比CCPA更像GDPR的CCPA2.0:The California Privacy Rights Act of 2020



 顧長芸
2021年04月28日

前言: CPRA(The California Privacy Rights Act of 2020,加州隱私權法)公投提案人Alastair McTaggart於2018年3月取得通過公投門檻的市民請願書,欲將CCPA(California Consumer Privacy Act of 2018,加州消費者隱私法)提案公投,以保護消費者隱私。由於加州公投通過的法案,修法門檻極高,因此加州參眾兩院與McTaggart協商後,由立法機構通過CCPA,並於同年6月由州長簽署,成為加州州法。由於CCPA通過後,欲修改CCPA的草案極多,其中不乏限縮CCPA中個人權利的草案,為避免CCPA未來成為空洞的法律,因此,McTaggart於2019年底再次提出CCPA2.0,即本篇新聞的主題:CPRA。

美國加州於2020年11月3日以超過9百萬同意票(56.23%比43.77%)的投票結果,通過第24號公投案「消費者個人資訊法與機構提案」(California Proposition 24, Consumer Personal Information Law and Agency Initiative(2020),使CPRA正式成為加州州法。CPRA主要建立於CCPA的架構之上,並參考GDPR(General Data Protection Regulation,歐盟一般資料保護規範)內容而制定;CPRA除擴張原CCPA下個人對個人資訊(personal information)控制的權利之外,CPRA的規範本身也試圖處理現今個人對其個資權利施行上所存在的模糊空間。

CCPA賦予消費者控制個人資訊之權利,其最具特色的規範在於賦予個人退出權(right to opt-out),即消費者可要求企業不得販賣(sell)個人資訊給第三方(third parties)(CCPA, Civil Code §1798.120(a));而在CPRA的規範下,個人除可要求企業不得販賣個資之外,同樣也可要求企業不得與第三方分享(sharing)個資,以解決「販賣」定義上是用金錢或其他價值考量為基礎的不足。在參考GDPR設計下,CPRA加入消費者可要求修正不正確個人資訊之權利(CPRA §1798.106);並加入企業使用自動化決策(automated decision-making)與剖繪(profiling)之內容,且更進一步的賦予個人退出之權利(CPRA §1798.185(16))。

除了個人要求退出權利的擴張,CPRA也增加對「同意」(consent)的定義(CPRA §1798.140(h)),試圖釐清CPRA規範下真正取得個人同意之方式。除了從正面說明,即同意為由個人自由給予、特定、告知且清楚表明個人許可個資為了狹義之特殊目的而處理的意願;CPRA更增加對取得同意的負面說明,例如,接受一般性或極廣之使用條款或相似文件,其內容包括許多不相關之資訊,並不算是同意;而消費者將游標滑過(hovering over)、靜音(muting)、中止(pausing)或關閉(closing)某個彈出的網頁片段內容,也不算是同意;甚至透過使用暗黑模式(dark pattern)取得之使用者協議,即使用者介面因設計或操弄(manipulated)造成對使用者自主、決策或選擇而有破壞(subverting)或損害(impairing)之重大影響者,也不算同意。

CPRA並於一般個人資訊下增加敏感個人資訊(sensitive personal information)類別,賦予個人限制企業利用與揭露敏感個人資訊之權利(right to limit use and disclosure of sensitive personal data)。其敏感個人資訊的定義,除了常見的種族、基因、社會安全號碼、護照號碼之外,尚包括消費者的登入帳戶連同其安全或存取碼、密碼或憑據;消費者的精確地理位置定位(geolocation);消費者信件、電子信件或文字簡訊(text messages)內容;為獨特識別消費者而處理之生物資訊(biometric information);為了消費者健康或消費者性生活或性傾向之個人資訊的蒐集與分析(CPRA §1798.140(ae))。若企業利用前述敏感個人資訊作為推論(infer)消費者個人特性,則個人可向企業要求限制敏感個資之利用與揭露,即企業僅可為其企業目的:包括為了確保個資利用之安全與完整(integrity)而合理必須且合比例之利用;在未揭露個人身分、未建立個人剖繪資料之短期或短暫利用;代表企業而提供服務;以及為驗證、維護或提升其企業服務或設備之品質或安全(CPRA §1798.121)等情況下,利用敏感個人資訊。

評論指出,CPRA的通過,同時設立了美國第一個專責執行隱私保護之機構CPPA(California Privacy Protection Agency,加州隱私保護機構),作為CPRA訂立施行規範(Regulation)、解釋、接受申訴與調查之州級單位,負擔部分原CCPA下由加州檢察長(Attorney General of California)獨立執行之責任。

CPRA的規範對象與違反之罰則,與CCPA大致相同。受CPRA保護之消費者為加州居民(CPRA §1798.140(i)),CPRA規範在加州執業之營利企業,若符合其年度總營收超過2500萬美元,或每年單獨或共同購買、販賣或分享10萬以上消費者或同住者(household)之個人資訊,或年營收50%以上來自於販賣或分享消費者個資,或自願向CPPA保證遵守CPRA規範等企業,則受CPRA之規範(CPRA §1798.140(d))。倘若企業蓄意違反,CPPA得處以每件2500美元之罰鍰(administrative fine)(CPRA §1798.155);若企業造成個人資訊外洩,包括消費者未加密和未編輯(nonredacted)之個人資訊,以及CPRA新增之個人電子信箱及密碼、或安全問題及答案等得以存取帳戶之資訊,將允許個人提起民事訴訟,包括其損害賠償金額由100美元至750美元、或依實際損害金額,兩者以金額高者為準;禁令性(injunctive)或確認性(declaratory)救濟;或其他法院視為適當之救濟。倘若企業得以於事實發生後30天內做出實際補救(cure),企業將不需賠償,但,CPRA特別說明,在個資外洩後合理安全措施與應用之增加或維護,並不算該外洩之補救(CPRA §1798.150)。

CPRA將於2023年1月1日正式施行,取代2020年1月1日才正式施行的CCPA,並有一年之回溯期,即企業自2022年1月1日起所蒐集之個人資料,將適用CPRA。以公投方式通過之CPRA,提高修法門檻,除須同樣經由公民投票方式修法,或因加州或聯邦法院判決CPRA違憲,或以聯邦法為優先等情況下,可修法CPRA之外,CPRA限制立法機構須以促進或與 CPRA之意圖及目的一致為前題的情況下,才得以修法,避免大企業透過遊說立法機構的方式,減弱CPRA的效力。CPPA的五名委員會成員已於今年3月16日由加州州長等人完成任命,而CPRA將成為保護加州居民個人隱私的法制基礎。


Image by Californians for Consumer Privacy(Caprivacy.org)

資料來源

  • The California Privacy Rights Act of 2020.
  • Californians for Consumer Privacy. (caprivacy.org)
  • Ballopedia,California Proposition 24, Consumer Personal Information Law and Agency Initiative(2020).
  • Ballopedia,Legislative Alteration.
  • Ameesh Divatia. CPRA Could bring Stricter Data Privacy Enforcement: Here’s How to Prepare. (Forbes, Nov. 17, 2020)
  • Devika Kornbacher, Briana R. Falcon.  Prop 24 Gets a Yes: California Privacy Rights Act to Become Law. (Lexology, Nov. 4, 2020.)
  • Bret Cohen, Aaron Lariviere, Tim Tobin. Understanding the new California Privacy Rights Act: How Business Can Comply with the CPRA. (JDSupra, Nov.25, 2020)
  • Maria Korolov. CPRA Explained: New California Privacy Law Ramps up Restrictions on Data Use. (CSOonline, Dec. 21, 2020)
  • Quinn Emanuel Urquhart & Sullivan, LLP. February 2021: California Privacy Rights Act (Proposition 24): A Summary of Key Change. (JDSupra, Mar. 01, 2021)
  • Gray Audin. CCPA 2.0 is now a California Regulation. (Telecom Reseller, Mar. 15, 2021)
  • Eversheds Sutherland (US) LLP. California’s new privacy law, the CPRA, was approved: Now what? (Lexology, Nov. 9, 2020)
  • Goldberg Segolla LLP. California’s Proposition 24: Expanding Privacy Protection of California Consumers and Employees under “CCPA 2.0”. (Lexology, Jan. 14, 2021)
  • Barnes & Thornburg LLP. California Voters Pass Proposition 24, the California Privacy Rights and Enforcement Act. (Lexology, Nov. 10, 2020)
  • Julia Flamant, Filippo Raso, Tim Tobin, Hogan Lovells. CPRA countdown: Changes to consumer rights in California. (JDSupra, Feb. 26, 2021)
  • Holly Urban. CCPA and CPRA: What you need to know and consider for customer request. (Lexology, Mar. 01, 2021)
  • Adam Nunn. CPRA Passed. What’s Changing in “CCPA2.0”? (auth0, Dec. 02, 2020)
  • David Stauss. CPRA Update: Board Appointments Announced For California Privacy Protection Agency. (JDSupra, Mar. 18, 2021)
  • Brandon P. Reilly, Scott T. Lashway. The California Privacy Rights act Has Passed: What’s in IT? (Manatt, Phelps & Phillips, LLP, Nov. 11, 2020)
  • OneTrust, CCPA vs. CPRA- What has changed? (Nov. 10, 2021)
  • Buckley LLP. Califrnia modifies CCPA regulations again; appoints California Privacy Protection Agency board members. (Mar. 18, 2021)
  • Machielle Thomas. The California Privacy Rights Act and How to Implement it in your business. (Feb. 02, 2021)
  • Lothar Determann. United States: The California Privacy Rights Act of 2020- A broad and complex data processing regulation that applies to business worldwide. (globalcompliancenews, Feb. 23, 2021)

延伸閱讀


作者

顧長芸 中央研究院法律學研究所
本研究感謝「資料安全研發及人才培育計畫」支持