加州版GDPR 1月1日正式啟動 6月起正式開罰
極具爭議的加州消費者隱私法(California Consumer Privacy Act, CCPA)已經於2020年1月1日正式生效。但有半年緩衝期,讓未獲同意前販賣消費者個資的科技和行銷公司暫且免於受罰。
CCPA於去年6月由加州議題通過及總統川普簽署,它要求任何企業或廠商必須通知使用者藉個資獲利的意圖,並且提供使用者簡單明瞭的方式退出其獲利計畫。
CCPA規定大致如下:
- 企業必須揭露他們蒐集什麼資訊、基於什麼原因,以及這些資訊分享給了哪些第三方單位。
- 企業必須遵守消費者提出刪除資訊的正式要求。
- 消費者可以勾選取消(opt-out)廠商欲銷售的資料,企業不得變更價格或降低服務品質以為報復。
- 但企業可以提供「財務誘因」吸引消費者同意蒐集資料。
- 加州主管機關有權對違規的公司開罰。
CCPA細項可以在此進一步了解,不過可能要好幾年時間企業才能完全了解其衝擊及如何因應。此時受到影響的企業,像科技公司、網路業者或行銷廠商無不驚慌失措。
網路大廠皆曾公開反對CCPA。他們認為此類法令應該是聯邦層級,而非州級法令。這說來也沒錯,畢竟前者保護的用戶比較多,而且廠商也不用像現在要做那麼多文書作業來符合CCPA。但這顯然是一種拖延戰術,而且要制訂聯邦法曠日廢時,且此前美國眾議院忙著彈劾總統川普也無力顧及。這使得CCPA在科技公司反彈中誕生了。
啟動頭6個月是緩衝期,留給企業好好審視了解法令,此時無心犯的錯皆可免罰。但從今年6月起就會開罰了,每案罰金從數千美元起跳,預料很快就會大到Google和臉書等級國際企業才出得起的天價。科技公司方面,微軟已經宣佈要在全美都遵守(而不只是加州)CCPA,Mozilla也准許全球Firefox用戶提出刪除電腦遙測(telemetry)資料的要求。
要符合CCPA難度相當高,但從歐盟GDPR的例子來看還是辦得到的,況且前者的要求還要輕得多。不過如果在加州做生意的貴公司還沒做好準備,最好現在快點動手。
來源:Techcrunch