加州消費者隱私保護法 (CCPA) California Consumer Privacy Act
加州消費者隱私保護法案(California Consumer Privacy Act,以下簡稱CCPA)是為增強美國加州居民的隱私權與保護消費者的法案。該法案已於2018年6月28日由加州立法機構通過,將於2020年1月1日正式生效。販售至美國加州的商家與企業須儘早採取對應措施,以避免CCPA生效後受裁罰。
用意
此法案提供加州居民以下權利:
- 了解他們被收集了哪些個資。
- 了解他們的個資是否被出售或公開給其他公司,以及所銷售之對象。
- 加州居民可拒絕出售個資。
- 加州居民得以瀏覽個資。
- 要求企業刪除從該消費者中所收集的個資。
- 不因行使其隱私權而受到歧視。
合規
CCPA 應用於任何在加州進行銷售的企業,包含任何收集消費者個人資訊的營利性企業,且至少滿足一項下列條件:
- 企業年收入超過2,500萬美金或
- 擁有50,000筆以上的消費者、家庭、設備的個資或
- 企業年收入的一半以上來自銷售消費者的個資
企業在保護消費者個資時必須「實施和維護合理的安全程序及辦法」。
責任歸屬
- 13歲以下之未成年人之個資獲取及分享,須經由父母或法定監護人同意;13至16歲之間之未成年人須本人同意來進行個資獲取及分享(取自加州民法典 § 1798.120(d))。
- 在企業網站首頁上顯示「請勿販售我的個資」之連結,且該連結可將用戶導向可選擇或授權不販售消費者個資的網頁(取自加州民法典 § 1798.102)。
- 在消費者向企業提交個資瀏覽請求的方式中,需至少含有免付費電話號碼(取自加州民法典 § 1798.130(a))。
- 企業需更新隱私政策來包含此CCPA新的資訊,其中需包含敘述加州居民的權利(取自加州民法典 § 1798.135(a)(2))。
- 在加州居民選擇不同意索取個資後的12個月內,需避免再次請求同意索取個資(取自加州民法典 § 1798.135(a)(5))。
制裁與賠償
可採取以下制裁與賠償措施:
- 企業、維權人士、協會與其他組織被授權得以代表加州居民,行使退出提供個資之權利(取自加州民法典 § 1798.135(c))。
- 因個資竊盜或其他個資安全相關行為違法之公司,得在民事訴訟中,向每位事件中之加州居民支付100美元至750美元的法定賠償金,或實際損失賠償金,以較高者為準;若由加州檢察總長起訴該公司,則須賠償法院判定之其他賠償金額(取自加州民法典 § 1798.150)。
- 每次故意違規的最高罰款為7,500美元,每次非故意違規的最高罰款為2,500美元(取自加州民法典 § 1798.155)。
- 隱私聲明必須於網站中輕易瀏覽,並明確註明其他訪問權限的方式。
個資定義
CCPA將個資定義為識別、關聯、敘述、合理地能夠與特定消費者或家庭直接或間接關聯的資訊,如真實姓名、別名、郵寄地址、獨特個人識別器、線上識別地址、電子郵件地址、帳戶名稱、社會安全號碼(SSN)、駕照號碼、護照號碼,或其他類似的識別號碼。
附加的警告標示、涉及、敘述或能夠與特定的人士相關聯,包括且不限於其姓名、簽名、社會安全號碼(SSN)、身體特徵或敘述、地址、電話號碼、護照號碼、駕照號碼、身份證號碼、保險單號、學歷、工作、工作經歷、銀行帳戶號碼、信用卡號碼、現金卡號碼或其他財務資訊、醫療資訊或健康保險資訊。
CCPA法案中,不將公開資訊視為個資(取自加州民法典 § 1798.140/(o)(2))。
CCPA 與 GDPR(一般資料保護規範 General Data Protection Regulation)之間的主要區別包含兩者的範圍與地區範圍、與受保護資訊有關的定義、定義層級以及個資銷售的選擇權利。CCPA在個資上的定義與GDPR有所不同,因為在某些情況下CCPA僅考慮由消費者提供的資訊,並不包括第三方購買或透過第三方獲取的個資。GDPR並未對此加以區分,而是涵蓋了所有資訊,無論該資訊的來源為何(即便在敏感的個資情況下,如果根據第9條 [Art.9(2),e] 的規定,由個資主體自己明確公開的資訊也將不適用)。因此,GDPR中的定義要比CCPA的定義來得廣泛。
隨著CCPA生效日的到來,歐斯瑞提供給您針對新隱私政策所需的完善頁面設計。有需相關服務歡迎隨時與我們聯繫,以及追蹤我們的臉書粉絲團,即時掌握最新資訊!
本文章取自維基百科 California Consumer Privacy Act
參考文章:
我要留言