障角度檢討疫情警示簡訊:「細胞廣播」與「類細胞簡訊」之運用
匿名化或假名化?資料去識別化之概念釐清
召集股東會:喚醒沉睡在股份中的表決權
誰在暗處解讀戰術?——即時轉播對於營業秘密保護的可能影響
「繼續閱覽代表我同意」?淺談GDPR及CPRA對於同意有效性之認定
以「臺灣社交距離app」找到人與人的連結,但我的個資也被連結了嗎?
召集股東會:誕生吧!決議!
除了GDPR外,你還要知道 ePrivacy Regulation
馬賽克理論簡介——隱私內涵之再反省
打擊盜版?尊重言論自由?——在光譜間擺盪的網路平台業者
Facebook透明報告出爐!機器學習讓打擊盜版更有效率
全國通用「簡訊實聯制」上路:效率防疫倒映之隱私隱憂
天網是什麼?簡評「電子圍籬」及「雲龍系統」運用的隱私疑慮
如影隨形的小甜餅將何去何從:從第三方 Cookies 的使用限縮談「 Cookies 同意」
GoPro、UBER主動出擊! 原來定期檢索競爭對手商標很重要
你的同意不是你的同意!?從歐盟個資保護委員會公布之05/2020指引看當事人同意效力
人工智慧近期國際動態—美國FTC針對人工智慧偏見之建議與歐盟人工智慧法律框架草案
個資外洩怎知道?從Facebook近日個資侵害事件看個資事故之通知