Yêu cầu của CPRA về ‘Không Bán hoặc Chia sẻ’ là gì?

Đạo luật về Quyền Riêng tư của California (CPRA) mở rộng các quyền của người tiêu dùng ngoài Đạo luật về Quyền Riêng tư của Người tiêu dùng California (CCPA) bằng cách yêu cầu các doanh nghiệp cung cấp các tùy chọn từ chối rõ ràng cho cả việc bán và chia sẻ thông tin cá nhân. CPRA nêu rõ rằng:

“Một người tiêu dùng sẽ có quyền, vào bất kỳ lúc nào, yêu cầu một doanh nghiệp bán hoặc chia sẻ thông tin cá nhân về người tiêu dùng cho bên thứ ba không được bán hoặc chia sẻ thông tin cá nhân của người tiêu dùng. Quyền này có thể được gọi là quyền từ chối bán hoặc chia sẻ.” (CPRA §1798.120)

Sửa đổi này giới thiệu một cơ chế từ chối kép, mở rộng các nghĩa vụ trước đây chỉ tập trung vào việc bán dữ liệu cá nhân. Yêu cầu giải quyết việc chia sẻ phản ánh hệ sinh thái dữ liệu đang phát triển, nơi thông tin cá nhân thường được phổ biến ngoài các giao dịch mua bán, chẳng hạn như chia sẻ dữ liệu cho quảng cáo hành vi theo ngữ cảnh chéo.

Các yêu cầu chính theo CPRA bao gồm:

• Liên kết Rõ ràng và Dễ thấy: Các doanh nghiệp phải hiển thị một liên kết “Không Bán hoặc Chia sẻ Thông tin Cá nhân của Tôi” ở vị trí nổi bật trên trang web của họ, đảm bảo người tiêu dùng dễ dàng truy cập. Liên kết này phải được nhìn thấy mà không cần cuộn hoặc điều hướng qua nhiều trang.

• Tôn trọng các Tín hiệu Từ chối Toàn cầu: CPRA yêu cầu các doanh nghiệp phải tôn trọng các tín hiệu kiểm soát quyền riêng tư toàn cầu như Global Privacy Control (GPC). Các tín hiệu như vậy đóng vai trò là một cơ chế tiêu chuẩn hóa để người dùng thể hiện tùy chọn của họ về việc từ chối bán hoặc chia sẻ trên nhiều trang web.

Hiệu quả thực tế là phạm vi kiểm soát của người tiêu dùng được mở rộng hơn:

• Cơ chế từ chối phải bao gồm cả việc bán và chia sẻ.
• Các doanh nghiệp phải thực hiện các biện pháp kỹ thuật và thủ tục để phát hiện và tôn trọng các tùy chọn của người dùng được truyền đạt qua các liên kết web và tín hiệu trình duyệt.
• Việc không tuân thủ có thể dẫn đến các hành động thực thi của Cơ quan Bảo vệ Quyền riêng tư California (CPPA), được thành lập theo CPRA.

Yêu cầu từ chối kép này phù hợp với các phát hiện trong nghiên cứu về quyền riêng tư, nhấn mạnh rằng nhận thức và quyền kiểm soát của người tiêu dùng đối với các luồng dữ liệu là rất quan trọng để bảo vệ quyền riêng tư (Acquisti, Brandimarte, & Loewenstein, 2015). Việc CPRA đưa vào một cách rõ ràng việc chia sẻ đã giải quyết các lỗ hổng được xác định trong các luật trước đó, nơi các trao đổi dữ liệu không cấu thành hành vi bán hàng nằm ngoài tầm kiểm soát của người tiêu dùng (Englehardt & Narayanan, 2016).

Tóm tắt các Yêu cầu ‘Không Bán hoặc Chia sẻ’ của CPRA:

• Hiển thị một liên kết “Không Bán hoặc Chia sẻ Thông tin Cá nhân của Tôi” rõ ràng và dễ thấy trên các trang web.
• Cung cấp cho người tiêu dùng khả năng từ chối cả việc bán và chia sẻ thông tin cá nhân của họ.
• Tôn trọng các tín hiệu tùy chọn từ chối toàn cầu, chẳng hạn như Global Privacy Control.
• Triển khai các hệ thống để đảm bảo tuân thủ các tín hiệu lựa chọn này trong thời gian thực.

Khuôn khổ mở rộng này phản ánh một sự thay đổi đáng kể về quy định nhằm tăng cường tính minh bạch và trao quyền cho các quyền riêng tư của người tiêu dùng trong môi trường kỹ thuật số.