加州針對基因檢測公司通過基因資料隱私法

在加州消費者隱私法(California Consumer Privacy Act , CCPA )之後,加州( California)參議院於今(2020)年8月31日通過「基因資料隱私法( Genetic Information Privacy Act)」,該法尚待加州州長Gavin Newsom簽署。

立法者考量基因體資料(Genomic data)具有高度可區分性,只要有30到80個單核苷酸多型性(single nucleotide polymorphism, SNP)序列即可以唯一得識別一個個體。同時基因體資料非常穩定,其在個人的生命中幾乎沒有變化,因此具有長期價值(long-lived value),與其他具有到期日期的生物特徵資料(biometric data,例如血液檢測)不同。且基因檢測公司在很大程度上不受監管,並且可能暴露個人與基因資料,造成意想不到的後果,因而制定該法。

該法主要規範直接面向消費者的基因檢測公司(Direct-to-consumer genetic testing company),包含直接向消費者銷售(Sells),推銷(markets),解釋(interprets)或以其他方式提供消費者主動接觸( consumer-initiated)的基因檢測產品或服務的組織,或是分析從消費者取得的基因資料的組織,除非該基因資料的分析是由具醫療執照之人基於醫療診斷或治療的情況為之。

該法一旦正式頒佈,將要求前述基因檢測公司遵守比加州消費者隱私法更嚴謹的規範,包含:

1.向消費者提供蒐集、利用、維護和揭露基因資料的清楚且完整的政策和程序資訊,包含通俗易懂的隱私權實施原則(privacy practices)、明顯且易於接觸的隱私權聲明(privacy notice)與如何提出投訴的清楚描述。

2.取得消費者的明確同意,以蒐集、利用與揭露消費者的基因資料,其中至少應包含針對所蒐集基因資料用途(誰有權利用、如何共享基因資料)、每次將基因資料傳輸或揭露給第三方時(包含第三方名稱)與根據基因資料向消費者進行行銷等事項的單獨且明確的同意。同時該法也明文規定,依靠「暗黑模式(Dark pattern)」,即透過使用者介面(user interface, UI)操縱或設計實質影響消費者自主權、決策權或選擇權所獲得的同意並不構成明確同意。

3.提供有效的撤回同意機制,使消費者無須採取任何不必要的步驟,其中應包含公司與消費者聯繫的主要媒介。同時公司於收到消費者撤回同意後的30天內銷毀消費者的生物樣本(biological sample)。

4.實施並維護合理的安全程序與措施以保護消費者的基因資料遭到未經授權的存取、破壞、利用、修改或揭露。

5.制定程序與措施,使消費者能夠輕易得近用其基因資料、刪除消費者帳戶和基因資料、銷毀消費者的生物樣本。

6.不得因消費者行使相關權利而予以差別待遇,包含拒絕提供商品、服務或利益;對商品或服務收取不同價格或費率;向消費者提供不同級別或品質的商品、或利益等情形。

7.除特定情形外,不得將消費者的基因資料揭露給某些組織,例如與作出健康保險、人壽保險、長期照護保險、失能險或就業決策有關的組織。

8.每次違反該法將受到最高1萬美元的民事處罰(civil penalty)。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.挪威資料保護主管機關推出監理沙盒,協助人工智慧的開發
5.歐盟法院SCHREMS II案與常見問答