加州总检察长卡玛拉·哈里斯(Kamala Harris)发表了期待已久的报告,题为 公开您的隐私惯例 (报告)于2014年5月21日发布。该报告建议遵守加利福尼亚在线隐私保护法(CalOPPA)的“最佳做法”。最初旨在回答有关网站,在线服务和移动应用程序运营商(以下统称“网站运营商”)必须做什么的关键问题,以符合CalOPPA于1月1日生效的新的“不跟踪(DNT)”披露义务。 ,2014年。它没有实现该目标。不幸的是,该报告遗漏了重要问题 提出了新的问题。

该报告解释说,“其建议。 。 。在某些地方提供的隐私保护要比现有法律所要求的强,而不是法规,命令或法律意见。”但是,它未能阐明法律的实际要求,我们希望行业协会将继续就重要的合规性问题寻求指导。同时,站点运营商可能希望尽可能地遵守报告中的至少一些建议,因为随着时间的流逝,此类“建议”往往会变成监管“期望”。

披露了跨站点跟踪和对DNT选择机制的响应

为了评估报告的建议,重要的是首先了解CalOPPA的DNT披露义务。 由AB 370修订,法律要求网站运营商就以下方面进行披露:

  1. 如果它参与跨站点跟踪,则它会收集有关其用户在一段时间内以及跨第三方站点或在线服务的活动的个人身份信息(PII)。 (我们注意到,加州总检察长似乎对PII进行了广泛定义,使其不仅包括姓名,实际地址,电子邮件地址,电话号码和社会保险号,还包括设备标识符和地理位置数据。)
  2. 一段时间内以及跨第三方站点或服务对站点运营商用户的任何“第三方”跟踪。

该法律适用于任何目的的跨站点跟踪,包括分析和广告。

我们依次讨论了这些义务中的每一个,以及报告针对这些义务提出的问题。

答:有关站点运营商自己的跨站点跟踪的披露。

法律要求网站运营商披露 怎么样 它响应浏览器DNT信号或其他跟踪选择机制, 如果 它从事跨站点跟踪。如报告所述,“新规定没有。 。 。取决于操作员如何使用的标准 应该 响应DNT浏览器信号或自动传达消费者选择的不受跟踪的任何机制。”法律仅要求公开,而没有实质性惯例,因此可能会因未能公开或未准确公开所需信息而受到违反。

在实践中和根据报告,这意味着什么?报告提出了哪些问题?

  • 如果站点运营商从事跨站点跟踪,则必须披露其如何响应浏览器DNT信号或其他跟踪选择机制。
    • 如果站点运营商进行跨站点跟踪并遵守DNT信号,它应该解释 恰恰 它对DNT:1标头的响应。请注意,简单地表示站点运营商“赞扬” DNT信号可能是一个错误,因为该表示可能被解释为意味着超出运营商行为的保证。例如,各行各业的利益相关者之间尚未达成共识,学者和提倡者,是否接受退出意味着网站运营商停止在线跟踪,还是仅停止使用通过跟踪收集的信息。
    • 如果站点运营商从事跨站点跟踪并采用其他方式让用户表达对跟踪的选择,应该这样说。该法律允许站点运营商通过“在运营商的隐私权政策中提供清晰明了的超链接到在线位置来满足DNT公开要求,其中该在线位置包含对运营商遵循的向消费者提供的任何程序或协议的描述(包括效果)的描述。选择。”该报告明确指出,网站运营商可能会披露 要么 它如何响应浏览器的DNT信号 要么 链接到提供选择的另一个程序或协议。但是,该报告指出,“ [d]在您的隐私政策声明中注明您的回答比简单地提供指向相关“程序或协议”的链接更为可取。 。 。因为它为消费者提供了更大的透明度。”它还建议站点运营商“ [p]提供链接 除了通过简短,概括的描述来识别程序的作用之外,。”遵循这些建议可以提高透明度,但它们都超出了法律提供链接的要求。

该报告还建议网站运营商考虑“您链接到的页面 包含有关该程序对消费者的影响的清晰声明。 。 。 (以及)消费者必须采取什么措施才能行使该计划提供的选择。”

这引起了有关链接到第三方选择程序的几个问题:

  1. 该链接是否必须将用户直接带到该程序的退出页面,还是指向该程序的网站的链接就足够了? 该报告并没有明确说明,而且可能超出法律范围,法律仅要求链接到“一个在线位置,其中包含操作员遵循的向消费者提供选择的任何程序或协议的描述,包括效果”。 ”
  2. 该报告没有提及哪些外部选择程序足够(如果有)。 根据我们的判断,由数字广告联盟(DAA)和网络广告计划(NAI)实施的行业自律计划应符合法律的要求。但这还没有解决,AG对任何一个程序是否符合定义表示了担忧。我们预计NAI和DAA将在这一点上寻求进一步的说明。
  • 如果站点运营商进行跨站点跟踪但不接受浏览器DNT信号或任何其他选择机制,应该说它不遵守浏览器DNT信号。关于此类网站运营商,报告建议“ [i]如果您确实在消费者跨其他网站或服务移动时继续通过DNT信号收集有关消费者的个人身份信息, 描述您对信息的使用。”尽管这种披露可能是审慎的(因为可以想象,如果未能做到这一点,可以认为是重大遗漏,因此根据联邦贸易委员会法律,在这种情况下普通用户可能无法预料的使用),但CalOPPA并不要求披露。
  • 如果站点运营商未进行跨站点跟踪,则不会触发任何披露义务。
  • B.与另一方跨站点跟踪有关的披露。

    CalOPPA要求网站运营商披露“是否 当消费者使用运营商的网站或服务时,其他各方可能会随着时间的推移以及在不同的网站上收集有关个人消费者在线活动的个人身份信息。”法律不要求运营商就此类“另一方”对DNT机制的回应进行任何披露。

    在实践中和根据报告,这意味着什么?报告提出了哪些问题?

    • 服务提供商是“另一方”吗? 由于法律和报告均未明确“另一方”一词的含义,因此尚不清楚是否包括站点运营商的服务提供商,或者服务提供商是否站在站点运营商的立场上法律。在2013年12月10日与行业代表,消费者权益倡导者和其他有关方面的电话会议中,股份公司办公室的代表建议,服务提供商与站点运营商不一样,而应被视为服务提供商的“另一方”。法律目的。此立场与法律对“运营商”的定义相一致,该定义似乎排除了服务提供商。根据我们的判断,可以得出结论: 确实 必须披露有关其服务提供商跨站点跟踪活动的DNT响应或选择机制,但是 确实 必须披露是否有任何服务提供商或其他第三方参与了站点运营商用户的跨站点跟踪。实际上,这种区别可能没有关系:使用服务提供商进行跨站点跟踪(例如,用于分析或行为广告服务)的站点运营商通常会根据合同要求服务提供商同时披露跟踪信息和告诉用户如何选择退出,例如通过DAA或NAI。
    • 报告建议网站运营商说明第三方的做法可能与网站运营商的DNT政策有所不同。 此建议超出了法律的要求。如上所述,法律仅要求网站运营商披露 是否 第三方进行跨站点跟踪。它不要求解决第三方对DNT信号或其他选择机制的响应。然而,该建议提出了一个问题,即股份公司是否认为法律有责任让站点运营商审查其站点上的第三方跟踪器的行为,并披露此类行为是否与站点运营商自己的行为背道而驰。

    治愈的机会?

    报告承认,CalOPPA包含30天的不遵守规定的通知和补救期,但并未明确说明该30天的期限是否适用于发布了隐私政策但未包含要求的DNT披露但又符合隐私政策的公司。法。股份公司办公室的代表在2013年12月与感兴趣的利益相关者的电话中表示,为期30天 不适用 在这种情况下,报告似乎支持这种解释,该报告指出:“法律为经营者提供了30天的期限 在被通知失败后发布政策. 违反法律规定的经营者违反了该政策的法律要求 或有意或故意或过失和实质性地违反其政策的规定。” AG的明显解释是,只有在有 没有任何政策,但是如果有任何政策(甚至是几乎完全合规的政策),那么就不需要通知和治愈期。从公共政策的角度来看,这种立场是没有道理的:无所作为的经营者不应享有比那些努力而只是错过商标的经营者更大的保护。

    在线透明度“BEST PRACTICES”

    最后,报告建议了其他“最佳做法”,旨在确保网站运营商的隐私政策对其用户透明。尽管其中许多超出了法律的要求,但是值得考虑一下,因为“最佳实践”会随着时间的流逝逐渐趋于监管要求。其中包括对以下方面的建议:

    • 突出标记政策中有关在线跟踪的部分。例如:“加利福尼亚州不跟踪披露。”
    • 披露第三方是否从您的用户那里收集PII。
    • 除了完成客户交易或网站或应用程序的基本功能所必需的以外,请说明您对PII的使用。
    • 描述您从用户那里收集了什么PII,如何使用以及保留了多长时间。
    • 描述消费者在收集,使用和共享其个人识别信息时的选择。
    • 使用避免法律术语的简单明了的语言,并使用使策略可读的格式(例如分层方法)。使用图形或图标代替文本。

    结论

    当涉及新的CalOPPA DNT披露要求时,该报告提出的问题多于其答案。它承认其建议不一定是法律要求,但是这样做并不能阐明法律本身的要求。鉴于这种不确定性,站点运营商不妨尽可能执行报告的建议。