加州版 GDPR 1 月 1 日正式啟動 6 月起正式開罰
極具爭議的加州消費者隱私法(California Consumer Privacy Act, CCPA)已經於 2020 年 1 月 1 日正式生效。但有半年緩衝期,讓未獲同意前販賣消費者個資的科技和行銷公司暫且免於受罰。
CCPA 於去年 6 月由加州議題通過及總統川普簽署,它要求任何企業或廠商必須通知使用者藉個資獲利的意圖,並且提供使用者簡單明瞭的方式退出其獲利計畫。
CCPA 規定大致如下:
- 企業必須揭露他們蒐集什麼資訊、基於什麼原因,以及這些資訊分享給了哪些第三方單位。
- 企業必須遵守消費者提出刪除資訊的正式要求。
- 消費者可以勾選取消(opt-out)廠商欲銷售的資料,企業不得變更價格或降低服務品質以為報復。
- 但企業可以提供「財務誘因」吸引消費者同意蒐集資料。
- 加州主管機關有權對違規的公司開罰。
CCPA 細項可以在此進一步了解,不過可能要好幾年時間企業才能完全了解其衝擊及如何因應。此時受到影響的企業,像科技公司、網路業者或行銷廠商無不驚慌失措。
網路大廠皆曾公開反對 CCPA。他們認為此類法令應該是聯邦層級,而非州級法令。這說來也沒錯,畢竟前者保護的用戶比較多,而且廠商也不用像現在要做那麼多文書作業來符合 CCPA。但這顯然是一種拖延戰術,而且要制訂聯邦法曠日廢時,且此前美國眾議院忙著彈劾總統川普也無力顧及。這使得 CCPA 在科技公司反彈中誕生了。
啟動頭 6 個月是緩衝期,留給企業好好審視了解法令,此時無心犯的錯皆可免罰。但從今年 6 月起就會開罰了,每案罰金從數千美元起跳,預料很快就會大到 Google 和臉書等級國際企業才出得起的天價。科技公司方面,微軟已經宣佈要在全美都遵守(而不只是加州)CCPA,Mozilla 也准許全球 Firefox 用戶提出刪除電腦遙測(telemetry)資料的要求。
要符合 CCPA 難度相當高,但從歐盟 GDPR 的例子來看還是辦得到的,況且前者的要求還要輕得多。不過如果在加州做生意的貴公司還沒做好準備,最好現在快點動手。
來源:Techcrunch