CCPA(加州消費者隱私法)於 2018 年通過,2020 年正式生效,是美國最具影響力的州級隱私法規。它重新定義了企業蒐集與使用個人資料的邊界,對全球數位業者產生深遠影響。
消費者的三大核心權利
CCPA 賦予加州居民三項關鍵權利,徹底改變個人資料的控制權歸屬。知情權要求企業揭露蒐集哪些個人資料、用途為何及是否對外分享。刪除權允許消費者要求企業刪除其個人資料,企業須在 45 天內回應。拒絕販售權則是 CCPA 最具代表性的條款,企業網站必須設置「Do Not Sell My Personal Information」選項,讓消費者明確退出資料交易。此外,2023 年生效的 CPRA 修正案進一步新增「限制使用敏感資料」的權利,強化整體保護力度。
企業的合規義務與適用範圍
並非所有企業都受 CCPA 約束。適用門檻為以下三項之一:年營收超過 2,500 萬美元、每年買賣或分享超過 10 萬名加州居民資料,或超過 50% 收入來自販售個人資料。符合條件的企業必須履行多項義務:在隱私政策中明確揭露資料蒐集類別、建立消費者請求的處理流程、更新供應商合約以確保第三方合規,以及禁止對行使隱私權的消費者實施差別待遇(如拒絕服務或提高價格)。違反 CCPA 最高可罰款每筆違規 7,500 美元,資料外洩則可引發消費者集體訴訟。
💡 企業合規重點整理
- 網站必須設置「Do Not Sell or Share My Personal Information」連結。
- 消費者請求須在 45 天內回應,最多可延長 45 天。
- 隱私政策需每 12 個月更新一次,揭露最新資料蒐集實務。
- CPRA(2023)新增資料最小化原則,限制過度蒐集敏感資訊。
CCPA 不只是加州的地方法規,更是美國隱私立法的重要標竿。企業應將合規視為長期投資,建立透明的資料治理文化,才能在隱私優先的數位時代持續贏得消費者信任。
📚 參考文獻
- 加州總檢察長官方 CCPA 頁面: https://oag.ca.gov/privacy/ccpa — 法規原文、FAQ 及執法指引
- 加州隱私保護局(CPPA)官網: https://cppa.ca.gov/ — CPRA 修正條文與最新法規動態
- IAPP(國際隱私專業人員協會)CCPA 資源中心: https://iapp.org/resources/article/ccpa-summary/ — 專業合規指引與實務建議
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言