近年來,隨著新興科技的發展,隱私保護亦逐漸成為眾所矚目的課題,而當大多數的台灣公司皆將注意力放在今(2018)年5月正式生效的歐盟「通用資料保護規則(General Data Protection Regulation, GDPR)」,以避免面臨法遵風險時,亦應注意美國即將於2020年1月1日生效的「加州消費者隱私法(California Consumer Privacy Act, CCPA)」,並應及早完成個資盤點等工作,以避免屆時可能發生的法律爭議。
CCPA的背景與施行
長期以來,加州消費者隱私權組織(Californians for Consumer Privacy)有感於許多大型企業對於消費者的個人資料取得輕易,而一般消費者卻幾乎沒有拒絕提供個人資料的權利,亦無法得知大型企業究竟掌握了多少個人資料,該組織認為蒐集了大量個人資料的大型企業應有責任提供消費者選擇是否提供個人資料的權利,亦應揭露其所使用個人資料的方式以及其所分享的對象,故於2017年,加州消費者隱私權組織提出法律草案,並開始進行連署,次年,該組織蒐集了629,000份連署,並取得了將該組織版本的CCPA提出進行公投的權利。
而由於加州消費者隱私權組織版本的CCPA相當嚴格,為避免對企業衝擊過大,遂有參議員與眾議員與該組織協商,希望該組織能撤回提案,而作為交換,參、眾議院將通過一個類似的隱私權保護法案,該組織最終答應了參、眾議員的協商,撤回了提案,而加州州長亦於今(2018)年6月28日簽署了CCPA。雖說即將於2020年1月1日生效的CCPA比起加州消費者隱私權組織最初所提的版本已經相對寬鬆,惟這並不表示企業得以掉以輕心,CCPA仍然提供了消費者許多新的權利,企業應及早開始進行個資盤點等法遵工作,已避免CCPA生效後遭受裁罰。
CCPA保護了誰的個人資訊?
顧名思義,CCPA主要的保護對象即為加州的消費者,而根據CCPA的定義,所謂「消費者」指的是居住於加州的自然人,包含所有非暫時性停留於加州的自然人以及雖然短暫離開加州但居籍位於加州的自然人。
CCPA賦予了前述的消費者許多權利,本文簡單列舉部分如下:
1.知悉權(Right to Know):企業於蒐集消費者的個人資料前,應明確告知其所蒐集的範圍,消費者有權知悉企業分享其個人資料的對象、企業是否從其他來源蒐集消費者的個人資料以及企業蒐集個人資料的目的,且消費者有權要求企業揭露其所蒐集的個人資料,並將所蒐集的資料製成複本,提供消費者確認,且針對消費者的前述要求,於一年兩次的範圍內,企業不得收取任何費用。
2.退出權(Right to Opt-out):若企業有銷售消費者的個人資料予第三方的行為,消費者有權利要求企業停止銷售其個人資料。
3.要求平等服務權:如消費者拒絕企業將其個人資料銷售予第三方,企業不得對該等消費者有任何的歧視或不平等的待遇。
4.賠償請求權:若蒐集個人資料的企業疏於對個人資料實行一定的安全措施,嗣後若發生個資外洩等事故,消費者得向該等企業請求賠償。
綜上所述,CCPA的施行主要有三個目標,首先,賦予消費者知悉企業究竟蒐集了那些個人資訊的權利;其次,賦予消費者拒絕企業分享或出售其個人資料的權利;最後,若企業未妥適保護其所蒐集的個人資料,並對消費者造成損害,消費者有權請求賠償。
台灣公司為何會受到加州法規的影響?
依照CCPA規定,任何事業不論是否設立於加州,若有蒐集或控管加州消費者個人資料之情形,並於加州從事營業活動,且滿足下列條件之一者,皆將受到CCPA的規範:
1.年度總收入超過兩千五百萬美金;
2. 每年收到或分享總計超過五萬筆加州居民、家庭或裝置的個人資訊;
3. 年度收入的百分之五十以上源自於出售加州居民的個人資料。
除此之外,尚須注意若一公司的母公司或子公司符合CCPA所定之條件,該公司亦將受到CCPA的規範。
綜上所述,台灣公司應先檢視自身以及相關母公司、子公司的經營情形,判斷其規模與收入來源,並檢視是否有將產品或服務提供給加州居民之情形,且應注意縱使公司在加州並無實體營運,惟只要公司將商品或服務販售至加州(例如網路商店或網路服務),都有可能被認定為於加州從事營業活動,並受到CCPA的規範。
如果違反了CCPA,會有何後果?
如果一企業故意違反了CCPA,且未於受通知後30日內改善,每次違反的情形可能會被加州檢察總長處以最高7,500美元的民事罰款;同時,CCPA亦賦與加州消費者對企業提起民事訴訟的權利,詳言之,如企業未針對所蒐集的加州消費者敏感性個資施行適當的安全措施或制定一定的安全機制,嗣後發生消費者個資遭到未經授權取得、外洩、偷竊、或揭露時,個資受到侵害的消費者得以個人名義或聯合其他被害人以集體訴訟的方式對該企業提起損害賠償訴訟。另外,由於個資外洩所造成的損害往往難以估計,CCPA特別規定所謂「法定損害」,即若消費者無法估計實際損失,則對每位加州消費者的每次個資外洩事件將被視為對該名消費者造成了100至750美元的損害,當然,若消費者能適當說明其實際上受到了更高額的損害,則以較高額者為準。
由上可知,CCPA對於企業的處罰或損害賠償之規定係以「每次違反」或「侵害每名消費者」為單位,故企業應有認識,若未妥適施行個資安全機制,嗣後若造成大量消費者個資遭受侵害時,很可能遭加州消費者求償,並支付鉅額的賠償金。
台灣公司應及早因應CCPA
台灣公司可能認為,已經針對GDPR進行過遵法落差分析也建立了相關法遵機制,面臨CCPA的實行,應無需再額外進行處理,惟事實上並非如此,GDPR與CCPA雖然皆為個資保護相關法規,兩者間仍然有許多相異甚至相反的部分。
舉例來說,兩者雖皆要求企業於蒐集個資前應告知個資主體,惟針對是否需取得消費者同意一事,有很大差異,依照GDPR的規範,企業於蒐集、處理、利用或傳輸個人資料前,應具備GDPR所要求的其中一項蒐集處理依據;相對而言,依照CCPA的規範,企業於蒐集或處理個資前並不必然需取得個資主體的同意,惟應賦予個資主體拒絕企業出售其個資的權利。此外,針對個資當事人的權利與行使與應對期限,CCPA亦有與GDPR不同的要求。因此,企業必須理解到,符合GDPR的規定並不必然表示符合CCPA的規範。
綜上所述,台灣公司應及早作好準備以因應CCPA的施行,先初步檢視自身公司是否可能受到CCPA的規範,若答案是肯定的,應著手盤點公司所持有或管理的加州居民個人資料,瞭解個人資料的來源以及處理流程,確保針對該等個人資料已有適當的安全機制及內控制度,並修改公司在網站上或其他地方所提供的隱私保護聲明/個資保護告知事項;同時,公司亦應建立完整的內部規範或作業流程以準備因應加州消費者行使權利的請求。
近年來,隨著新興科技的發展,個資與隱私保護已逐漸成為眾所矚目的議題,GDPR的生效,更開啟了近年個資保護立法的濫觴,可以預見未來除了CCPA外,必將有更多地方性的個資保護法規被制定與施行。台灣公司於從事國際貿易或電子商務等業務的同時,不妨考慮及早進行個資盤點等基礎遵法作業,以確保未來能更有彈性的因應各地不同的個資保護法規。