加州消費者隱私法案:個資保護角力戰,方興未艾

胡雅筑 律師 法令遵循


報導,加州州議會於上週四(6/29)通過California Consumer Privacy Act of 2018, CCPA加州消費者隱私法案(下稱AB 375法案),預計於2020年生效,將使得加州居民能更有效地掌控企業所蒐集之用戶資料,並將對不遵守法案之企業施加新的處罰。

AB 375法案是由加州眾議員Ed Chau及參議員Robert Hertzberg所提出,這份於一週內緊急完成通過之法案係基於原本公民提案版本(California Consumer Privacy Act Ballot Initiative)基礎上所撰寫。原本之公民提案係由加州隱私權保護組織 (Californians for Consumer Privacy)所提起,打著「你的人生並非他們的生意」(your life is not their business)這句口號,目的在使消費者能受到更周全的隱私權保障。然而,有鑒於原本由隱私權保護組織所提出之版本過於嚴苛,矽谷各大科技公司無不卯足全力反對該提案進入公投,Google、Amazon、Microsoft、Uber、AT&T及Verizon等矽谷科技巨頭紛紛砸大錢支持一個反對原提案之團體(Committee to Protect California Jobs),只為了防堵原公民提案有付諸施行的可能。

由於公民提案若通過的話修法門檻極高,加上原本之提案版本較為嚴格,加州州議會與加州隱私權保護組織因此達成協議:如AB375法案順利通過的話,該隱私權保護組織將會撤回原提案,放棄將其提交公投;造就了AB 375法案迅速於上週四(也就是公民提案撤案之最後截止日)通過之結果。

AB375法案基本上係根據歐盟通用資料保護規則(GDPR)之要求訂定,內容包括企業需向消費者說明所蒐集的資料、允許消費者事後刪除這些資料、消費者亦可拒絕企業出售其資料等。值得注意的是,為了符合GDPR規定:「蒐集資料前須取得消費者之同意」,大部份企業給消費者之opt-in方案,將使得消費者要使用該業者提供之服務前,只能「同意」企業蒐集其資料,否則無法使用企業提供之服務,消費者毫無其他選擇餘地。因此,在AB375法案中有了所謂的「spotify例外」規定(spotify exception),允許企業根據消費者所提供之個人資料,給予不同程度之服務,這也將使得消費者在提供個人資料予企業時擁有更大的彈性。

隱私保護意識的崛起,無疑是新興科技發展下最為人注目之議題,從今年4月Facebook執行長Mark Zuckerberg在國會因劍橋分析事件遭到連番拷問,5月開始施行之GDPR明文將攸關網路服務業者之線上識別碼(online identifier)納入個人資料範圍內,甚至加州消費者隱私法案所引起之科技巨頭反彈,在在顯示不容忽視的隱私保護狂潮已迫使各大科技巨擘正視用戶的個資保護問題。在AB375法案通過後,參議員Robert Hertzberg表示:「加州未來將以不扼殺科技創新發展之方式,盡全力保護消費者隱私權,力求科技與隱私保護之衡平。」可想而知的是,消費者隱私權保護與科技發展之角力戰勢必將持續上演,該如何取得完美的平衡,仍有賴相關法令之明確規範。