消費者控制個資的權利–美國加州消費者隱私保護法（CCPA）Part 2

個人資料隱私保護自主權

 顧長芸
2020年03月04日

被稱為加州GDPR的加州消費者隱私保護法CCPA（The California Consumer Privacy Act of 2018），在經歷本年度議會修法提案與表決後，加州州長Gavin Newsom已於2019年10月11日簽署通過五項針對CCPA所提出的修正案（Assembly Bill 1355，AB25，AB874，AB1146，AB1564）以及兩項與CCPA相關之修正案（AB1202與AB1130）。
本會期針對CCPA修正案，主要在於個資定義的修正以及排除企業因特定目的而蒐集個資的適用。修法後，CCPA的個人資料（personal information），是指可直接或間接識別、相關、描述、可合理的（reasonably）連結或可合理的串聯到特定之消費者或家庭的資訊；而個人資料不包含由聯邦、州或當地政府合法公開之紀錄內容，並且已去識別或聚集（aggregate）之消費者資訊，也不屬於個人資料之範圍。

除了修正個人資料之定義外，本次修法也排除企業因僱傭關係、因企業間商務往來、以及因新車輛（motor vehicle）為保固維修所蒐集之個資的適用。 由生效日至2021年1月1日的一年期間，暫時免除企業因僱傭關係與企業間商務往來而蒐集之個資的適用CCPA規範；但兩者免除的範圍並不包括本法1798.150之規範，即企業因未盡到維護合理資安之義務，導致所蒐集之個資遭到外洩時，可由州檢察長（Attorney General of California）或本人提出民事訴訟或救濟。企業因僱傭係而取得之當事人個資、緊急聯絡人資訊以及為申請行政福利而取得之個資，不受CCPA之規範，但企業主仍需盡到告知員工其蒐集之個資種類與個資利用目的等資訊的義務；而企業因商務往來而取得之個資，除前述個資外洩外，不適用於 CCPA的規範。對於新購車輛的車主個資，若由經銷商與製造商因保固內容或召回目的而保存或交換其個資，不受CCPA的規範。

而與CCPA相關之修正案，包括資料仲介業者（data broker）的登錄以及個資種類的放寬。資料仲介業者定義為與消費者未有直接關聯、而販賣（sale）與蒐集消費者個資的企業，AB1202要求資料仲介業者應向州檢察長進行登記，內容包括業者基本資訊以及資料蒐集如何進行，並由州檢察長於網頁公開；而透過公開資料仲介業者的資訊，將有助於消費者行使CCPA所賦予之要求揭露、刪除與不得販賣等權利。AB1130擴大個人資料種類，納入獨特個人生物特徵資訊（unique biometric data）與政府用以識別個人之獨特識別號碼（unique identification number）；若上述消費者個資內容因企業未有適當防護而遭到外洩，則企業除通報消費者與州檢察長外，將更可能因CCPA而被消費者求償。

即將於明年1月1日正式生效的CCPA，將依上述七項修正案後之版本進行。而加州檢察長也已於10月11日提出CCPA施行規則CCPAR（California Consumer Privacy Act Regulation）草案，待確定內容公告後，將可有助於企業釐清CCPA規範在實際操作層面之應用。

2020年03月05日更新：CCPA已於2020年01月01日生效，並於今年07月01日始由主責的加州檢察長執行。加州檢察長於2019年10月提出CCPAR草案並採納公眾意見後，已於2020年2月10日公布CCPAR的修正內容，且在2月25日截止大眾意見的徵求。最終CCPAR版本，將待加州行政法辦公室（Office of Administrative Law, OAL）批准後公告。

---

要聞深探

• Assembly Bill No. 1355, California Legislative Information.（https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201920200AB1355）
• Assembly Bill No. 1202, California Legislative Information.（https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201920200AB1202）
• Assembly Bill No. 1330, California Legislative Information.（https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201920200AB1130）
• California Updates its Data Breach Notification Law.（Labor and Preventive Practices, October 18, 2019, The National Law Review）.
• California Legislature Passes Nation’s Second ‘Data Broker Registration’ Law. （ Sharon Klein, Alex Nisenbaum, Taylor Jon Torrence, Oct. 4, 2019, JDSUPRA）.
• And Then There were Five: CCPA Amendments Pass. （Jeewon Kim Serrato, Susan Ross, Sep. 17, 2019, Data Protection Report）.
• California Consumer Privacy Act Regulations- Information About The Rulemaking Process. （https://oag.ca.gov/sites/all/files/agweb/pdfs/privacy/ccpa-rulemaking-fact-sheet.pdf）

---

---

資料來源

• Everett. Updates to the CCPA: Draft Regulations and New Amendments.（Jeff Rabkin, Edward S. Chang, Lisa M. Ropple, Daniel J. Mcloon, John A. Vogt, Jennifer C., Oct. 10, 2019, Jones Day）.
• CCPA Amendments- What did California Actually Do? （John Tomaszewski, Oct. 17, 2019, LEXOLOGY.）
• Seven Amendments to CCPA Answer the Statute’s Open Questions – Sort of. （Cecilia Jeong and Bryan Clark, Oct. 30, 2019, The National Law Review）.
• CCPA Update: California Governor Signs Seven Amendments to the CCPA.（Alysa Zeltzer Hutnik, Alex Schneider, Katie Townley, Gonzalo E. Oct. 13, 2019, AD Law Access）.
• Final California consumer Privacy Act Amendments Bring Practical Changes（But Your Business May Now Be a California “Data Broker”）.（Alan Charles Raul, Christopher Fonzone, Collee Theresa Brown, Sheri Porath Rockwell, Sep. 17, 2019. LEXOLOGY.）
• CCPA Final Amendments: Where the Act Will Stand.（Wilson Sonsini Goodrich & Rosati, Sep. 30, 2019. JDSUPRA）.
• The California Consumer Privacy Act- A Brief Guide to Covered Employers.（Cynthia J. Larose, Jennifer B. Rubin, Oct. 29, 2019. The National Law Review.）
• CCPA Amendments Are In! Draft CCPA Regulations Are Out.（Theodore Augustinos, Paul Sudentas, Oct. 18, 2019, JDSupra）.
• CCPA Revised Regulations. （Katherine E. Armstrong and Michael Jaeger, The National Law Review, Feb. 21, 2020）

---

延伸閱讀

無

---

作者

顧長芸　中央研究院法律學研究所
本研究感謝「資料安全研發及人才培育計畫」支持