加州消費者隱私保護法修正法案重點說明

  隨著個人資料保護意識的興起,各國也持續增修法律來保護人民權益以及協調產業標準,但這變動的過程會對本來就複雜的法律結構帶來更多挑戰。

  如美國同時會有聯邦法與州法兩個層次的法律,當兩者分別發展隱私權相關法律規範時,難免會缺乏協調,出現定義不明的重疊規範,進而提高企業之法令遵循成本與管理成本。最終導致的結果,就是非必要地降低了產業發展速度,以及提高了消費者獲得服務的成本。

  日前美國加州政府修改了首部以消費者個人資料權利為規範之州級法律「加州消費者隱私保護法(California Consumer Privacy Act, CCPA)」,使該部法案對於個人資料保護與利用之規範日漸完備,並減少與聯邦政府重複管轄項目,進而達到合理降低州內企業的遵法成本。美國加州州長紐松(Gavin Newsom)簽署的CCPA修正案「AB-713號法案」(Assembly Bill No. 713, an act to amend Sections 1798.130 and 1798.145 of the Civil Code )通過後,CCPA之適用範圍將限縮。若「同時符合」下列二者條件,則可免受CCPA規範:

  1. 受「加州醫療資訊保密法」(the California’s Confidentiality of Medical Information Act, CMIA)所規範的的醫療資訊及個人健康資訊之衍生資訊,或受「美國聯邦受試者保護通則」(Federal Common Rule for human research subjects) 所規範的可識別之個人資訊。
  2. 根據「健康保險可攜性及責任法」(Health Insurance Portability and Accountability Act, HIPPA)之標準,已去識別化的資訊。

  換言之,已經依HIPAA標準去識別化之第一點資訊,即可豁免CCPA針對個人資料保護之相關規定。此將減輕本身不受 HIPAA 規範,但因進行研究或業務目的需接收 HIPPA 去識別化資訊企業之合規負擔。

  「AB-713號法案」對於已去識別化資訊之利用或販售行為,增設了契約須載明下列規範架構之條款內容:

  1. 如有利用或販售去識別化資訊涉及病患資料者,須在契約中予以聲明。
  2. 禁止買受人或被授權利用人以任何方式重新識別去識別化資訊。
  3. 除法律另有規定,或第三方受到相同或更嚴格限制之個資保護約束,買受人或被授權利用人不得將去識別化資訊再行揭露予第三方。

  「AB-713號法案」亦要求進行CCPA所涵蓋販售或揭露去識別化病患資訊的企業,其隱私政策聲明應納入以下內容:

  1. 將出售或揭露去識別化病患之資訊;
  2. 採用HIPAA所允許如專家法(Expert determination)或安全港法(Safe harbor)等之何種方式,進行病患資訊之去識別化。

  整體來說,「AB-713號法案」讓CCPA的規範稍加鬆綁,明確排除CCPA對特定去識別化資訊之適用,並擴張對研究行為之豁免範圍,在處理上有更多彈性,惟同時也要求企業須充分揭露其個人資料處理原則。

相關連結
你可能會想參加
※ 加州消費者隱私保護法修正法案重點說明, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8630&no=55&tp=1 (最後瀏覽日:2026/07/20)
引註此篇文章
你可能還會想看
美國司法部針對與集管團體的著作權合意判決提出修正解釋

  美國司法部於今年六月底,就1941年實施至今,與「美國詞曲作者及出版商協會」(American Society of Composers, Authors and Publishers,ASCAP)及「廣播音樂公司」(Broadcast Music Incorporated,BMI)間的合意判決(Consent Decree),提出了新的解釋。司法部認為,在維護市場自由競爭的價值下,應該允許部分詞曲著作人授予全部的歌曲權利給單一集管團體。   在當今閱聽大眾習慣變化快速的年代,閱聽服務種類多元,使用人很有可能因難以取得全部歌曲權利而陷入侵權風險。司法部此舉可增進使用者授權便利性與完整性。   然而,新的解釋引來正反兩面不同的評價,部分數位音樂業者(如Pandora Media, Inc)認為,如此可提升消費者享受服務的便利性,亦可避免大型集管團體的壟斷與對於音樂授權市場的價格控制。反對聲浪則表示,如果單一權利人可授權全部的音樂著作權利給個別集管團體,會增加授權複雜程度,亦將造成集管團體彼此間授權費用分攤上的困擾;並且,大型音樂出版業者(如SONY/ATV)很有可能撤回對於集管團體的概括授權,這對於消費者來說無異是增加了取得授權的困難度,只是將壟斷力量由集管團體轉移至服務提供業者本身而已。亦有論者指出在授權透明機制建立以前,過度自由的授權模式將增加整個音樂視聽產業的內部管制負擔。   我國對於集管團體與音樂服務業者間關係,恐亦存在市場力量不均衡的問題,政府或應思考如何於「授權市場的公平競爭」、「社會大眾的閱聽權利」,以及「音樂產業的發展方向」三者之取,取得政府、人民與產業三贏的結果。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」

歐盟執委會授權各國決定GMO的提案遭抨擊  10月環境部長會議將繼續協商

  歐盟執委會(European Commission)於今(2010)年7月授權歐盟各會員國自行決定禁止或准許基因改造(GM)農作物的提案,過去幾個月來即已不斷遭受外界質疑,在近日(9月27日)召開的農業部長會議上又受到主要歐盟會員國的強烈抨擊;歐盟消費者健康及安全政策部門代表John Dalli表示,這個問題將會在10月14日召開的環境部長會議繼續進行協商。   事實上,歐盟執委會的提案同時引來了GMO支持者與GMO反對者的譴責,他們認為這項議案會給農民與農產業者製造法律上的不確定空間,徒增困擾;此外,綠色和平組織歐盟農業政策執行長Marco Contiero也表示,各會員國都不應該接受執委會的這項提案,反而必須對執委會施加壓力,以確保農作物的安全並預防環境污染。農業會議上,許多會員國農業部長也擔心執委會的提案不但會分裂農產品國際市場,並也可能與WTO規則相衝突。   由於預期執委會7月份的提案可能將被撤回或大幅修改,參與農業會議的各國部長也都同意在這過渡時期成立專責的工作小組,以資因應該提案所引致的眾多批評。就現階段看起來,GMO爭議還會在歐盟繼續上演,後續的相關討論值得繼續觀察。

英國Ofcom宣布改善消費者轉換服務業者之流程

  英國電信管制機關Ofocm於2013年8月宣布了新的措施,目的在幫助消費者轉換其電話和寬頻服務業者時,更加輕鬆與方便。   當消費者計畫轉換其寬頻服務業者時,時常面臨著必須許多不同業者的手續、流程,包含轉換與被轉換的業者,以及中介服務的業者。如此複雜的轉換過程造成混亂,也容易讓消費者認為轉換服務業者是很麻煩的,某種程度上阻礙消費者選擇較佳服務業者的機會。   Ofcom的研究指出,在轉換業者的過程中,最大的阻礙在於,消費者有時覺得不好意思向目前提供服務的業者提出轉換的申請,在這樣的過程中,現在的業者有很多的主導權,例如對於轉換過程的遲延或服務的中斷,均導致消費者承受不必要的拖累。   為了解決這些問題,Ofcom決定,未來當消費者計畫轉換服務業者時,只需要遵循一個單一的轉換程序,由新的服務業者代表消費者進行此一過程。   這個「由遷入供應商主導(gaining provider led,GPL)」的過程中,已廣泛的是用於電話和寬頻服務之轉換程序,消費者將不再需要聯繫他們現有的服務業者、收到一個編號,以轉換業者。   Ofcom還設置了額外的措施,以幫助防止消費者在轉換的過程中遭遇服務的中斷、或是有未經消費者同意的轉換。   一個明確的和改進的切換過程中,以幫助消費者。   Ofcom在既有GPL程序的基礎上進行改善,制訂單一的流程,強化流程的監督,為消費者提供增值收益。   根據Ofcom初步制訂的單一轉換流程,服務業者必須遵守以下指示: ‧留存每一位消費者轉換服務的相關同意記錄,以保護消費者在不知情之下,被轉換到不同的業者; ‧防止消費者轉換時出現服務的空窗期,特別是電話和寬頻服務的轉換; ‧給消費者提供關於業者服務品質的資訊,如提前終止服務時,可能需負擔的額外費用變化,使消費者可以做出明智的決定。   Ofcom計畫於2014年初將細部程序制訂並執行,並可能提出下一階段的工作,涵蓋兩個關鍵領域: ‧持續與業者溝通,確保消費者得到更好的保護; ‧進一步改進電話、不同類型的寬頻服務、不同類型的網路之間的轉換(例如Cable網路)

德國立法通過反駭客法

  德國政府為減少官方與民間的電腦受到網路駭客的攻擊,於2007年5月正式立法通過「反駭客法(Antihacker Law)」,並藉此擴大了現行德國法律中網路犯罪的懲處範圍,從僅處罰破壞或攻擊商業或政府機關之電腦系統,擴及至破壞或攻擊個人電腦或DOS系統之犯罪。   依德國「反駭客法」之規定,凡任何個人或團體意圖非法使用而故意製造、散播或購買駭客工具(hacker tools)者,將可能被處十年以上有期徒刑。而所謂的「駭客(hacking)」在新法中則被定義為,凡是侵入電腦系統並獲取資訊者,不論是否有竊取該資訊的行為,均屬之。   上述立法結果,反對人士擔心恐將適得其反,因駭客工具的存在具有一體兩面,研發並利用駭客工具來測試電腦以及網路系統的安全性,在德國已行之有年,如果一旦加以禁止,不但無法達到預期目的,也過於輕視網路駭客者的能力;又將來持有駭客工具者,未來必須在法庭上主張係出於善意持有,亦是增加了持有者的舉證責任。該法已經於2007年8月實施。

TOP