《正式生效!加州消费者隐私法下企业应注意事项》(台湾)

陈祯忆律师 江晓萱律师 郑伊芳(加州律师)[1]

一、前言

加州消费者隐私法(California Consumer Privacy Act,以下简称CCPA)于2018年11月立法通过,期间经过多次修正,已于2020年1月1日正式生效[2]。CCPA适用于符合一定条件之营利事业,也适用于符合法规门坎要求之非美国企业。 加州作为美国境内最大、世界排名第5大之经济体[3],台湾企业在从事跨国交易时,极可能与加州境内企业进行商业往来,鉴于现今企业搜集、利用个人资料已为常态,且CCPA适用目标范围广大,故本文将简要说明CCPA重要规定、应适用法规之企业门坎,并提供企业因应CCPA之应注意事项,作为参考;另我们后续也将另为撰文,藉此比较法发展检视我国法制:

二、CCPA适用范围

CCPA规范对象为任何营利事业,不论是否设立于加州,只要该企业于加州从事营业行为(do business in the State of California),以及控制该营利事业之控制企业,或与符合前开要求之营利事业共享商标之任何主体,若满足下列条件之一者,即为应受CCPA规范之营利事业(「受规范企业」)[4]

1. 年营业总额达2500万美金以上;

2. 每年基于商业目的购买、收受、贩卖或共享超过5万笔消费者(亦即居住于加州之自然人)、家庭(household)或装置之个人资料;或

3. 每年至少或超过50%以上之营业额源自于贩卖加州消费者之个人资料。

三、CCPA重要规范

(一) CCPA赋予消费者相关当事人权利,包括但不限于:

1. 近用权:消费者得请求企业免费揭露所搜集、贩卖之其个人资料类型、数据源类别,及企业将个人资料与之共享之第三方所属商业类别[5]

2. 删除权:消费者得请求企业删除其个人资料,且除基于法定事由(例如履行契约义务、维护法定权利、基于公共利益所为研究等)而有必要者外,企业应删除其所持有之该消费者个人资料,并指示相关服务提供商一并删除之[6]

3. 拒绝贩卖权/事前同意权(未成年人):消费者得拒绝企业贩卖其个人资料,亦即企业于贩卖个人资料前,应提供满16岁以上之人「选择退出权利(Right to opt-out)」;对于13岁至15岁之人及未满13岁之人,则应分别取得其「选择同意(opt-in)」或其法定代理人之「选择同意」 。

(二) 受规范企业应对消费者履行下列义务:

1. 企业应善尽告知义务:企业于搜集消费者个人资料前,应告知其所搜集之个人资料类型及目的[7]

2. 企业应提供管道供消费者行使其权利[8]企业应提供至少两种以上的管道,且应包含免付费电话;如企业有经营官方网站,应让消费者得透过其网站提出申请;如企业仅在网络营运,则只须提供电子邮件地址。

3. 企业应于法定期限内回复消费者之申请:企业应于收到请求后45日内回复消费者,必要时得延长至90日,如需延长回复期间,企业应于收到消费者请求后45日内将延长事项通知提出申请的消费者。

4. 禁止差别待遇[9]企业不得对行使权利之消费者为差别待遇,受CCPA禁止之差别待遇行为,包含但不限于企业拒绝提供消费者产品或服务、企业对行使权利消费者收取异于行使权利前之服务费用、企业提供行使权利消费者收取异于通常质量水平之产品或服务。

(三) 企业若未遵循CCPA之规范,将面临以下罚则:

1. 罚款:企业违反CCPA规范且未于受通知后30日内改善者,将可能受到法院禁制令;且针对单一违法行为最高得处以2500美元罚款,故意犯之则得处以7500美元罚款[10]

2. 损害赔偿:依据CCPA规范,企业如消费者个资外泄或受侵害之事故,系因企业未采取适当安全措施或制定信息安全机制所致者,消费者得自行或以团体诉讼方式对该企业提起民事损害赔偿诉讼,于单一事件中每一位消费者得请求之法定损害赔偿额为100美元至最高750美元[11],惟消费者实际受损害金额较高者,法院得以之认定为损害赔偿金额。

四、企业应注意事项

综上所述,企业于加州从事贩卖商品或服务之营业行为者,应特别注意下列事项:

(一) 应先检视企业是否直接或间接成为CCPA规范对象:企业应确认自身、母公司或关系企业是否已符合CCPA前述规范对象条件,举例而言,即使一企业本身不符合CCPA规范对象条件,但只要与其共享商标之关系企业落入应适用CCPA范围,则该企业即应适用CCPA,故其应尽快修订企业隐私声明并建立相应内控制度,以符合CCPA之要求。

(二) 企业应检视与商业合作伙伴之合作模式:企业应重新检视与合作伙伴间之合作协议、实际合作营运模式等,是否涉及加州消费者之个人资料搜集、处理及利用,以确保彼此合作协议及相互运作流程符合CCPA规范,例如合作协议中,是否已约定限制合作伙伴利用、贩卖加州消费者个人资料。

企业应检视内部流程及个资安全管理措施:受规范企业应确保内部管理机制是否符合业界通常之标准(standard industry practice),以落实CCPA对于个资安全管理措施标准要求,避免受规范企业因未符合业界标准导致个资外泄事故时,须向加州消费者负担损害赔偿责任。

[1] 本文內容並非法律意見,亦不代表事務所立場。

[2] State of California Department of Justice website,“Background on the CCPA & the Rulemaking Process”,https://oag.ca.gov/privacy/ccpa,最後瀏覽日:2020年3月18日。

[3] https://markets.businessinsider.com/news/stocks/california-economy-16-mind-blowing-facts-2019-4-1028142608

[4] CCPA, Section 1798.140(c)

[5] CCPA, Section 1798.100(a)(c), 1798.110 and 1798.115.

[6] CCPA, Section 1798.105.

[7] CCPA, Section 1798.100(b).

[8] CCPA, Section 1798.130(a).

[9] CCPA, Section 1798.125.

[10] CCPA, Section 1798.155.

[11] CCPA, Section 1798.150.