2012年10月30日,加利福尼亚州检察长Kamala Harris 宣布 她的办公室将开始通知多达100个移动应用程序的开发人员他们的应用程序不符合该州的《在线隐私保护法》(OPPA),并且有30天的时间使它们合规。

该公告不足为奇。今年早些时候,总检察长与分发和销售移动应用程序的主要平台发布了《联合原则声明》,规定他们将仅分发具有隐私政策的应用程序,消费者可以在下载前查看这些政策。当时,她的办公室告诉应用程序开发人员,他们有六个月的时间才能合规或收到违规通知。此后不久,哈里斯总检察长成立了 隐私权执行和保护股,专门用于 实施 OPPA和其他隐私法。

鉴于总检察长的宣布以及她对隐私的持续关注,无论是通过网站,在线服务还是应用程序,从加利福尼亚居民在线收集个人信息的公司都应采取措施,确保其合规。根据总检察长附在她身上的违规样本信 新闻稿,则每次下载不合规的应用程序时,不合规可能会被公司处以最高$ 2,500的罚款。

法律要求

OPPA要求商业网站运营商或在线服务提供商(包括移动应用程序开发商)从居住在加利福尼亚的消费者那里收集个人身份信息(PII),以发布醒目的隐私政策。因为OPPA适用于任何在线收集有关加利福尼亚州居民数据的公司,所以加利福尼亚州内外的公司都可能受到执法活动的约束。

根据OPPA,隐私政策必须包括:

  • 网站,在线服务或应用从其用户收集的PII类别;
  • 可以与之共享此类PII的第三方;
  • 如果网站运营商,在线服务提供商或应用程序开发人员维持这样的过程,则消费者可以查看并请求对其PII进行更改的过程;
  • 运营商,提供商或开发商将其隐私政策的重大变更通知消费者的过程;和
  • 它的生效日期。

其他注意事项

遵守OPPA并不一定确保遵守所有适用法律。特别是,联邦贸易委员会(FTC)长期以来一直 位置 隐私政策应以消费者易于理解的方式描述所有材料的收集,使用和披露做法。这意味着,除了OPPA要求的信息外,隐私权政策还应包括其他披露,例如:

  • 其范围;
  • 如何使用PII;
  • 如何“其他信息”-收集,使用和披露了可能不被视为PII的信息,但其收集可能对用户而言很重要。例如,这可能包括用户的点击流信息或其他与网站,服务或应用的交互作用而产生的其他信息,这些信息是出于个性化内容或显示目标广告的目的而收集的;
  • 如何保护个人身份信息以及可以保留多长时间;
  • 用户如何行使各种权利,例如选择不接受直接营销或选择不与第三方共享其PII;
  • 用户如何访问从他或她收集的PII以及他或她对此具有的控制权;和
  • 用户如何与运营商或开发人员联系。

起草合规的隐私政策只是第一步。公司还必须采取措施确保其遵守其隐私政策中的陈述,避免声称其隐私政策具有欺骗性或误导性。

鉴于加州总检察长和联邦贸易委员会(FTC)的执法活动有所增加,移动应用程序开发人员将希望确保其移动应用程序包含隐私政策,该隐私政策明显张贴在移动应用程序上,并且在实践。