《加州隱私權法(California Privacy Rights Act, CPRA)》現在備受關注;CCPA修正案
2020年11月3日,加州於其大選中以公投方式批准通過第24號提案(Proposition 24),該提案頒布《加州隱私權法》(California Privacy Rights Act,以下簡稱CPRA)。CPRA對加州消費者隱私保護法(California Consumer Privacy Act 2018,以下簡稱CCPA)所規定之隱私權進行重要修正,改變了加州的隱私權格局。
CPRA賦予加州消費者新的隱私權利,並對企業施加新的義務,例如消費者將有權限制其敏感性個人資料(例如財務資料、生物特徵資料、健康狀況、精確的地理位置、電子郵件或簡訊內容及種族等)之使用與揭露;消費者有權利要求企業更正不正確的個人資料;CPRA同時修改現有的CCPA的「拒絕販售權」,擴張為「拒絕販售或共享權」,消費者有權拒絕企業針對其於網際網路上之商業活動、應用或服務而獲得的個人資料所進行之特定廣告推播。CPRA亦要求企業對各類別之個人資料,按其蒐集、處理、利用之目的範圍及個人資料揭露目的,設定預期的保留期限標準。
CPRA另創設「加州隱私保護局」(California Privacy Protection Agency)為隱私權執行機構,該機構具有CPRA之調查、執行和法規制定權,改變了CCPA 係由加州檢察長(California Attorney General)負責調查與執行起訴的規定,並規定加州隱私保護局應於2021年7月1日之前成立。
CPRA將在2022年7月1日之前通過最終法規,且自2023年1月1日起生效,並適用於2022年1月1日起所蒐集之消費者資料,隨著CPRA的通過,預期可能促使其他州效仿加州制定更嚴格之隱私法,企業應持續關注有關CPRA之資訊,並迅速評估因應措施。
賴國任
副法律研究員 編譯整理
Caitlin Wilmot, California Voters Approved the CPRA: What Does This Mean for Your Business?, JDSUPRA, Nov. 23, 2020, https://www.jdsupra.com/legalnews/california-voters-approved-the-cpra-84159/ (last visited Dec. 10, 2020).
David Klein, How the CPRA Law Overhauls and Updates the CCPA , LEXOLOGY, Dec. 3, 2020, https://www.lexology.com/library/detail.aspx?g=444c938a-4a98-4bd8-8e9b-43e62ae6beab (last visited Dec. 10, 2020).
Zenus Franklin & Scot Ganow, California Voters Approve California Consumer Privacy Act; Amendments to CCPA, Taft, Nov. 10, 2020, https://www.privacyanddatasecurityinsight.com/2020/11/california-voters-approve-california-consumer-privacy-act-amendments-to-ccpa/?utm_source=Mondaq&utm_medium=syndication&utm_campaign=LinkedIn-integration (last visited Dec. 10, 2020).
Cynthia Cole & Matthew R. Baker & Katherine Burgess, Bloomberg LAW, Nov. 16, 2020 , Move Over, CCPA: The California Privacy Rights Act Gets the Spotlight Now, https://news.bloomberglaw.com/privacy-and-data-security/move-over-ccpa-the-california-privacy-rights-act-gets-the-spotlight-now(last visited Dec. 10, 2020).
位於美國紐約州的一家知名藥廠2007年9月初宣佈其已確認大約有34000名員工的個人資料從某位員工的電腦外洩並遭人非法下載。 整起事件係導因於一位藥廠的員工自行於公司配發的筆記型電腦上安裝未經授權的檔案分享軟體,導致大約有34000名員工的個人資料在網路上被人下載流傳。至於因這起事件遭到外洩的個人機密資料包括員工姓名、社會福利號碼、出生日期、電話號碼和銀行信用狀況等等。 美國司法部門目前已針對這起資料外洩事件展開調查,並要求這家藥廠針對他們用來防止資料外洩的處理方式以及事件發生時的所有相關應變措施提出報告。根據調查,事實上早在今年7月10日這家藥廠即已發現這起大量個人資料外洩事件,卻遲至8月24日才以電子郵件通知資料外洩的被害人,反應時間長達六個星期之久,導致損害持續擴大。 由這起藥廠員工個人資料外洩事件正可顯示點對點(P2P)網路分享軟體確實潛藏著嚴重的資訊安全風險。透過此類軟體,網路駭客得以完整地掃描他人電腦硬碟中的檔案,讓不知情使用者的機密資料隨時處於高度的風險當中。 點對點檔案分享軟體(P2P),當初開發的目的在於集合眾人電腦之力,增加網路的連結數量,進而快速傳輸檔案。但以此作為入侵他人電腦的工具,甚至未經允許盜取他人的電腦中檔案資料等之新電腦犯罪型態,值得相關主管機關注意。
歐盟執委會公佈GMOs法制之評估報告歐盟執行委員會(European Commission)於2011年10月28日公佈兩份針對歐盟基因改造作物(Genetically Modified Organisms, GMOs)之評估報告,這兩份報告係由執委會委託兩個獨立顧問機構所完成,評估時間自2009年至2011年。第一份報告係針對GMOs食品與飼料規範(EU's legislative framework in the field of GM food and feed)之評估報告;第二份報告係針對GMOs耕作規範(legislative framework in the area of GMOs cultivation)之評估報告。此兩份報告之重要性在於,其收集來自官方及民間對於GMOs法制之事實陳述與意見,如健康與環境的保護、國內市場的產物規範等議題,可作為未來改善歐盟GMOs法制的基礎。 評估指出,歐盟的GMOs法制就健康與環境保護之規範並無偏誤;但在效率及透明度上,尚有改善之空間。此外越來越多含有基因改造的農作物輸入歐盟造成健康及環境之威脅,而須進一步改善風險評估之作法以及調整相關法制。 在過去一年中,執委會已採納報告中之部分建議,著手針對現存法制作出微調及改善,包括: 1.在GMOs耕作上需要更多的彈性。 2.低度殘留(Low Level Presence, LLP)的解決方案。 3.收集關於GMOs耕作的社會經濟層面之技術資訊。 4.新作物播種技術之評估。 5.監控活動的加強。 6.針對成員國批准風險評估的指導方針(Guideline)法制化之檢討與改革。 7.對於GMOs重要議題的溝通活動之改善。 除上述之改善工作持續進行,在接下來幾週,執委會將針對農產品輸入許可制度提出改善方案,以建立更嚴謹的許可要求。由這兩份報告的公佈,可以預見未來歐盟將持續完善現存法制,而此兩份評估報告將如何影響歐盟的GMOs規範,值得持續觀察。
韓國通過最新個人資料保護法修正案近年韓國國內發生多起重大資訊安全疏失,例如:2014年韓國三大信用卡公司客戶資料外洩,成為韓國史上最嚴重的個人資料洩漏事件。為加強控管,韓國政府於2015年7月通過最新個人資料保護法修正案(Personal Information Protection Act, PIPA)。修正案新增懲罰性損害賠償及法定損害賠償規定。未來該國違反個人資料保護法的機關,將會面臨鉅額罰金及損害賠償。韓國政府期望藉此來促使企業加強資料安全管理。 根據最新修正案條文,若某機關因故意或重大過失,造成個人資料被遺失、竊取、洩漏、偽造、竄改或損毀,經法院判決後,最高將會被處以實質損害金額三倍的懲罰性損害賠償。此外,除非該機關能舉證當事人的損害與機關之行為沒有因果關係,否則當事人可請求最高3百萬韓元(約台幣8萬元)的法定損害賠償。 此次,韓國個人資料保護法修正案另一個重點在擴大韓國個人資料保護委員會(The Personal Information Protection Committee)的職權。該委員會將成為資訊安全爭議的最終裁決機關,且擁有相關資訊安全管理相關政策制定及修正的提議權。 由於此修正案將於2016年7月正式實行。韓國政府建議各大機關應儘快依照新修正案內容檢討並更新其隱私權政策及資料安全防護機制,避免在新法上路後遭罰。