1. 前言
歐盟在1995年制定了「個人資料保護指令」(Data Protection Directive),隨著數位經濟科技發展與全球化影響,個人資料保護議題帶來許多新的挑戰,2016年通過被稱為史上最嚴格個資法[1]的「一般資料保護規則」(General Data Protection Regulation,GDPR)取代了先前的法規,並在實際執行前給予歐盟兩年的緩衝期,於2018年5月25日正式實施[2]。
另一方面,加州消費者隱私權組織(Californians for Consumer Privacy)有感於許多大型企業長期以來對於消費者的個人資料取得輕易,而一般消費者卻幾乎無權拒絕提供,亦無法得知大型企業究竟掌握了多少個人資料,該組織認為,蒐集了大量個人資料的大型企業,應有責任提供消費者選擇是否提供資料的權利,亦應揭露其所使用個人資料的方式以及其所分享的對象,故於2017年提出草案,並於次年蒐集了629,000份連署;加州州長於2018年6月28日簽署了CCPA (California Consumer Privacy Act[3]),並於2020年1月1日生效[4]。
GDPR與CCPA是歐盟與美國加州個別推動的,極具代表意義的個人資料保護法規,但兩者之間仍有許多重要的差異,代表歐美監管機關對於個人資料保護所呈現的兩種不同管控取向。「隱私權未來論壇」(Future of Privacy Forum,FPF)與隱私顧問諮詢企業「唯一相信數據指南」(OneTrust DataGuidance)首先於2018年11月底共同發表了GDPR與CCPA的比較分析[5],後於2019年12月底更新了這份分析報告[6],以下本文將就此報告內容進行重點摘譯[7]。
2. 適用對象
GDPR的管轄較廣泛,包含所有蒐集與處理歐盟居民或公民資料的營利事業;CCPA則聚焦於管轄「以營利目的處理個人資料的企業」,為被管轄實體設置了「年收入金額門檻」及「消費者、家庭和設備數量門檻」,主要針對風險影響程度和範圍較大的實體進行管轄。
CCPA具體的管轄條件為(1)處理加州居民個人資料的實體,且(2)該實體以營利為目的並滿足以下一個或多個條件:(a)年度總收入超過2,500萬美元;(b)每年獨自或與他人聯合,為商業目的購買、出售、分享50,000筆以上消費者、家庭或設備的個人資料;(c)高於50%的年收入來自於出售消費者個人資料。
兩個法案最大的共通點則是,皆只保護自然人,不包含法人。
3. 罰則
3.1 罰鍰
違反GDPR各條規定的企業,可能受到的行政罰鍰為1,000-2,000萬歐元,或2%-4%的全球年營業額,擇高處罰,且根據侵權狀況而定,目前為止最高的罰款,是由法國資料主管機關對Google開出的[8]5,000萬歐元;而因個資遭竊或其他個資安全相關行為違反CCPA之公司,若遭到加州總檢察長(Attorney General of California)起訴,則須賠償法院判定之金額,故意違反者每次最高可罰7,500美元,非故意違反者最高可罰2,500美元。
3.2 主管機關
根據GDPR條款,在歐盟乃由各國資料保護主管機關負責相關業務,並具有調查的權力,也就是可以針對有疑慮的企業進行稽核,不僅能提出警告並指派資料控管者[9](data controller)遵守GDPR,也可以禁止資料處理、處以行政罰鍰,並要求其刪除不法獲得的資料;而CCPA則比較單純,僅由加州總檢察長負責啟動調查與起訴。
4. 法案處理的問題
4.1 個資定義:GDPR的個人資料與CCPA的個人資訊
GDPR定義個人資料(personal data)為「指能夠識別(直接或間接)或者足以識別自然人〔或資料主體(data subject)〕個人資料的任何相關資訊」,例如身分證字號、定位資料,或任何涉及自然人個別的生理、心理、精神、遺傳基因、社會文化認同、政治思想、經濟地位等不同形式的資料。
CCPA則是將個人資訊(personal information[10])定義為「識別、關聯、敘述、能夠合理與特定消費者或家庭直接或間接關聯的資訊」,例如:真實姓名、別名、郵寄地址、特殊個人辨識字(unique personal identifier[11])、IP位址、電子郵件地址、帳戶名稱、社會安全號碼(Social Security number)、駕照號碼、護照號碼,或其他類似的識別號碼。兩者之間的差別是,GDPR僅限於個人,而CCPA的定義較為廣泛,納入了家庭。
此外GDPR創造了一個稱為「敏感個人資料」(sensitive personal data[12])的特種類別,也就是在處理與揭露種族、政治思想、宗教信仰或工會會籍身分(trade union membership)相關的個資,以及為了辨識一個自然人而處理的基因資料、生物性資料、與健康相關的資料、與自然人的性生活或性傾向有關的資料等,皆應該被禁止,這類個人資料並不見於CCPA。
最後,在CCPA的定義中,公開資訊並不被視為個人資訊[13]。
4.2 同意的方式
GDPR在第六條[14]設定了關於蒐集與利用一般個人資料之合法事由規範,為企業提供了可以進行差異化選擇的法律依據,比如資料主體明確同意、企業是基於履行合約之必要、為執行公共利益或公務行為等情況,意即,GDPR中有「合法利益」的概念,允許能夠證明「合法利益」的企業在某些情況下,可以未經同意合法處理個人資料,比如預防犯罪、欺詐監測等。
然而CCPA不具此項概念,適用於CCPA的企業可以任意使用資料,除非消費者「行使退出權(opt out),拒絕自己的個人資訊被販售」,對此,企業須明確標示其隱私權政策,以及「不同意出售我的個人資訊」按鈕,並指導消費者行使該權利。
換言之,GDPR採取選擇「加入」的方式,「當事人同意」是企業處理個人資料的重要依據,因此企業須主動獲取;而CCPA採取選擇「退出」的方式,消費者有權指示企業停止向第三方出售其個人資訊。
5. 結論
GDPR與CCPA的立法目的十分相似,都是透過規範企業處理資料的行為,強化其保護責任,並設定較為嚴格的處罰,旨在加強對個人資料和隱私的保護。
GDPR聚焦在為歐盟創造一個「預設隱私」(Privacy by Default)的法律框架,賦權歐洲人「資料取得權」(Right to Access)、「被遺忘權」(Right to be Forgotten / Data Erasure)以及「資料可攜權」(Data Portability);而CCPA僅為美國單一個州的立法,且從立法背景上僅為美國隱私立法的一環,旨在為加州的消費者創造個人資訊的透明度。兩項法律雖有根本上的不同之處,卻一樣在歐洲與美國為隱私與資料自主創造了創新的法律架構。
Photo created by freepik
[1] 高敬原, “沒有人是局外人!史上最嚴個資法衝擊全球,帶你搞懂什麼是GDPR,” 數位時代, May 25, 2018, https://www.bnext.com.tw/article/49249/gdpr-general-data-protection-regulation-eu-.
[2] Andrew Rossow, “The Birth Of GDPR: What Is It And What You Need To Know,” May 25, 2018, https://www.forbes.com/sites/andrewrossow/2018/05/25/the-birth-of-gdpr-what-is-it-and-what-you-need-to-know/#2b161a6a55e5.
[3] Issie Lapowsky, “California Unanimously Passes Historic Privacy Bill | WIRED,” June 28, 2018, https://www.wired.com/story/california-unanimously-passes-historic-privacy-bill/.
[4] GILAD EDELMAN, “Everything You Need to Know About the CCPA | WIRED,” January 1, 2020, https://www.wired.com/story/ccpa-guide-california-privacy-law-takes-effect/.
[5] “CCPA, Face to Face with the GDPR: An in Depth Comparative Analysis,” accessed April 30, 2020, https://fpf.org/2018/11/28/fpf-and-dataguidance-comparison-guide-gdpr-vs-ccpa/.
[6] Casey Crane, “Comparing Privacy Laws: GDPR v. CCPA,” November 6, 2019, https://fpf.org/2019/12/18/comparing-privacy-laws-gdpr-v-ccpa/.
[7] “CCPA vs GDPR | Compliance with Cookiebot,” accessed April 23, 2020, https://www.cookiebot.com/en/ccpa-vs-gdpr/.
[8] https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc
[9]兩個GDPR的名詞定義,一是資料控管者(Data Controller),其二是資料處理者(Data Processor)。所謂資料控管者,係指掌握個人資料,並決定處理個人資料之目的、條件與方法者,如蒐集、處理或利用個資之企業。而資料處理者則為依據資料控管者的指示而為實質處理資料者,如受委託之資料處理業者。https://www.netadmin.com.tw/netadmin/zh-tw/trend/23E7E3EF84054E64B384C01865C4B73C
[10]https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?sectionNum=1798.140.&lawCode=CIV
[11] 根據條文解釋,unique personal identifier指的是「可辨識消費者個人、家庭或與消費者或家庭連結的設備,跨時且跨越不同服務」,例如,IP位址、cookies、beacons、像素程式碼(pixel tags)、消費者電話、特殊別名等;家庭指的則是法定監護人或家長。
[12] https://gdpr-info.eu/art-9-gdpr/
[13] “Personal information” does not include publicly available information. https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?sectionNum=1798.140.&lawCode=CIV
