2022年8月24日,加州总检察长罗伯·邦塔宣布与丝芙兰公司达成和解协议,因涉嫌违反《加州消费者隐私法案》(CCPA),该公司被处以120万美元罚款。 此次和解很可能是总检察长自2021年6月起针对线上零售商及其他企业潜在违反CCPA行为展开的系列执法行动中的首例。其他调查重点包括:忠诚度计划未披露财务激励措施、隐私声明内容晦涩难懂且未包含法定信息、以及 "禁止出售我的个人信息"链接仅在部分浏览器有效等问题,而针对丝芙兰的执法行动对众多网站运营商尤为重要——其核心指控在于丝芙兰因在网站使用分析和广告Cookie,既未披露个人信息销售行为,也未提供"禁止出售我的个人信息"链接。
申诉书
总检察长的投诉指控丝芙兰网站收集个人信息(依据《加州消费者隐私法案》定义),包括消费者浏览和购买的商品、地理位置数据、Cookie及其他唯一标识符,以及消费者操作系统和浏览类型的信息。 该投诉进一步指控丝芙兰通过安装或使用Cookie、透明GIF等自动传输个人信息的追踪技术,向第三方提供这些个人信息以获取广告和分析服务。
该投诉指出,尽管丝芙兰的隐私声明准确披露了其与广告网络、商业伙伴及数据分析供应商等第三方共享地理位置及其他电子网络信息的事实,但此类披露行为作为获取这些实体服务的交换条件,已构成《加州消费者隐私法案》(CCPA)定义下的"销售"行为。 《加州消费者隐私法案》将"出售"个人信息定义为以金钱或其他有价对价进行的信息披露。投诉称丝芙兰对个人信息的利用和传输属于该法案定义的"出售"行为,因为其披露信息是为换取第三方供应商提供的免费、折扣或更高质量的广告或分析服务。
经认定丝芙兰确曾进行《加州消费者隐私法案》定义的个人信息"销售"行为,该投诉进一步指控丝芙兰未在其隐私声明中披露此项销售行为,反而声称未出售个人信息。 此外,投诉称丝芙兰既未提供"禁止出售我的个人信息"链接,也未响应浏览器退出信号(特别是全球隐私信号GPC)。尽管总检察长于2021年6月25日已就潜在违规行为向丝芙兰发出通知,但该公司在《加州消费者隐私法案》规定的30天整改期内未能修正网站缺陷。 鉴于丝芙兰涉嫌未纠正缺陷,总检察长在诉状中指控其不仅违反《加州消费者隐私法案》,更触犯了加州《商业与职业法典》第17200条及后续条款(即加州反不正当竞争法),因其被指控通过不公平手段剥夺消费者拒绝个人信息销售的权利。
和解
根据和解协议,丝芙兰需向消费者隐私基金支付120万美元罚款。此外,丝芙兰还必须:
- 更新其隐私声明,明确说明其出售个人信息的行为,并告知消费者有权选择退出此类销售。当《加州隐私权法案》(CPRA)生效时,丝芙兰还必须更新其隐私声明,以符合该法案关于“销售”或“共享”的相关规定。
- 处理要求退出个人信息销售的请求,包括通过使用通用选择退出工具(GPC)的方式。
- 实施并维持一项计划,用于评估、测试、监控并向总检察长报告其在以下方面的活动:个人信息销售、向服务提供商及其他第三方披露信息,以及遵守《通用隐私条例》(GPC)的情况。该计划通常须在和解协议生效之日起180天内实施,并持续运行2年。
- 确保向“服务提供商”披露信息时遵循符合《加州消费者隐私法案》(CCPA)合同要求的协议,并针对部分第三方(如谷歌和脸书)实施必要的“受限数据处理”配置以满足此类合同要求。
对企业的影响
该和解协议之所以重要,在于它明确指出:使用分析工具、广告Cookie及其他自动数据收集技术,在《加州消费者隐私法案》(CCPA)框架下构成"销售"行为,在即将实施的《加州隐私权利法案》(CPRA)框架下也将被视为"销售"或"共享"。协议同时强调,尽管全球隐私控制(GPC)尚未广泛采用,且未来浏览器可能发送其他信号,但总检察长认为:若GPC信号被发送,企业必须强制遵守。
此次执法行动及和解协议也应消除任何关于总检察长在执行《加州消费者隐私法案》(CCPA)时力度不足的疑虑,反而表明总检察长始终在积极执行该法案并将持续如此。 诉状中加入丝芙兰违反《加州商业与职业法典》第17200条及后续条款的指控,更表明总检察长为确保合规,愿意援引《加州消费者隐私法案》之外的所有潜在诉因。
尽管丝芙兰和解协议聚焦于Cookie的使用问题,但总检察长的新闻稿及此前关于执法的声明表明,该机构愿意对其他涉嫌违反《加州消费者隐私法案》的行为采取执法行动。这些行为包括:隐私声明表述模糊或内容不完整、技术问题导致消费者无法行使隐私权,以及在未对第三方设定适当合同限制(使其被视为服务提供商)的情况下向第三方披露信息。
鉴于此次和解协议以及总检察长披露的其他执法行动,受《加州消费者隐私法案》(CCPA)及即将实施的《加州隐私权利法案》(CPRA)约束的企业应立即审查其CCPA合规状况,以降低成为进一步执法行动潜在目标的风险,具体措施包括:
- 审查任何用于分析、广告及其他类似服务的Cookie或其他类似技术的使用情况,这些使用可能构成《加州消费者隐私法案》(CCPA)定义下的"销售"行为。
- 确保隐私声明充分披露任何潜在的个人信息"销售"行为,并说明消费者可采用的退出销售机制——尤其需明确说明将个人信息用于广告分析等用途的情况。
- 确保隐私声明充分披露任何可能被视为"财务激励"的活动(包括忠诚度计划),并提供关于财务激励的所有必要信息,包括个人信息的价值如何确定,以及用户如何选择加入或退出财务激励计划。
- 审查与第三方签订的协议,确保包含所有必要的《加州消费者隐私法案》条款和条件,并将任何此类披露视为个人信息的"销售",受消费者选择退出此类销售权利的约束。
- 若根据《加州消费者隐私法案》(CCPA)规定,向第三方披露个人信息可能被视为"出售"行为,则需设置"禁止出售我的个人信息"链接。
- 确保网站能够识别并正确处理浏览器发送的任何GPC信号或其他类似隐私控制信号。
- 审查隐私声明,确保其内容清晰易懂,普通消费者能够理解。企业应避免为各类产品和服务采用统一通用的隐私声明,此类声明可能令消费者困惑,而应为每项产品及服务制定定制化隐私声明。企业还应认真核查任何关于信息不被出售的声明。
企业还应留意加州总检察长关于涉嫌违反《加州消费者隐私法案》的通知。总检察长在公告中表示,已向其他企业发出通知,指控其未遵守全球隐私控制功能提出的退出请求。根据《加州消费者隐私法案》,企业有30天时间纠正此类违规行为。 丝芙兰和解案表明,收到此类通知的企业应立即采取行动纠正指称的缺陷,且总检察长对未能采取合规措施的企业将采取执法行动。
企业还应注意根据《加州隐私权法案》对个人信息处理方式的调整要求,该法案将于2023年1月1日生效。这可能包括响应消费者行使额外隐私权的请求,例如限制敏感个人信息使用权或更正个人信息的权利。 需特别提醒企业:除非2022年8月31日前通过多项待审法案(目前可能性较低),否则雇佣信息与企业间信息豁免条款将于2023年1月1日失效。若该条款失效,CPRA的全部条款将适用于雇主信息及企业间信息。 有关CPRA其他要求的详细信息,请参阅我们对该即将生效法律的讨论:《加州选民通过加州隐私权法案》。
最后,随着总检察长加强执法力度以及《加州隐私权法案》(CPRA)将于2023年1月正式实施,企业若同时违反《加州消费者隐私法案》(CCPA)和《加州隐私权法案》(CPRA),面临民事诉讼的风险将显著增加。 因此,对隐私声明、隐私政策及消费者信息使用等商业实践进行审慎审查至关重要,这有助于规避《加州消费者隐私法案》(CCPA)、《加州隐私权利法案》(CPRA)以及《商业与职业法典》第17200条及后续条款可能带来的法律风险。
如需了解有关遵守《加州消费者隐私法案》(CCPA)或即将实施的《加州消费者隐私权利法案》(CPRA)的更多信息,请联系本文作者或福里律师事务所网络安全与数据隐私团队的任何合伙人或高级顾问。
