Які вимоги CPRA щодо «Не продавати або не поширювати»?

Закон Каліфорнії про права на недоторканність приватного життя (CPRA) розширює права споживачів порівняно з Законом Каліфорнії про захист персональних даних споживачів (CCPA), зобов’язуючи компанії надавати чіткі можливості відмови як від продажу, так і поширення особистої інформації. У CPRA зазначено, що:

“Споживач має право в будь-який час дати вказівку компанії, яка продає або поширює особисту інформацію про споживача третім особам, не продавати та не поширювати особисту інформацію споживача. Це право може називатися правом на відмову від продажу або поширення.” (CPRA §1798.120)

Ця поправка вводить подвійний механізм відмови, розширюючи попередні зобов’язання, які стосувалися виключно продажу персональних даних. Вимога враховувати поширення відображає еволюцію екосистеми даних, де особиста інформація часто поширюється поза межами транзакційних продажів, наприклад, для обміну даними з метою міжконтекстної поведінкової реклами.

Ключові вимоги згідно з CPRA включають:

• Чітке та помітне посилання: Компанії повинні розміщувати посилання «Не продавати та не поширювати мою особисту інформацію» на видному місці на своїх веб-сайтах, забезпечуючи споживачам легкий доступ. Це посилання має бути видимим без необхідності прокручування або переходу на інші сторінки.

• Дотримання глобальних сигналів відмови: CPRA вимагає від компаній поважати глобальні сигнали контролю конфіденційності, такі як Global Privacy Control (GPC). Такі сигнали слугують стандартизованим механізмом, за допомогою якого користувачі можуть повідомити про своє бажання відмовитися від продажу або поширення даних на різних веб-сайтах.

Практичний ефект полягає в розширенні сфери контролю споживачів:

• Механізми відмови повинні охоплювати як продаж, так і поширення.
• Компанії повинні впроваджувати технічні та процедурні заходи для виявлення та виконання уподобань користувачів, повідомлених через веб-посилання та сигнали браузера.
• Недотримання вимог може призвести до примусових заходів з боку Каліфорнійського агентства із захисту персональних даних (CPPA), створеного згідно з CPRA.

Ця вимога подвійної відмови узгоджується з результатами досліджень у сфері конфіденційності, які підкреслюють, що обізнаність споживачів і контроль над потоками даних є критично важливими для збереження приватності (Acquisti, Brandimarte, & Loewenstein, 2015). Чітке включення CPRA поняття поширення усуває прогалини, виявлені в попередніх законах, де обмін даними, який не вважався продажем, був поза контролем споживачів (Englehardt & Narayanan, 2016).

Підсумок вимог CPRA щодо «Не продавати та не поширювати»:

• Розміщувати чітке та помітне посилання «Не продавати та не поширювати мою особисту інформацію» на веб-сайтах.
• Надавати споживачам можливість відмовитися як від продажу, так і від поширення їхньої особистої інформації.
• Дотримуватися глобальних сигналів уподобань щодо відмови, таких як Global Privacy Control.
• Впроваджувати системи для забезпечення дотримання цих сигналів вибору в режимі реального часу.

Ця розширена нормативна база відображає значні регуляторні зміни, спрямовані на підвищення прозорості та розширення прав споживачів на недоторканність приватного життя в цифровому середовищі.