152 5 促資訊保安 事實上,有不少公司沒有好好保護收集到的個人私隱訊息,輕易外洩,例如社交平台臉 書(Facebook)的「劍橋事件」,就曾令外界嘩然。隨著 5G 和物聯網(IoT)時代來 臨,個人私隱訊息的保護,議題再受到公眾更大的關注。 對於加州消費者隱私法案,其立法過程實在也值得一說,因為這反映了保護消費者私隱 權利和企業營利行為之間的「矛盾」,如何取得合理平衡,也是一個值得思考的問題。 CCPA 的折衷立法 一直以來,加州消費者隱私權組織(Californians for Consumer Privacy Act)對許多 大型企業輕易取得消費者的個人資料,但一般消費者卻幾乎沒有拒絕提供個人資料的權 利,亦無法知悉大型企業究竟掌握了自己多少個人資料。該組織認為,蒐集了大量個人 資料的大型企業,應有責任給予消費者是否提供個人資料的權利,亦應該向外揭示它們 所使用個人資料的方式,以及把所得資料進行分享的對象。在這種考量下,加州消費者 隱私權組織於 2017 年提出法律草案,並蒐集了逾 6 萬份連署,聲勢相當巨大。 由於加州消費者隱私權組織版本的 CCPA 相當嚴格,為了避免對企業經營的衝 擊過大, 於是有參議員與眾議員與該組織協商,希望該組織能撤回提案,而交換條件是,參、眾 兩院將通過一個類似的隱私權保護法案,該組織最終答應了議員的協商,撤回了提案, 而加州州長布朗(Jerry Brown)遂於 2018 年 6 月 28 日 簽署了 CCPA 法案,生效日期 為 2020 年 1 月 1 日,這 CCPA 比起加州消費者隱私權組織最初所提出的版本,無疑有所 寬鬆。可以說是在個人私隱保護權利和企業經營上取得一個折衷「平衡」。 CCPA 與 GDPR「一脈相承」 記得歐盟於 2008 年 5 月下旬落實了《通用數據保護條例》(General Data Protection Regulation, GDPR),條例規定個人數據處理者必須清楚地披露任何數據收集,並聲 明數據處理的合法基礎和目的、保留數據的時間。如果數據洩露對用戶私隱產生不利影 響,企業必須在 72 小時內向主管監督機構報告。盡快向外作信息披露的考量,讓受影響 的客戶能夠盡快作出應對,減少損失。這條被視為加強保護消費者權利的高標準「里程 碑」法例。與加州的 CCPA 相比,提高對個人數據保護標準的立法精神,出發點可以說 是「一脈相承」。
RkJQdWJsaXNoZXIy NDk5Njg=