加州隱私保護法(下稱CCPA),從2018年完成立法到去年年底,為平衡個人的權益與對企業的衝擊,經歷了一次又一次的修訂。在一開始頒布時,CCPA所保護的是所有加州稅法所定義的加州居民的個人資料。但在今年1月1日上路的版本,針對特定個人的個人資料僅受到CCPA部分的保護,減緩該法對企業的衝擊,讓企業能夠有較多的時間做遵法的準備。
✍延伸閱讀:普華法律時事漫談/加州消費者隱私法通過 台灣公司可能受到的影響
如同歐盟2018年5月上路的個資保護法 (GDPR),CCPA亦賦予了相當的個資當事人權利,包含資料取得的權利以及資料更正的權利。
此外,CCPA亦賦予個人拒絕其個資被企業販售的權利。但在2021年1月1日前,在符合下列條件下,不適用於企業的員工(employee)、求職者 (job candidate)、董事 (Director)、經理人(Officer)、企業所有人(Owner)、外聘人員 (Contractor)、企業所聘僱之醫療人員 (Medical Staff Member) 的個人資料:
1)資料是由求職者為申請工作向企業所提供或是個人因工作/執行職務提供給企業且由企業依收集目的使用。
2)資料是上述個人的緊急聯絡資訊且僅供企業做為緊急聯絡使用。
3)資料是企業為管理與提供福利予上述個人有關連之自然人所必須且僅基於該目的做使用。(例如企業替員工保險,保險受益人為員工家屬,員工家屬的個資即可被視為本條所排除之個資。)
針對前述個人資料,企業僅須盡到CCPA第1798.100所載「告知」的義務,在蒐集個資的時候或之前,告知這些個資當事人其欲蒐集的個資種類以及使用目的。此外,針對這些個資,企業仍有保護的義務。若該資訊因為企業未盡保護義務導致被侵害,企業仍會依CCPA第1798.150條的規定遭受處罰。
除此之外,若企業經由B2B (包含企業、組織團體、政府機關) 交易或透過B2B間書面或口頭溝通,收集到交易對象員工 (employee)、企業所有人 (Owner)、董事 (Director)、經理人 (Officer)、或其外聘人員 (Contractor) 的個人資料,且該交易或溝通乃因商業上必須之盡職調查或為了取得產品或服務,在2021/1/1前,企業針對該資料僅須確保該個人有拒絕企業出售其個人資料的權力,且不會因為其行使其所被賦予之個資當事人權利時,遭受差別待遇。
若台灣企業在加州有營運或因為其他原因落入了CCPA的管轄,但所收到的加州居民個人資料是基於上述關係時,應趁著剩下幾個月的緩衝期,在CCPA全面適用於相關個資前,做好準備。
(原文撰寫於2020年2月27日)
