美國加州的新隱私法正在製定中
該法律(美國加州的《消費者隱私法案》或CCPA)於1月1日成為法律,允許各州居民收回其訪問和控制其個人數據的權利。受歐洲GDPR的啟發,CCPA是一代人以來最大的州範圍內隱私法變更。新法律允許用戶請求技術公司擁有的數據的副本,在不再希望公司擁有這些數據時刪除數據,並要求其數據不出售給第三方。所有這些都令科技巨頭感到不快,其中一些巨頭已經花費了數百萬美元來遵守法律,並撥出了數百萬美元來應對預期湧入的消費者數據訪問請求。
但是說事情進展順利只是一小步。
為抵制新法律而大聲疾呼的許多科技巨頭已經默許並接受了他們的命運-至少直到發生了一些不同的事情。美國加州的技術行業有一年以上的準備時間,但是有些使它變得非常困難,並且具有諷刺意味的是,在某些情況下,用戶行使權利的侵略性很大,主要是因為每個公司對合規性的表述都有不同的解釋。
亞歷克斯·戴維斯(Alex Davis)只是美國加州的一位居民,他試圖利用法律規定的新權利提出刪除其數據的請求。他在Twitter上發洩了煩惱,他說公司已經對CCPA做出了回應,提出了“以新的和更糟的方式盡可能使人感到困惑和困難”的請求。
我從未見過如此刻意將設計與設計混淆的嘗試。” 他提到了他所說的“暗模式”,這是一種用戶界面設計,試圖誘使用戶做出某些選擇,通常是違背他們的最佳利益。
他說:“我試圖提出一個刪除請求,但它使我不停地選擇菜單,這些菜單一直在重定向……需要打開和關閉的東西。”
儘管感到沮喪,戴維斯卻比其他人走得更遠。就像有些公司通過在其網站上添加法律上要求的“請勿出售我的信息”鏈接,使用戶選擇退出出售其數據一樣容易,許多公司卻沒有。一些公司幾乎不可能找到這些“數據門戶”,公司已經建立了這些門戶,以便用戶可以請求其數據副本或將其完全刪除。目前,美國加州的公司仍處於寬限期,但直到7月CCPA的執行條款開始生效為止。在此之前,用戶正在尋找解決方法—通過整理和共享指向數據門戶的鏈接來幫助其他人訪問其數據。
諮詢巨頭普華永道(PwC)的數據隱私業務負責人傑伊·克萊恩(Jay Cline)說:“我們現在確實看到了關於CCPA回應水平的好壞參半。”
普華永道自己的數據發現,美國最大的600家公司中只有40%擁有數據門戶。克萊恩說,儘管其他州正加緊努力將類似法律推向CCPA,但只有一小部分將其門戶網站擴展到美國加州以外的用戶。
但是,並非所有數據門戶都是平等創建的。鑑於公司存儲了多少數據(無論是個人還是其他方式),弄錯事情的風險比以往任何時候都要大。科技公司仍在努力尋找最佳方法,以驗證每個數據請求以訪問或刪除用戶數據,而不會無意間將其洩露給錯誤的人。
去年,安全研究員詹姆斯·帕沃(James Pavur)冒充了未婚妻,並誘使科技公司上交了有關她的大量數據,包括信用卡信息,帳戶登錄名和密碼,在某些情況下還包括犯罪背景調查。只有少數公司要求進行驗證。兩年前,秋田的創始人讓·楊(Jean Yang)描述某人侵入她的Spotify帳戶並要求其帳戶數據是GDPR的“不幸後果”,該法律要求在大陸運營的公司允許用戶訪問其數據。
圖片:Twitter / @jeanqasaur)
CCPA表示,公司應以“合理的確定性”程度來驗證一個人的身份。對於某些人來說,這僅僅是發送數據的電子郵件地址。
其他人則要求發送甚至更敏感的信息以證明是他們。
的確,直到最近,i360還是一家鮮為人知的廣告和數據公司,一直要求美國加州居民提供一個人的完整社會保險號。最近更改為僅最後四位數字。Verizon(擁有TechCrunch的公司)希望其客戶和用戶上載其駕駛執照或州ID以驗證其身份。康卡斯特(Comcast)要求提供相同的信息,但在移交客戶的任何數據之前要求自拍照,這是額外的步驟。
康卡斯特需要與爭議性面部識別初創公司Clearview AI相同的信息量來驗證數據請求,該公司最近成為頭條新聞,以創建一個監視系統,該監視系統由從Facebook,Twitter和YouTube抓取的數十億張圖像組成,以幫助執法部門追踪一個人的動作。
儘管CCPA造成了很多麻煩,但它已經幫助打造了全新的合規性初創公司,這些公司可以幫助大型和小型公司處理其所承受的監管負擔。該領域的多家初創公司正在利用明年有望用於CCPA合規性的550億美元的優勢,例如Segment,它為客戶提供了存儲數據的綜合視圖;Osano幫助公司遵守CCPA;和Securiti,剛剛募集5000萬$,以幫助擴大其CCPA產品。在CCPA和GDPR的支持下,他們的服務旨在進行擴展以適應新的州或聯邦法律的出現。
另一家創業公司Mine首次亮相有些麻煩,該公司通過充當經紀人讓用戶“獲取所有權”數據,從而使用戶可以輕鬆地根據CCPA和GDPR提出請求。
該服務要求用戶授予他們對用戶收件箱的訪問權限,掃描包含公司名稱的電子郵件主題行,並使用該數據來確定用戶可以從哪些公司請求其數據或刪除其數據。(該服務請求訪問用戶的Gmail,但該公司聲稱將“從不讀取”用戶的電子郵件。)上個月,在進行宣傳時,Mine無意中將幾封電子郵件數據請求復製到TechCrunch,從而使我們能夠看到名稱和兩個請求者的電子郵件地址,他們希望Crunch(一個具有類似名稱的受歡迎的健身連鎖店)刪除其數據。
(截屏:Zack Whittaker / TechCrunch)
Mine的聯合創始人兼首席執行官Gal Ringel說:“這是我們的混淆,在尋找公司數據保護辦公室地址的引擎識別了錯誤的電子郵件地址。” “在我們的測試階段未報告此問題,我們已立即修復。”
規模較小,尚處於初期階段的初創公司尚未實現年收入2500萬美元,也無法將個人數據存儲在50,000多個用戶或設備上,因此無需立即遵守CCPA便大可避免。但這並不意味著初創公司可以沾沾自喜。隨著早期公司的成長,其法律責任也將隨之增長。
克萊恩說:“對於那些確實啟動了這些門戶網站並向所有美國人提供權利的人來說,他們處於為這些其他州做好準備的最佳位置。” 他說:“較小的公司如果其產品或服務是商品,則在某些方面具有合規優勢,因為它們可以從一開始就內置這些控制措施。”
圖文參考: TechCrunch