好猫网手机站
加州的新隐私法一开始就举步维艰
2022-08-25 21:49:55  浏览:33

加州的新隐私法一开始就举步维艰

加州新的隐私法已经制定了多年。

加州的《消费者隐私法》(CCPA)于1月1日成为法律,允许州居民收回他们获取和控制个人数据的权利。 受欧洲GDP R的启发,CCPA是一代人中最大的全州隐私法变化。 新的法律允许用户请求一份科技公司的数据副本,当他们不再希望一家公司拥有数据时删除数据,并要求他们的数据不卖给第三方。 所有这些都让科技巨头们懊恼不已,其中一些巨头已经花费了数百万美元来遵守法律,还有更多的数百万美元用于处理预期涌入的消费者数据访问请求。

但说事情进展顺利是一种牵绊。

许多抵新法律的技术巨头已经默认并接受了他们的命运——至少在出现不同的情况之前。 加州的科技场景已经准备了一年多的时间,但有些已经使它变得非常困难,而且-具有讽刺意味的是-在某些情况下,用户行使他们的权利更具侵入性,这主要是因为每个公司对合规应该是什么有不同的解释。

亚历克斯·戴维斯只是一位加州居民,他试图利用法律规定的新权利请求删除他的数据。 他在Twitter上发泄了自己的烦恼,称企业对CCPA的回应是“以新的更糟糕的方式尽可能令人困惑和困难”。

“我从未见过如此刻意地试图混淆设计,”他告诉TechCrunch。 他提到了他所描述的“黑暗模式”,一种用户界面设计,试图欺骗用户做出某些选择,往往违背他们的最大利益。

他说:“我试图提出删除请求,但它使我陷入了不断重定向...的菜单中。

尽管他感到沮丧,戴维斯还是比其他人更进一步。 正如一些公司通过在其网站上添加合法要求的“不要出售我的信息”链接,使得用户很容易选择不出售他们的数据,许多公司没有。 一些人已经几乎不可能找到这些“数据门户”,这些“数据门户”是公司建立的,用户可以请求他们的数据副本或完全删除它。 目前,加州公司仍处在宽限期内,但到7月CCPA的执行条款开始生效为止。 在此之前,用户正在寻找方法来绕过它——通过整理和共享数据门户的链接来帮助其他人访问他们的数据。

“我们现在确实看到了一个关于CCPA响应水平的复杂故事,”杰伊·克莱恩(Jay Cline)表示。

普华永道自己的数据发现,美国最大的600家公司中只有40%拥有数据门户。 克莱恩说,只有一小部分将他们的门户扩展到加州以外的用户,尽管其他州正在准备推动类似的法律与CCPA。

但并非所有数据门户都是平等创建的。 考虑到公司在我们身上储存了多少数据——不管是个人的还是其他的——出错的风险比以往任何时候都要大。 技术公司仍在努力找出最好的方法来验证每个数据请求访问或删除用户的数据,而不会无意中将其交给错误的人。

去年,安全研究人员詹姆斯·帕夫(James Pavur)冒充他的未婚妻,欺骗科技公司交出大量关于她的数据,包括信用卡信息、账户登录和密码,还有一次是罪背景调查。 只有几家公司要求核实。 两年前,秋田创始人杨让(Jean Yang)形容有人入侵她的Spotify账户,并要求她提供账户数据,这是GDP R的“不幸后果”,GDP R授权在非洲大陆运营的公司允许用户访问他们的数据。

CCPA说,公司应该以“合理程度的确定性”来验证一个人的身份。对于一些人来说,这只是一个发送数据的电子邮件地址。

其他人要求发送更敏感的信息来证明是他们。

事实上,i360,一家鲜为人知的广告和数据公司,直到最近才向加州居民询问一个人的完整社会保障号码。 这最近变成了最后四位数。 Verizon(拥有TechCrunch)希望其客户和用户上传他们的驾照或状态ID以验证他们的身份。 康卡斯特要求同样的,但采取额外的步骤,要求自拍之前,它将翻转任何客户的数据。

康卡斯特要求提供同样数量的信息来验证数据请求,就像有争议的面部识别创业公司ClearviewA I一样,它最近成为头条,因为它创建了一个由Face book、Twitter和YouTube上刮来的数十亿图像组成的监视系统,以帮助执法人员跟踪一个人的移动。

就像CCPA造成的困难一样,它帮助建立了一个全新的合规初创公司,准备帮助大公司和小公司处理他们所面临的监管负担。 该领域的几家初创企业正在利用预计明年将用于CCPA合规的550亿$——比如Segment,它让客户对他们存储的数据有一个统一的看法;Osano,它帮助公司遵守CCPA;Securiti,它刚刚筹集了5000万$,以帮助扩大其CCPA的提供。 随着CCPA和GDP R在他们的腰带下,他们的服务旨在扩大规模,以适应新的州或联邦法律,因为他们进来。

另一家初创公司Mine通过充当经纪人让用户在CCPA和GDP R下轻松地提出请求,让用户“拥有”他们的数据,但它的首次亮相有点颠簸。

该服务要求用户允许他们访问用户的收件箱,扫描包含公司名称的电子邮件主题行,并使用该数据来确定用户可以从哪些公司请求他们的数据或删除他们的数据。 (该服务请求访问用户的Gmail,但该公司声称它将“永远不会阅读”用户的电子邮件。) 上个月,在一次宣传推送中,Mine无意中将几个电子邮件数据请求复制到TechCrunch,让我们看到两个请求者的姓名和电子邮件地址,他们想要Crunch,一个很受欢迎的健身房连锁店,有一个类似的名字,删除他们的数据。

技术Crunch提醒Mine和两个请求者注意安全失效。

Mine的联合创始人兼首席执行官Gal Ringel说:“这是我们的一个混淆,发现公司数据保护办公室地址的引擎识别了错误的电子邮件地址。 “这个问题在我们的测试阶段没有报告,我们已经立即解决了。

目前,许多初创公司已经歇息了。

规模较小、处于早期阶段的初创企业尚未获得$2500万的年收入,或将个人数据存储在5万多个用户或设备上,这将很大程度上避免不得不立即遵守CCPA。 但这并不意味着初创企业可以自满。 随着早期公司的成长,他们的法律责任也将随之增长。

克莱恩说:“对于那些推出这些门户网站并向所有美国人提供权利的人来说,他们最有能力为这些额外的州做好准备。 他表示:“如果小公司的产品或服务是大宗商品,它们在某些方面具有合规优势,因为它们可以从一开始就建立这些控制。

CCPA可能已经开始了一个坎坷的开始,但时间会告诉如果事情变得更容易。 就在本周,加州司法部长泽维尔·贝特拉(Xavier Becerra)发布了最新的指导意见,旨在“微调”规则。 这表明,即使是加州的立法者也在努力争取平衡。

但由于即将到来的巨额罚款威胁还有几个月的时间,对违规者来说,时间已经不多了。

加州居民可以在这里阻止公司出售他们的数据