加州隐私保护局(CPPA)已明确表示,未能确保遵守消费者隐私请求可能代价高昂。 上周该机构对全国服装零售商托德·斯奈德公司采取果断执法行动,再次印证了这一立场。此举表明,企业如何执行《2018年加州消费者隐私法案》(CCPA)修订版规定的消费者权利请求,已成为加州隐私监管机构的核心关注点。本文将剖析CPPA最新执法行动的依据,并提炼关键要点以助企业降低监管审查风险。
关键发现
2025年5月6日,加州隐私保护局(CPPA)宣布已下达命令,要求某服装零售企业改变其商业行为,并支付345,178美元罚款,以解决该零售商在处理消费者隐私请求程序中涉嫌违反《加州消费者隐私法案》(CCPA)的行为。这是CPPA近几个月来基于类似隐私违规行为发布的第二项重大执法公告。
具体而言,加州隐私保护联盟指控该服装零售商通过以下方式违反了《加州消费者隐私法案》:
- 未能处理消费者退出请求:在长达40天的时间内,该公司的隐私门户配置存在缺陷。导致消费者要求退出个人信息销售或共享的请求未能得到处理。
- 过度收集信息:当消费者提交隐私相关请求时,该公司要求其提供的个人信息超出了处理请求的必要范围。此举违反了《加州消费者隐私法案》的数据最小化要求。
- 不必要的身份验证:消费者还被要求验证身份(即使是选择退出个人信息销售或共享——根据《加州消费者隐私法案》(CCPA),除非涉及敏感信息的访问或删除,通常无需此步骤)。
加州隐私保护局(CPPA)的最新执法行动突显了与消费者选择退出权利及个人信息处理相关的关键合规要素,尤其着重指出该公司过度依赖第三方隐私管理工具并实施过度的验证要求。
经验教训
以下是帮助受CCPA监管的企业在处理消费者权利请求时避免成为CPPA监管目标的关键要点:
1. 切勿仅依赖第三方隐私管理工具而缺乏持续监督,而应定期监测、测试并验证这些工具的有效性,以确保消费者隐私权得到尊重,且退出机制符合法律要求。这需要技术团队与法律团队保持持续协作,确保双方既了解正在实施的技术方案,也知晓针对这些技术采取的合规措施。 根据《加州儿童隐私保护法》规定:"使用同意管理平台并不能免除合规责任。"
说明性示例
加州消费者隐私保护法(CPPA)认定,Snyder公司在其网站上安装了第三方追踪技术(如Cookie和像素标签),用于收集并共享消费者个人信息以进行数据分析和跨场景行为广告投放。 尽管该公司向消费者明确声明可通过Cookie偏好中心选择退出个人信息销售或共享,但技术配置错误导致该退出机制在2023年末连续40天无法正常运作。
2. 确保消费者能够轻松有效地行使退出权利,同时识别并修复任何阻碍消费者通过您的网站或其他在线界面提交请求的网站设计缺陷。
说明性示例
在这项最新执法行动中,加州隐私保护局指控该服装零售商的网站未正确配置其退出机制(例如,在上述40天期间内未处理退出偏好信号,如全球隐私控制),且其同意横幅总是在消费者提交退出个人信息销售和共享请求前消失,导致消费者无法提交退出请求。
3. 在响应消费者的《加州消费者隐私法案》权利请求时,(一)应尽可能利用已掌握的数据核实提出请求的消费者身份,(二)不得向消费者索取处理请求所不需要的信息。
说明性示例
托德·斯奈德要求消费者上传驾驶执照照片(该信息被视为敏感个人信息)以验证其身份,方可提交任何《加州消费者隐私法案》请求。此要求适用于所有类型的CCPA请求,包括选择退出请求——而根据CCPA规定,此类请求本无需身份验证。通过强制要求所有请求提供政府身份证件,斯奈德非法给消费者施加了不合理的负担,阻碍了他们行使隐私权。 此外,根据《加州隐私保护法案》(CPPA)规定,即便在需要身份验证的消费者请求中,CCPA也要求企业避免收集超出必要的数据,并在可行时优先使用企业已有的信息。因此,斯奈德公司要求所有请求都提供政府身份证件的做法超出了必要范围,违反了上述条款。
4. 避免不必要的验证操作,确保政策和流程明确规定消费者请求何时需要验证、何时无需验证。
说明性示例
如上所述,尽管《加州消费者隐私法案》(CCPA)禁止企业在处理退出请求时要求消费者验证身份,托德·斯奈德公司仍要求消费者在提交退出请求时提供特定信息以验证身份。因此,若您受CCPA约束且收到退出请求,则不应继续对提出该请求的消费者进行身份验证。
结论
通过了解此次执法行动中针对托德·斯奈德提出的《加州消费者隐私法案》涉嫌违规行为,受该法案监管的企业可确保其管理消费者隐私请求的流程与机制符合法案要求,从而降低因违反该州法律处理消费者请求的行为而受到监管审查的可能性。
