美國最嚴厲的加州消費者隱私法案正式上路了

有GDPR輕量版之稱、全美最嚴厲的《加州消費者隱私法案》（California Consumer Privacy Act，CCPA）已於今年1月1日正式實施，然而，美國媒體認為，應該沒有任何一家美國企業已準備好要迎接CCPA。

CCPA規範了符合下列任一條件的企業，一是每年購買、銷售或分享超過5萬個消費者或裝置的企業，二是年營收超過2,500萬美元的企業，三是有一半的年度收入，來自於消費者個資的銷售的業者。只要違反CCPA，或者是未在接獲違法通知的30天內進行修正，每次的違法行為最高可被判罰7,500美元（約22萬元新台幣）。

CCPA被視為美國最全面也最嚴厲的消費者隱私法，最關鍵的規定在於要求企業，必須向加州居民揭露他們如何使用這些資料，居民不但能夠要求企業不得銷售資料，也能要求企業刪除自己的個資。

此外，當民眾拒絕企業蒐集或銷售自己的個資時，CCPA也規定企業，不得透過任何降低服務水準的方式來進行報復，但允許企業利用財務上的獎勵，來說服民眾同意資料的蒐集與運用。

大多數的媒體認為，目前美國企業正陷於一片恐慌當中，因為它們並不知道該如何才能不觸犯CCPA，估計至少要許多年的時間，才能完全理解與實踐CCPA的規定。

值得慶幸的是，即便CCPA已經正式上路，但提供了6個月的寬限期，在這期間容許企業犯錯並更正。

微軟已於去年底宣布不只會在加州履行CCPA，而會在全美的範圍內遵守CCPA的規定，Mozilla則在本周表示，為了因應CCPA的上線，將允許Firefox用戶請求刪除遙測資料。