过去数月间,加利福尼亚州相继通过多项影响全美网站、在线服务及移动应用运营商的新隐私与数据保护法规,包括设立未成年人"网络清除机制"的法案,以及修订该州数据泄露通知要求的条款。 最新修订的《加州在线隐私保护法案》(CalOPPA)要求网站运营商须在2014年1月1日前更新隐私政策,明确说明如何响应网页浏览器中的"禁止追踪"机制。您是否已为这些新的"禁止追踪"要求做好准备?
新法律要求什么?
根据《加州在线隐私保护法》(CalOPPA),网站运营商除其他义务外,还必须显著位置公示隐私政策,说明网站或移动应用程序运营商收集的个人身份信息类别,以及信息共享对象。 根据第370号议会法案修订后的规定,网站和移动应用程序运营商现需向用户披露其对所谓"禁止追踪"机制的响应方式。这类机制通常是类似Cookie的小段代码,用于向网站或移动应用程序发出信号,表明用户不希望网站运营商追踪其访问行为——包括通过分析工具、广告网络及其他数据收集和追踪手段进行的追踪。
这些要求适用于我吗?
该法律适用于所有收集加州居民追踪信息的公司,因此也适用于在加州开展业务并追踪加州居民的公司,即使该公司并未在加州设立实体机构。
我是否需要尊重用户的“请勿追踪”偏好设置?
值得注意的是,加利福尼亚州并未强制要求网站和移动应用程序运营商遵守用户启用的"禁止追踪"机制——仅要求向用户披露网站将如何响应此类机制。
我该如何遵守?
网站运营商可通过在隐私政策中设置"清晰醒目的超链接,指向包含相关说明(包括效果)的在线位置"来满足新要求,该说明需涵盖运营商遵循的任何为消费者提供[不被追踪]选择权的计划或协议。 数字广告联盟的《在线行为广告自律计划》是常用的自律机制,旨在协助企业让消费者能够选择退出基于网络活动追踪的定向广告。
注:合规截止日期为2014年1月1日。
如果我不更新隐私政策,是否会受到处罚?
未遵守新规定可能导致每次违规被处以2,500美元罚款。针对移动应用程序,加州总检察长已明确表示:每一次下载不符合新要求的移动应用程序均构成违规行为,可触发罚款。
合规最佳实践
为更新隐私政策以符合加州在线隐私保护法案(CalOPPA)的新"禁止追踪"要求,网站所有者和运营者应采取以下最佳实践:
- 识别其网站和在线服务中实施的追踪机制,包括:(a) 追踪机制收集的具体个人信息类型;(b) 用户是否可选择控制追踪机制的使用与方式,以及运营商是否会尊重用户的选择。该清单应涵盖运营商自身使用的追踪机制,以及由第三方(包括广告商和分析服务提供商)设置的任何追踪机制。
- 对于第三方采用的追踪机制,运营商应确认该机制是否收集用户个人信息。即使追踪机制未收集个人信息,运营商仍应在隐私政策中明确标识这些机制,以防第三方运营商将追踪数据与其从其他来源收集的用户个人信息进行整合。
- 识别任何其他从用户处收集个人信息的机制,包括社交媒体插件。尽管《加州在线隐私保护法》的修订未必针对此类数据收集机制,但运营商应考虑在隐私政策中向用户披露这些机制。
- 将上述信息纳入网站隐私政策的披露内容,包括在追踪网站活动过程中收集的用户信息,以及用户如何选择退出该信息收集和/或基于追踪信息接收定向广告。
《第370号议会法案》全文可在此处查阅。
