跳到主要內容

CPRA 全面解析:CCPA 升級版如何透過 SPI 保護與 CPPA 執法強化消費者隱私權

2023 年 CPRA 全面生效,作為 CCPA 的重大升級版本,它引入敏感個人資訊(SPI)保護與專責執法機構,標誌著加州隱私法規進入新里程碑。

CPRA 核心新增:SPI 保護與限制共享權利

敏感個人資訊(Sensitive Personal Information,SPI) 是 CPRA 最關鍵的新增類別。SPI 涵蓋社會安全號碼、精確地理位置、種族、宗教信仰、健康資料及私人通訊內容。企業若蒐集上述資料,須於隱私政策中明確揭露,並提供消費者「限制使用與揭露 SPI」的選項,通常以頁面顯眼位置的連結呈現。此外,CPRA 新增「限制共享權利」,消費者可要求企業停止將個人資料用於跨情境行為廣告,即使該行為不構成「出售」,也在限制範圍內。這兩項機制共同收緊了企業對個資的使用彈性。

CPPA 執法強化:專責機構帶來更嚴格監管

CPRA 成立加州隱私保護局(California Privacy Protection Agency,CPPA),取代原由加州司法部獨力執法的模式。CPPA 擁有獨立調查、聽證與裁罰權力,罰款上限維持每次違規 $7,500 美元,但針對未成年人(16 歲以下)資料的違規,CPPA 可主動出擊,不再需等待企業回應期。CPPA 同步負責制定細化規則,涵蓋自動化決策技術(ADMT)稽核要求與資料最小化原則的執行標準。對企業而言,合規壓力不再只來自訴訟,行政執法的主動性才是最大的風險變數。

💡 重點整理

  • SPI 新類別:健康、位置、種族等敏感資料須單獨揭露並提供限制選項。
  • 限制共享權:消費者可阻止個資用於跨情境廣告,範圍超越傳統「出售」定義。
  • CPPA 主動執法:獨立機構可自主調查,不再被動等待消費者申訴。
  • 企業合規重點:更新隱私政策、設置 SPI 限制連結、落實資料最小化原則。

CPRA 透過 SPI 分級保護與 CPPA 主動執法,將加州隱私保護提升至接近歐盟 GDPR 的水準。企業應儘速完成合規盤點,以降低行政裁罰風險。

留言