加州隱私權法案

加州隱私權法案（CPRA），正式名稱為第24號提案，於2020年11月通過，旨在修訂並強化原有的加州消費者隱私法（CCPA）。CPRA的核心是賦予加州居民對其個人資訊更廣泛的控制權，新增了「更正權」與「限制敏感個人資訊使用與揭露權」。它引入了「共享」（sharing）的概念，將其定義為出於跨情境行為廣告目的而揭露個資，並要求企業提供明確的退出選項。此法案與歐盟的《一般資料保護規則》（GDPR）在資料最小化、目的限制等原則上更為一致。在風險管理體系中，CPRA要求處理具重大風險個資的企業，必須定期執行「風險評鑑」（Risk Assessment），類似GDPR第35條的「資料保護影響評估」（DPIA）。對於遵循ISO/IEC 27701（隱私資訊管理系統）的企業而言，CPRA的具體要求可對應至該標準中關於利害關係人（如資料主體）權利實現的控制措施，是將抽象標準落地為具體法律義務的實踐。

企業應用CPRA於風險管理，需採取系統性步驟以確保合規並降低法律風險。第一步是「資料對應與盤點」，企業必須識別並繪製處理加州居民個人資訊（特別是敏感個資）的完整生命週期，從收集、使用、儲存到分享或銷售，此舉措與ISO/IEC 27701中對個人可識別資訊（PII）流程的盤點要求一致。第二步是「建置消費者權利行使機制」，需在網站上設置清晰的「請勿出售或分享我的個人資訊」及「限制使用我的敏感個人資訊」連結，並建立內部流程，確保能在法定的45天內回應消費者請求。第三步是「執行與文件化風險評鑑」，針對高風險的資料處理活動，如大規模監控或涉及敏感個資的自動化決策，進行年度風險評鑑與網路安全稽核，並記錄緩解措施。例如，一家跨國電商導入CPRA後，其合規率可從70%提升至95%以上，並因有效管理消費者請求而將潛在的單次故意違規罰款（最高7,500美元）風險降至最低。

台灣企業導入CPRA時，主要面臨三大挑戰。首先是「法規適用性判斷困難」，許多企業不確定其營業額、處理加州居民資料量是否達到CPRA的管轄門檻。對策是進行全面的法務與資料流程分析，若處於灰色地帶，建議採取「合規優先」策略，以國際標準ISO/IEC 27701為藍本建立管理體系，預計60天內完成分析。其次是「技術整合與系統改造」，舊有系統難以支援消費者權利的精細化管理，如標記並限制特定敏感個資的使用。解決方案是導入同意管理平台（CMP），並將其與客戶關係管理（CRM）及行銷自動化工具整合，優先處理退出權的自動化流程，預計90-180天完成。最後是「專業人才與資源匱乏」，多數中小企業缺乏專職的法務與資安人員。對策是尋求外部專業顧問協助，進行差距分析，並對第一線員工進行個資處理的教育訓練，將有限資源投入在最高風險的環節，初期評估與訓練可在30天內啟動。

積穗科研股份有限公司專注台灣企業California Privacy Rights Act相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact