加州版 GDPR 1 月 1 日正式啟動 6 月起正式開罰

極具爭議的加州消費者隱私法（California Consumer Privacy Act, CCPA）已經於 2020 年 1 月 1 日正式生效。但有半年緩衝期，讓未獲同意前販賣消費者個資的科技和行銷公司暫且免於受罰。

CCPA 於去年 6 月由加州議題通過及總統川普簽署，它要求任何企業或廠商必須通知使用者藉個資獲利的意圖，並且提供使用者簡單明瞭的方式退出其獲利計畫。

CCPA 規定大致如下：

• 企業必須揭露他們蒐集什麼資訊、基於什麼原因，以及這些資訊分享給了哪些第三方單位。
• 企業必須遵守消費者提出刪除資訊的正式要求。
• 消費者可以勾選取消（opt-out）廠商欲銷售的資料，企業不得變更價格或降低服務品質以為報復。
• 但企業可以提供「財務誘因」吸引消費者同意蒐集資料。
• 加州主管機關有權對違規的公司開罰。

CCPA 細項可以在此進一步了解，不過可能要好幾年時間企業才能完全了解其衝擊及如何因應。此時受到影響的企業，像科技公司、網路業者或行銷廠商無不驚慌失措。

網路大廠皆曾公開反對 CCPA。他們認為此類法令應該是聯邦層級，而非州級法令。這說來也沒錯，畢竟前者保護的用戶比較多，而且廠商也不用像現在要做那麼多文書作業來符合 CCPA。但這顯然是一種拖延戰術，而且要制訂聯邦法曠日廢時，且此前美國眾議院忙著彈劾總統川普也無力顧及。這使得 CCPA 在科技公司反彈中誕生了。

啟動頭 6 個月是緩衝期，留給企業好好審視了解法令，此時無心犯的錯皆可免罰。但從今年 6 月起就會開罰了，每案罰金從數千美元起跳，預料很快就會大到 Google 和臉書等級國際企業才出得起的天價。科技公司方面，微軟已經宣佈要在全美都遵守（而不只是加州）CCPA，Mozilla 也准許全球 Firefox 用戶提出刪除電腦遙測（telemetry）資料的要求。

要符合 CCPA 難度相當高，但從歐盟 GDPR 的例子來看還是辦得到的，況且前者的要求還要輕得多。不過如果在加州做生意的貴公司還沒做好準備，最好現在快點動手。

來源：Techcrunch