January 1 Deadline for Privacy Policy Compliance With California's "Do Not Track" Law

A recently signed California law requires website operators that collect tracking information from California residents to include a disclosure in their privacy policies regarding how their websites respond to “Do Not Track” mechanisms.

California Governor Jerry Brown recently signed into law a bill that requires operators of websites, including mobile applications, to disclose in their privacy policies how they respond to “Do Not Track” mechanisms in web browsers. The law, which applies to companies located both in and outside of California that track California consumers, amends the California Online Privacy Protection Act (“CalOPPA”), and website owners have until January 1, 2014 to comply with the new requirements.

Summary of Changes to CalOPPA

Under CalOPPA, website operators were already required, among other things, to conspicuously post a privacy policy that describes the categories of personally identifiable information the website or mobile application operator collects, and with whom the information is shared. As amended by Assembly Bill 370, website and mobile application operators are now required to disclose to users how the site responds to so-called “Do Not Track” mechanisms, which are typically small pieces of code – similar to cookies – that signal to websites or mobile applications that the user does not want the website operator to track his or her visit to the site, including through analytics tools, advertising networks and other types of data collection and tracking practices. The law applies to all companies that collect tracking information from California residents, and accordingly applies to companies that do business in California and track California residents, even if the company does not have a physical presence in California.

Notably, California has not mandated that website and mobile application operators honor a user’s use of “Do Not Track” mechanisms – only that the user be provided with a disclosure about how the website will respond to such mechanism. Specifically, a website operator can satisfy the new requirement by providing “a clear and conspicuous hyperlink in the operator’s privacy policy to an online location containing a description, including the effects, of any program or protocol the operator follows that offers consumers that choice [not to be tracked].” The Digital Advertising Alliance’s Self-Regulatory Program for Online Behavioral Advertising is a commonly used self-regulatory program to assist companies in allowing consumers to opt-out of targeted advertising based on web activity tracking.

Additionally, the amendment to California’s privacy policy requirements also requires website operators to disclose to users whether third parties may collect personally identifiable information about the user’s online activities over time and across different websites. This change appears to be aimed at advertising networks that use cookies and other methods to compile usage data about users as they move from site to site.

新たな要件への不遵守は、違反1件につき2,500ドルの罰金につながる可能性があります。モバイルアプリケーションに関しては、カリフォルニア州司法長官は、新たな要件に準拠していないモバイルアプリケーションのダウンロード1件ごとに違反が成立し、罰金の対象となり得ると表明しています。

コンプライアンスのためのベストプラクティス

カリフォルニア州オンラインプライバシー保護法（CalOPPA）の新たな「追跡禁止」要件に準拠するため、プライバシーポリシーを更新する一環として、ウェブサイト所有者および運営者は以下のベストプラクティスを実施すべきです：

1. ウェブサイトおよびオンラインサービス上で実施されている追跡メカニズムを特定すること。これには以下が含まれる：(a) 追跡メカニズムによって収集される個人情報の具体的な種類、(b) ユーザーがメカニズムの使用の有無および方法を制御する選択肢を有するか、ならびに事業者がユーザーの選択を尊重するか否か。リストには、事業者自身が使用する追跡メカニズムに加え、広告主や分析サービスを含む第三者が設置した追跡メカニズムも記載すること。 
2. 第三者が採用する追跡メカニズムの場合、事業者は当該メカニズムがユーザーの個人情報を収集するかどうかを判断すべきである。たとえメカニズムが個人情報を収集しない場合でも、第三者事業者が追跡データを他の情報源から収集したユーザーの個人情報と組み合わせる可能性があるため、事業者はプライバシーポリシーにおいて当該メカニズムを特定することが望ましい。 
3. ソーシャルメディアプラグインを含め、ユーザーから個人情報を収集するその他の仕組みを特定してください。CalOPPAの変更は必ずしもこうしたデータ収集手段を対象としていませんが、事業者はプライバシーポリシーにおいてユーザーに開示することを検討すべきです。 
4. 上記で特定された情報を、ウェブサイトのプライバシーポリシーの開示内容に組み込むこと。これには、ウェブサイト活動の追跡に関連してユーザーから収集される情報、およびユーザーが当該情報の収集や追跡情報に基づくターゲティング広告の受信をオプトアウトする方法が含まれる。

A full copy of Assembly Bill 370 is available here: http://bit.ly/11kxb4o.

リーガルニュースアラートは、クライアントや同僚に影響を与える喫緊の懸念事項や業界問題に関する最新情報を提供するという、当方の継続的な取り組みの一環です。本アラートに関するご質問や、本テーマについてさらに議論をご希望の場合は、担当のフォーリー弁護士または下記までご連絡ください。

ピーター・I・サンボーン
マサチューセッツ州ボストン
617.502.3367
[email protected]

チャンリー・T・ハウエル
フロリダ州ジャクソンビル
904.359.8745
[email protected]