如果由州长杰里·布朗(Jerry Brown)签署,加利福尼亚州的AB 370法案将是世界上第一个直接针对“请勿追踪”(DNT)成为法律的立法。它已经通过了加利福尼亚州立法机关的两院,并可能于一月份生效。该法案将修改加利福尼亚州现行的《在线隐私保护法》(CalOPPA),要求网站运营商解释其如何响应DNT信号 要么 “其他机制使消费者能够选择是否随时间推移以及跨第三方网站或在线服务收集有关个人消费者在线活动的个人身份信息,如果运营商参与其中的话。” 看到 校准总线。&教授守则§§22575(5)。

就像加利福尼亚州的数据泄露通知法一样,这将是一项披露法,而不是制定新的消费者权利或对公司施加实质性要求的法律。就是说,就像之前的数据泄露通知法一样,其目的似乎是要迫使公司做出实质性更改(在此,通过响应DNT信号;对于违反消息通知法,通过制定更好的数据安全措施来减少令人尴尬的披露频率)。

由于CalOPPA适用于从“居住在加利福尼亚州的消费者”(每个“站点”)收集个人身份信息的任何网站,在线服务或(根据加利福尼亚总检察长)移动应用程序,因此,如果法律颁布, 实际上 全国范围。结果,尽管有关于联邦DNT立法的传言,但加利福尼亚州将设定新的全国公开标准。

但是,最大的问题是网站运营商到底需要披露什么。尽管在万维网联盟(W3C)进行了两年多的谈判,但由于法律本身或行业对DNT的含义不清楚,也使他们面临的挑战变得尤为严峻。

什么是卡洛帕?

CalOPPA当前要求网站运营商发布执行以下操作的隐私权政策:

•确定收集的个人身份信息的类别;

•如果站点提供了这样的过程,则为使用或访问站点以查看和请求更改其已收集的个人身份信息的个人消费者提供过程描述;

•描述将隐私政策的重大变更通知消费者的过程;和

•确定保单的生效日期。

AB 370和“请勿追踪”

假设州长签署AB 370,并且在某些法律挑战下仍能生存,则站点运营商将需要:(1)在其隐私权政策中说明如何响应Web浏览器DNT信号,以及(2)披露适用的第三方数据收集和使用政策。

在深入了解新的公开要求之前,回过头来仔细看看DNT是什么或打算是什么可能会有所帮助。 DNT机制背后的想法是,它应该为消费者提供一种简便的方法来控制对其在线活动的跟踪。 DNT在技术上很简单。在设备浏览器或移动应用程序中启用DNT首选项时(包括默认情况下启用的话),“ DNT:1”标头会与其他标头信息一起传输到请求服务器。 DNT旨在表达用户对在线跟踪的偏好;但是,DNT的实际含义以及“尊敬” DNT的含义已成为其实施的很大障碍。换句话说,一旦接收到DNT标头,接收服务器应该做什么?

两年多来,W3C工作组一直在努力解决这些问题。 DNT选择退出可能不涵盖用户所在站点(即第一方站点)对数据的收集和使用。但是第三方呢?最新的W3C工作草案将禁止在收到DNT:1标头后收集,使用和共享第三方数据,除非此类收集,使用或共享属于欺诈检测,市场研究或分析之类的例外,甚至是这些例外激烈竞争。由于W3C流程目前处于停滞状态,并且没有领导者,尽管没有尝试解决这些困难和有争议的问题,加利福尼亚州还是步入了竞争。

对于站点运营商而言,新的“请勿追踪”披露意味着什么?

修改后的CalOPPA将要求站点运营商在其隐私权政策中解释其如何响应DNT信号 要么 “其他机制使消费者能够选择是否随时间推移以及跨第三方网站或在线服务收集有关个人消费者在线活动的个人身份信息,如果运营商参与其中的话。” 看到 校准总线。&教授代码§22757(5)。

问题是要遵守此要求要说什么。站点缺乏对DNT确切含义的清晰定义,因此也缺乏对DNT信号响应的确切披露方式。就目前而言,表示一个“荣誉” DNT信号是错误的,因为该表示可能被解释为意味着超出公司行动保证的范围。假设该法案生效,那么暂时最好是遵守以下事实:如果您的网站从事触发所需披露的活动,那么您是否对DNT:1标头做出任何反应?如果没有,那就这样。法律只要求披露。另一方面,如果您是为了响应收到DNT:1披露而采取了某些措施,请确切说明您所做的事情(例如,您是否继续收集数据但停止创建用于在线行为广告的配置文件?)。这是一项披露法律,而不是确立新消费者权利的法律,如果未能披露或准确披露所需信息,可能会违反该法律。

可以通过在运营商的隐私权政策中链接“至包含该运营商遵循的向消费者提供[不跟踪或其他]选择[机制]的消费者的任何程序或协议的描述,包括其效果的描述的在线位置,来进行所需的公开。 。” 看到 ID。 §22575(7)。也就是说,可能存在一些中央网站或实体,甚至可能是行业自律网站,它们可以为DNT问题提供整个行业的答案。

最后,AB 370解决了第三方数据共享问题。它将要求网站运营商披露“当消费者使用运营商的网站或服务时,其他方是否可以随时间推移以及跨不同网站收集有关个人消费者在线活动的个人身份信息。” 看到 ID。 §22575(6)。换句话说,操作员必须告知用户有关数据收集和使用实践的信息。 其他 实体(如果这些实体也在一段时间内也在不同的网站上收集数据)。

由于AB 370只是扩展了CalOPPA的要求,因此目前的其余CalOPPA制度将可能适用。这意味着,仅当网站运营商在收到违规通知后30天内未能发布合规的隐私政策时,才会违反修订后的法规。此外,虽然没有私人诉讼权,但加州总检察长可以执行法律。对违规行为的任何处罚将根据《加利福尼亚反不正当竞争法》进行,该法律规定,每次违规行为的最高民事罚款为2500美元。

尽管加利福尼亚州尚未通过立法命令定义DNT或尊敬DNT在数据收集和使用方面的含义,但新的CalOPPA披露要求的前景肯定会为在线生态系统中的参与者达成一个额外的动机,促使他们就尊敬DNT的含义达成共识。同时,站点运营商将必须谨慎,避免仅因无法定义而无法兑现的承诺。