法国零售商丝芙兰成为第一家这样做的公司处罚根据加州消费者隐私法(CCPA),该公司没有向消费者披露其出售个人信息的情况,没有尊重用户的全球隐私控制作为退出选项,并且没有在截止日期前纠正这些违规行为。120万美元的罚款是和解协议的一部分,所以虽然丝芙兰不必承认有不当行为,但它必须支付罚款;纠正其数据共享政策、选择退出的途径和服务提供商协议;并向司法部长报告进展情况。丝芙兰案意义重大,因为:

  • 澄清“销售数据”的广义定义。丝芙兰的和解协议明确了销售的定义:任何以数据换取价值的交易——但不明确货币价值限定。这扩大了尊重消费者“不出售我的信息”要求的要求,并让更多公司接受CCPA调查——司法部长已经向其他与丝芙兰行为类似的组织发出了违规通知。不过,明年《加州隐私权法案》(CPRA)生效后,消费者有权选择不参与此类交易,届时关于什么构成此类交易的争论将变得毫无意义或分享他们的个人信息。
  • 是首个CCPA独家隐私解决方案。通常情况下,组织会被调查有形的不利事件,如数据泄露。丝芙兰案是CCPA首个与违规或安全相关事件无关的和解案,开创了仅隐私合规不足就可采取监管行动的先例。
  • 会是很多案子的第一个。加州总检察长办公室(OAG)公布了其“执法扫黑行动”,即一系列正在进行的调查,会通知不合规的组织,要求他们在30天内纠正违规行为,否则将面临诉讼。的清洁工已经专题化,针对有共同违规行为的组织、商业模式、产品/服务提供等,如对网上零售商和有忠诚计划的企业的调查。到目前为止,CCPA已经提出了250多起投诉,目前还有其他诉讼等待裁决。
  • 预示着隐私法规的未来。加州拥有迄今为止美国最严格的州隐私法。优先购买权的问题联邦隐私法案正变得越来越分裂,因为加州立法者(尤其是众议院议长南希·佩洛西不太可能接受削弱对其选民保护的联邦法案。随着围绕联邦隐私法案的辩论继续进行,共享或出售数据等问题将成为症结。

加强您的CCPA合规并为CPRA做好准备

营销人员和隐私专家想知道这一决定对他们的合规路线图意味着什么,请确保:

  • 重新检查您的隐私政策和服务提供商协议。数据共享和销售是CCPA下的广泛概念,所以如果您正在使用第三- - - - - -派对cookie,像素,SDK年代在你的网站或应用中,这些都是必须考虑的数据共享/销售实践。R记得复习第三次- - - - - -双方合同,包括服务提供商协议,管理服务提供商可以对您的客户的数据而且必须达到OAG的期望
  • 尊重消费者年代隐私选择通过工具和政策。这个案子使人明白全球隐私控制(GPC),一种基于浏览器的退出信号丝芙兰没有承认这一点.公司必须确保他们不仅为消费者提供了手段行使资料权利但是Y实际上有适当的机制消费者的隐私决定有效地影响公司如何使用、共享和存储他们的数据
  • 跨市场、安全和风险职能部门协作。不要犹豫你是否在出售数据。与您的安全和风险同行合作检查您的数据流,确保不仅遵守法律,而且将组织的风险降至最低。