2003 年,加州率先立法,California Online Privacy Protection Act(CalOPPA)成為美國首部規範線上隱私的州級法律,要求蒐集加州居民個人資訊的商業網站必須公開揭露其隱私實踐,影響範圍遍及全球營運商。
CalOPPA 的核心義務:誰必須遵守?
CalOPPA 的適用範圍極廣。任何商業網站或線上服務,只要蒐集加州居民的個人識別資訊(PII),不論公司總部在哪個州或國家,皆須遵守。PII 的定義涵蓋姓名、電子郵件、電話、社會安全號碼、實體地址及財務資訊等。法律要求業者在網站上「顯著張貼」(Conspicuously Post)隱私權政策——意指使用者無需費力即可找到該政策連結,通常放置於頁尾或首頁明顯位置。違反者將面臨每次違規最高 2,500 美元的民事罰款。
隱私權政策的必要揭露內容
CalOPPA 明確規定隱私權政策必須包含的資訊類別。業者須說明蒐集哪些 PII 類型、第三方是否可透過網站蒐集用戶資料,以及用戶如何查閱或修改其個人資料。2014 年修訂版進一步要求揭露網站對於「Do Not Track(DNT)」信號的回應方式,即使業者選擇不遵循 DNT,仍須明確告知此立場。此外,若政策內容有所變更,業者必須通知現有用戶,並載明政策生效日期,確保透明度與用戶知情權。
💡 重點整理
- 適用門檻極低:只要有一位加州用戶,即觸發合規義務。
- 「顯著張貼」是關鍵:政策必須易於尋找,頁尾連結為業界標準做法。
- DNT 揭露為強制項目:須明確說明對瀏覽器 Do Not Track 信號的處理態度。
- 政策變更須主動通知:修改隱私政策後,需告知既有用戶並更新生效日期。
CalOPPA 奠定了美國線上隱私立法的基礎框架,後續的 CCPA 亦在此基礎上擴展用戶權利。對任何服務加州用戶的網站而言,合規隱私政策不僅是法律義務,更是建立用戶信任的第一步。
📚 參考文獻
- California Attorney General — California Privacy Laws(官方隱私法規彙整)
- California Legislative Information — Business and Professions Code §22575–22579(CalOPPA 原文法條)
- FTC — Online Privacy Policies(聯邦貿易委員會隱私政策指引)
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言