《加州消費者隱私法案》(CCPA)解讀二:CCPA賦予消費者哪些權力

數美科技 發佈 2022-04-28T12:22:04.047093+00:00

《加州消費者隱私法案》是美國首部關於消費者隱私保護和數據安全的全面立法,其重要性不亞於歐盟的GDPR。

《加州消費者隱私法案》(CCPA)是美國首部關於消費者隱私保護和數據安全的全面立法,其重要性不亞於歐盟的GDPR。根據CCPA的規定,消費者主要擁有知情權、訪問權、刪除權、選擇權、公平交易權、個人訴訟權六大權利。

知情權

消費者有權要求企業告知其收集的個人信息類型、信息來源、具體內容、用途以及第三方處理機構等。企業應在其隱私條款中明確告知消費者以上信息,否則其收集消費者個人信息的行為便視為不合規。

訪問權

消費者有權要求企業免費提供其收集、處理過的個人信息。這意味著消費者可自行獲取企業處理過的個人數據,並以一種簡便的方式對個人數據進行自我管理和重複利用。訪問權強化了信息主體對個人信息的利用和控制,有利於信息流通和共享,打破平台的數據壟斷。

CCPA規定,消費者需自行向企業發送請求以獲取個人信息,企業只有在核實消費者請求後,方可通過郵寄或電子的方式傳送給消費者。此外,企業應以輕便、易於使用的格式發送個人信息,而不應給消費者在二次利用時造成阻礙。

訪問權的落地可為實際生活帶來許多便利。例如,在疫情期間,出於屬地管控要求,居民在跨省流動時被要求申請當地的健康碼,在此期間往往會重複填寫個人信息,造成用戶體驗上的不便。如果居民能在首次申請健康碼、填寫個人信息後,將個人健康信息下載下來,此後重新申請健康碼時,只需經過簡單授權,便可將下載好的個人信息導入新系統內,無需反覆填寫。

值得注意的是,雖然消費者有權要求企業免費提供個人信息,但CCPA同時也規定,消費者每年只能提出兩次申請。這一次數限制有效避免消費者濫用訪問權,給企業帶來過高的合規壓力。

刪除權

CCPA第1798.105條規定,出海企業應在其隱私條款中盡到提醒義務,以易懂的方式向消費者解釋其擁有的權利。同時,企業應配備專人,在規定時間內處理消費者提出的各種請求,並做好相應的記錄留存工作。企業也應明確告知消費者其擁有刪除權。企業收到消費者刪除個人信息的請求時,應在核實後刪除其個人信息,並要求其他數據服務提供商同時刪除相關信息。

在特定情況下,企業有權拒絕消費者的刪除請求,包括:

(1)企業與消費者之間的正常交易或合同履行須收集消費者個人信息;

(2)診斷安全事件;

(3)修補漏洞;

(4)保障言論自由;

(5)遵守《加州電子通訊隱私法》;

(6)為公共利益而進行的研究;

(7)僅用於符合消費者合理預期的企業內部使用;

(8)遵守其他法律義務;

(9)其他企業內部合法使用消費者個人信息的情形。

刪除權的引入能有效規範企業的信息收集行為,加強了消費者對個人信息的控制。在CCPA正式實施後,各大網際網路公司也開始按照規定處理用戶的刪除請求。以元宇宙公司Roblox為例,CCPA正式實施後,2020年Roblox收到來自消費者的刪除請求共145份,其中僅有38份為有效請求,3份請求被駁回,其餘百餘份請求未被採納可能是因為無法核實消費者信息。

選擇權

消費者有權在任何時候要求企業不得銷售其個人信息。企業應盡到告知義務,在其平台顯眼位置提供「Do Not Sell My Personal Information」選項,這一選項也被稱為「選擇退出權(Opt-out)」。在盡到合理告知的前提下,只要消費者未拒絕,企業便默認消費者同意出售其個人信息。

與「選擇退出權」相對應的,還有專門針對16歲以下未成年人的「選擇加入權(Opt-in)」。未成年人信息在美國受到嚴格保護。CCPA明確規定,「企業任何故意忽視消費者年齡的行為應被視為其已明確知曉該消費者年齡」。對於未成年人(不滿16歲)的個人信息,企業應當在取得消費者本人(13-16歲之間的消費者)或其父母、監護人(對於小於13歲的消費者)明確同意的情況下方可出售其個人信息。

公平交易權

企業不得因消費者行使CCPA相關權利而歧視消費者,包括:

(1)拒絕向消費者提供商品或服務;

(2)對商品或服務收取不同的價格或費率,包括通過給予不同的折扣、其他福利或處罰;

(3)向消費者提供不同等級或質量的商品或服務;

(4)暗示消費者將獲得不同價格或費率的商品或服務,或者將向消費者提供不同水平或質量的商品或服務。

但CCPA同時也規定了一些豁免情形。例如,企業不得因消費者行使CCPA相關權利而歧視消費者,企業還可為個人信息的收集、出售或刪除提供經濟激勵,包括向消費者支付賠償金等。CCPA在保障消費者權利的基礎上,也充分肯定了數據流動的經濟價值,提倡在合法的情形下合理使用個人信息。

個人訴訟權

CCPA的一個重要突破是它賦予消費者提起個人訴訟的權利。CCPA第1798.150條規定,「由於企業違反義務,未實施和維護合理的安全措施以及與信息性質相符的做法來保護個人信息,從而導致未經授權的訪問和泄露、盜竊或披露,消費者可提起民事訴訟。」消費者可就每次安全事件追討100至750美元的損害賠償,同時還可申請禁止令等其他法律救濟行為。

然而,CCPA也給個人訴訟權附加了較高的門檻,在個人信息保護執法落地中的作用有限。CCPA的私人訴訟權僅針對數據泄露事故,只有在企業因自身原因導致消費者個人數據泄露時,消費者才可提起個人訴訟。

對於企業尚未造成損害的不合規行為,個人訴訟權並不支持。例如,針對企業未在其網站顯眼位置設置「Do Not Sell My Personal Information」選項這一行為,雖然它並不合規,但並未造成隱私數據泄露等嚴重後果,因此也就不滿足個人訴訟案的條件。截止目前,加州法院已收到150多起控告企業隱私保護不合規的個人訴訟案,但尚未有一起案件被成功受理。

合規建議

CCPA強化了消費者在隱私數據保護領域擁有的六大權利,並就如何保障消費者的個人信息提出了具體的操作規定。

出海企業應在其隱私條款中盡到提醒義務,以易懂的方式向消費者解釋其擁有的權利。同時,企業應配備專人,在規定時間內處理消費者提出的各種請求,並做好相應的記錄留存工作。

關注「數美科技」,CCPA全面解讀陸續發布~

關鍵字:
#news #資訊

【amz獨家組合】Relove_私密美白_傳明酸潔淨凝露

售價 NT$ 1,200-2,650

德國樂美思_專科PH5.5_凍齡霜_三倍升級版

售價 NT$ 999-1,980

【amz嚴選】LED隨身小鏡子

售價 NT$ 590

Nature Tree_戰痘霜

售價 NT$ 237

MAGICOM美肌之鏡_專業質感_髮雕(英式油蠟/日系灰蠟)

售價 NT$ 900-1,550

Nature Tree_玫瑰抗皺_精華液

售價 NT$ 990

【amz嚴選】侘寂風_旅行鞋子收納袋

售價 NT$ 229

Realwoman_極速暢EX第四代

售價 NT$ 1,380-1,980