《正式生效!加州消費者隱私法下企業應注意事項》(台灣)

陳禎憶律師 江曉萱律師 鄭伊芳(加州律師)[1]

一、前言

加州消費者隱私法(California Consumer Privacy Act,以下簡稱CCPA)於2018年11月立法通過,期間經過多次修正,已於2020年1月1日正式生效[2]。CCPA適用於符合一定條件之營利事業,也適用於符合法規門檻要求之非美國企業。 加州作為美國境內最大、世界排名第5大之經濟體[3],台灣企業在從事跨國交易時,極可能與加州境內企業進行商業往來,鑑於現今企業蒐集、利用個人資料已為常態,且CCPA適用標的範圍廣大,故本文將簡要說明CCPA重要規定、應適用法規之企業門檻,並提供企業因應CCPA之應注意事項,作為參考;另我們後續也將另為撰文,藉此比較法發展檢視我國法制:

二、CCPA適用範圍

CCPA規範對象為任何營利事業,不論是否設立於加州,只要該企業於加州從事營業行為(do business in the State of California),以及控制該營利事業之控制企業,或與符合前開要求之營利事業共用商標之任何主體,若滿足下列條件之一者,即為應受CCPA規範之營利事業(「受規範企業」)[4]

1. 年營業總額達2500萬美金以上;

2. 每年基於商業目的購買、收受、販售或共享超過5萬筆消費者(亦即居住於加州之自然人)、家庭(household)或裝置之個人資料;或

3. 每年至少或超過50%以上之營業額源自於販售加州消費者之個人資料。

三、CCPA重要規範

(一) CCPA賦予消費者相關當事人權利,包括但不限於:

1. 近用權:消費者得請求企業免費揭露所蒐集、販售之其個人資料類型、資料來源類別,及企業將個人資料與之共享之第三方所屬商業類別[5]

2. 刪除權:消費者得請求企業刪除其個人資料,且除基於法定事由(例如履行契約義務、維護法定權利、基於公共利益所為研究等)而有必要者外,企業應刪除其所持有之該消費者個人資料,並指示相關服務提供商一併刪除之[6]

3. 拒絕販售權/事前同意權(未成年人):消費者得拒絕企業販售其個人資料,亦即企業於販售個人資料前,應提供滿16歲以上之人「選擇退出權利(Right to opt-out)」;對於13歲至15歲之人及未滿13歲之人,則應分別取得其「選擇同意(opt-in)」或其法定代理人之「選擇同意」 。

(二) 受規範企業應對消費者履行下列義務:

1. 企業應善盡告知義務:企業於蒐集消費者個人資料前,應告知其所蒐集之個人資料類型及目的[7]

2. 企業應提供管道供消費者行使其權利[8]企業應提供至少兩種以上的管道,且應包含免付費電話;如企業有經營官方網站,應讓消費者得透過其網站提出申請;如企業僅在網路營運,則只須提供電子郵件地址。

3. 企業應於法定期限內回覆消費者之申請:企業應於收到請求後45日內回覆消費者,必要時得延長至90日,如需延長回覆期間,企業應於收到消費者請求後45日內將延長事項通知提出申請的消費者。

4. 禁止差別待遇[9]企業不得對行使權利之消費者為差別待遇,受CCPA禁止之差別待遇行為,包含但不限於企業拒絕提供消費者產品或服務、企業對行使權利消費者收取異於行使權利前之服務費用、企業提供行使權利消費者收取異於通常品質水準之產品或服務。

(三) 企業若未遵循CCPA之規範,將面臨以下罰則:

1. 罰款:企業違反CCPA規範且未於受通知後30日內改善者,將可能受到法院禁制令;且針對單一違法行為最高得處以2500美元罰款,故意犯之則得處以7500美元罰款[10]

2. 損害賠償:依據CCPA規範,企業如消費者個資外洩或受侵害之事故,係因企業未採取適當安全措施或制定資訊安全機制所致者,消費者得自行或以團體訴訟方式對該企業提起民事損害賠償訴訟,於單一事件中每一位消費者得請求之法定損害賠償額為100美元至最高750美元[11],惟消費者實際受損害金額較高者,法院得以之認定為損害賠償金額。

四、企業應注意事項

綜上所述,企業於加州從事販售商品或服務之營業行為者,應特別注意下列事項:

(一) 應先檢視企業是否直接或間接成為CCPA規範對象:企業應確認自身、母公司或關係企業是否已符合CCPA前述規範對象條件,舉例而言,即使一企業本身不符合CCPA規範對象條件,但只要與其共用商標之關係企業落入應適用CCPA範圍,則該企業即應適用CCPA,故其應儘快修訂企業隱私聲明並建立相應內控制度,以符合CCPA之要求。

(二) 企業應檢視與商業合作夥伴之合作模式:企業應重新檢視與合作夥伴間之合作協議、實際合作營運模式等,是否涉及加州消費者之個人資料蒐集、處理及利用,以確保彼此合作協議及相互運作流程符合CCPA規範,例如合作協議中,是否已約定限制合作夥伴利用、販售加州消費者個人資料。

(三) 企業應檢視內部流程及個資安全管理措施:受規範企業應確保內部管理機制是否符合業界通常之標準(standard industry practice),以落實CCPA對於個資安全管理措施標準要求,避免受規範企業因未符合業界標準導致個資外洩事故時,須向加州消費者負擔損害賠償責任。

[1] 本文內容並非法律意見,亦不代表事務所立場。

[2] State of California Department of Justice website,“Background on the CCPA & the Rulemaking Process”,https://oag.ca.gov/privacy/ccpa,最後瀏覽日:2020年3月18日。

[3] https://markets.businessinsider.com/news/stocks/california-economy-16-mind-blowing-facts-2019-4-1028142608

[4] CCPA, Section 1798.140(c)

[5] CCPA, Section 1798.100(a)(c), 1798.110 and 1798.115.

[6] CCPA, Section 1798.105.

[7] CCPA, Section 1798.100(b).

[8] CCPA, Section 1798.130(a).

[9] CCPA, Section 1798.125.

[10] CCPA, Section 1798.155.

[11] CCPA, Section 1798.150.