【重磅】美國第二州!維吉尼亞消費者資料保護法(CDPA)正式頒行
作者:許 斌 博士
審閱:葉奇鑫 律師
王慕民 律師
全文約1900字,閱讀約需7分鐘
上週的個資週報中,我們為大家報導了美國維吉尼亞州議會兩院通過《消費者資料保護法》(Consumer Data Protection Act, CDPA)法案(註1)的消息。3月2日,該法案經州長簽署,正式成為法律(註2),並將於2023年1月1日生效。維吉尼亞由此成為美國第二個制定綜合性隱私保護專法的州。
美國加州2018年率先制定美國首部州級綜合性隱私保護專法《加州消費者隱私保護法》(California Consumer Privacy Act, CCPA)(註3)後,其他各州也紛紛效仿,提出類似法案。維吉尼亞州無疑是其中動作最快的一員。CDPA法案於2021年1月中旬首次提出,2月底獲州議會兩院通過,3月初即經州長簽署成為法律。該法之總體規範理路與加州CCPA、歐盟GDPR有諸多共通之處,但細部制度內容卻不盡相同。
- 適用範圍
CDPA適用於「在維吉尼亞州經營業務,或向維吉尼亞居民提供產品或服務」之人員,並設有資料主體人數與個資相關營收門檻。但此處之「人員」,不包括非營利組織、高等教育機構、健康保險可攜與責任法(Health Insurance Portability and Accountability Act, HIPAA)涵蓋之實體等。
CDPA將「個人資料」(personal data)定義為與已識別(identified)或可得識別(identifiable)之自然人有關(linked)或合理情形下可相關(linkable)的任何資料,但不包括公開可得之資料。CDPA並包含對「敏感個資」之定義,且規定未滿13歲兒童之個人資料皆屬敏感個資。
CDPA明文將僱傭關係所涉個人資料、企業對企業(business-to-business, B2B)交易所涉個人資料排除於適用範圍外,且此未如CCPA排除條文設失效日期。由此觀察,CDPA之立法目的限於消費者個人資料之保護。
- 控管者責任
與GDPR類似,CDPA區分控管者(controller)與處理者(processor)。控管者決定資料處理的目的與方法,並負主要資料保護責任,包括:
- 資料處理原則:控管者須遵守目的限制、必要性、資料最小化等原則。
- 透明性:控管者須以「隱私權政策」向消費者揭露個人資料之蒐集、利用與分享狀況,精準廣告(targeted advertising)之個資利用狀況,以及消費者的資料權利等。
- 敏感個資保護:控管者蒐集和處理敏感個資前,須獲資料主體同意。
- 資料安全:控管者須採取行政性、技術性和實體性措施維護資料安全。
- 資料保護評估:控管者在投放精準廣告、銷售個人資料、處理敏感個資等作業前,須執行資料保護評估(data protection assessment)。
- 處理者監督:控管者須與處理者訂立書面契約,監督處理者之個資處理作業。
- 資料權利行使:控管者須及時回應消費者之資料權利行使請求,並建立對拒絕決定之申訴程序。
- 消費者資料權利
依CDPA,消費者享有6類資料權利:
- 近用權:消費者有權知悉控管者是否處理其個人資料,並有權存取其個人資料。
- 更正權:消費者有權要求控管者更正不正確之個人資料。
- 刪除權:消費者有權要求控管者刪除其個人資料。
- 資料可攜權:如處理係以自動化方式為之,消費者有權要求控管者以通常可用之形式提供其個人資料。
- 拒絕權:消費者有權拒絕控管者為精準廣告、出售個資或重大決策相關剖析(profiling)目的處理其個人資料。
- 申訴權:如控管者拒絕遵守資料權利行使請求,消費者有權向控管者提出申訴。
值得注意的是,CDPA對上述權利之規定都相當概括,並未如加州CCPA或歐盟GDPR對各項權利之範圍與例外作細部規範。因此可以合理期待,未來該法的主管機關可能為業者遵守消費者的資料權利行使請求提供實務指引。
- 執行
CDPA以維吉尼亞州檢察長(Attorney General)為主管機關。州檢察長有權對違反該法之行為處以罰鍰。相較之下,CCPA最初通過版本亦規定由州檢察長負責實施,但依2020年11月公投通過的修正案(註4),加州將設立「加州隱私保護署」(California Privacy Protection Agency)作為專責機構。此外,CDPA並未賦予消費者尋求私法救濟之權利,這是其與CCPA在執行面的另一重要區別。
- 結論
CDPA是美國第二部綜合性隱私保護州法。而在紐約州、華盛頓州、伊利諾州等,也已提出類似法案。在美國聯邦統一隱私法進展跌宕的狀況下,州級立法將能夠在相當程度上為隱私保護提供法律依據。但另一方面,如本文分析所示,不同州法的規範重點雖可能一致,條文內容卻可能有實質差異。這種「看似一致、實質不同」的狀況,想必會給企業的遵循帶來挑戰。美國各州立法者和監理者將如何因應這些挑戰、聯邦層面將有哪些新動作,都是日後值得關注的議題。
______________________________
註1:CDPA原文請見:https://lis.virginia.gov/cgi-bin/legp604.exe?212+ful+SB1392ER+pdf。
註2:CDPA之立法進展請見:https://lis.virginia.gov/cgi-bin/legp604.exe?ses=212&typ=bil&val=SB1392。
註3:CCPA原文請見:https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5。
註4:該修正案即《加州隱私權法》(California Privacy Rights Act, CPRA),原文請見:https://vig.cdn.sos.ca.gov/2020/general/pdf/topl-prop24.pdf。
※歡迎註明出處後轉載。
延伸閱讀:
- 美國大選不只選總統!直擊美國選後個資法新發展:https://www.davinci.idv.tw/news/879。
- 個資法全文修正腳步近了? —立法委員提出修正草案:https://www.davinci.idv.tw/news/874。
- CCPA或將面臨大改?—美國加州消費者隱私保護法規最新動向:https://www.davinci.idv.tw/news/787。
- CCPA甫上路,CPRA又公投?—加州民間團體發起隱私權保護新提案:https://www.davinci.idv.tw/news/759。
- 網路業者首輪挑戰失敗!—緬因州網路隱私法初步通過合憲性審查:https://www.davinci.idv.tw/news/799。
- 個資週報39|美澳隱私立法新動向:https://www.davinci.idv.tw/news/918。
- 個資週報7|美式個資保護哲學:https://www.davinci.idv.tw/news/797。