Luật riêng tư mới của California thực sự có ý nghĩa gì đối với bạn
California vừa ban hành luật riêng tư lớn nhất ở Mỹ và nó có thể thiết lập giai điệu cho quyền lợi người tiêu dùng trên toàn quốc.
Kể từ ngày 1 tháng 1, người Mỹ cuối cùng đã được bảo vệ bởi một luật riêng tư trực tuyến toàn diện, ít nhất là gần 40 triệu người Mỹ sống ở California. Nhưng như với Quy định bảo vệ dữ liệu chung (GDPR) của châu Âu từ năm 2018, ít nhất một số khía cạnh của Đạo luật bảo mật người tiêu dùng California (CCPA) có thể vượt ra ngoài tiểu bang.
Luật pháp của California California đóng vai trò là chất xúc tác khiến phần còn lại của Hoa Kỳ suy nghĩ sâu sắc về quyền riêng tư, theo ông Julie Brill, cựu thành viên của Ủy ban Thương mại Liên bang và hiện là giám đốc riêng tư của Microsoft.
Một số công ty, bao gồm Microsoft, đã cam kết cung cấp tất cả quyền riêng tư mới cho người dùng trên toàn quốc. Và một số đề xuất luật tiểu bang và quốc gia giống như luật California. Việc triển khai CCPA giúp các công ty nhảy vào các quy tắc có thể sẽ đến với phần còn lại của đất nước.
Microsoft nhận ra rằng luật của California sẽ là chất xúc tác cho sự phát triển của luật riêng tư mạnh mẽ ở các tiểu bang khác cũng như Washington, DC, ông Brill, người gần đây đã làm chứng tại phiên điều trần của Thượng viện Hoa Kỳ về luật pháp liên bang đề xuất.
Đây là tất cả mọi thứ bạn cần biết về luật pháp, cho dù bạn sống ở California hay ở mọi nơi.
PHÁP LUẬT ẢNH HƯỞNG ĐẾN MỌI NGƯỜI NHƯ THẾ NÀO?
Theo CCPA, người dân California có quyền biết các loại thông tin được thu thập và thậm chí xem các thông tin cụ thể mà một công ty có về họ, chẳng hạn như email hoặc địa chỉ bưu chính của họ. Việc tiết lộ các danh mục, ít nhất, có thể mở rộng cho tất cả người dùng, không chỉ người dân California, vì công ty khó có thể biết người dùng đến từ đâu.
Alex Một số doanh nghiệp có thể áp dụng các quyền CCPA trên toàn hội đồng vì họ không thể phân định hiệu quả giữa người tiêu dùng ở California và những người khác, Alex nói, Alex Nisenbaum, một cộng tác viên tại công ty luật Pepper Hamilton đang tư vấn cho các công ty về cách tuân thủ CCPA. Một số công ty chỉ đơn giản là đưa vào danh sách các danh mục dữ liệu họ sở hữu trong các bản cập nhật cho tuyên bố chính sách bảo mật chung trên trang web của họ.
Facebook nói với Công ty nhanh rằng tuân thủ GDPR của châu Âu, công ty đã triển khai trên toàn cầu, đã đưa nó vào tình trạng tốt cho CCPA. Chẳng hạn, nó đã cho phép mọi người thấy những gì họ đã chia sẻ với trang web, cũng như dữ liệu bổ sung mà Facebook đã thu thập trên đó, như lịch sử tìm kiếm của họ và các loại quảng cáo mà Facebook nghĩ họ sẽ thích.
Ngoài ra, từ lâu, Facebook đã cho phép mọi người tải xuống một bản sao dữ liệu mà họ đã chia sẻ một quyền khác có trong CCPA. Tương tự như vậy, trong nhiều năm, Google đã cung cấp khả năng tải xuống dữ liệu từ danh sách ngày càng tăng các sản phẩm của mình (hiện đã trên 50), như Gmail, Bản đồ và YouTube. Nếu bạn đưa nó vào hệ thống Google, bạn sẽ có thể lấy lại nó một lần nữa, nhà truyền giáo internet trưởng của công ty Vint Cerf đã nói với tôi một lần .
Chỉ cần lấy mẫu thông tin mà bất cứ ai cũng có thể xem và tải xuống từ Facebook.
Theo nhiều cách, CCPA sẽ tăng cường các quyền và tính năng mà ít nhất một số công ty đã áp dụng, theo sáng kiến của chính họ hoặc do GDPR của châu Âu.
CCPA cũng cho phép người dân California kiện các công ty vi phạm dữ liệu. Trong phạm vi các vụ kiện, hoặc mối đe dọa của các vụ kiện, khiến các công ty cải thiện cách họ xử lý dữ liệu, tất cả người dùng của họ sẽ có lợi.
NGƯỜI DÂN CALIFORNIA CÓ ĐƯỢC NHỮNG QUYỀN GÌ THÊM?
CCPA thiết lập một số quyền mạnh hơn cho người dân California so với hầu hết các công ty có khả năng tự cấp.
Chẳng hạn, người tiêu dùng ở California có thể yêu cầu các công ty không bán dữ liệu của họ cho các công ty khác, được định nghĩa rộng rãi có nghĩa là bất kỳ loại chia sẻ dữ liệu nào, cho dù đó là vì tiền hay không. Người tiêu dùng ở California cũng có thể đặt hàng bất kỳ công ty nào đã thu thập dữ liệu của họ và bất kỳ ai mà công ty đã chia sẻ dữ liệu đó để xóa dữ liệu đó khỏi hồ sơ của họ.
Tuy nhiên, họ không thể từ chối thu thập dữ liệu trong tương lai. Sau khi xem các loại thông tin mà một công ty thu thập, tùy thuộc vào người tiêu dùng để quyết định xem họ có ổn với thực tiễn hay không. Nếu không, cách duy nhất để đảm bảo một công ty sẽ không thu thập dữ liệu của họ trong tương lai là không sử dụng các sản phẩm hoặc dịch vụ của công ty.
Một điểm quan trọng cần ghi nhớ: Tùy thuộc vào người tiêu dùng ở California để chủ động khẳng định các quyền mới này. Hayley Tsukayama, một nhà hoạt động lập pháp của Tổ chức biên giới điện tử, chỉ ra rằng CCPA cung cấp quyền từ chối quyền của ED. Các công ty không phải xin phép bán dữ liệu người dùng. Họ chỉ phải ngừng bán nó nếu người dùng nói rõ với họ.
NHỮNG LOẠI DỮ LIỆU ĐƯỢC BẢO HIỂM?
CCPA định nghĩa dữ liệu cá nhân cực kỳ rộng rãi là bất cứ thứ gì mà LÊ có khả năng liên kết hợp lý hoặc có thể được liên kết một cách hợp lý, trực tiếp hoặc gián tiếp, với một người tiêu dùng hoặc hộ gia đình cụ thể. Một số ví dụ bao gồm: tên, địa chỉ bưu chính, địa chỉ IP, email địa chỉ, số an sinh xã hội, số bằng lái xe, lịch sử duyệt web, lịch sử tìm kiếm và dữ liệu định vị địa lý. Luật cũng đề cập đến công nghệ mới nổi bằng cách bao gồm dữ liệu sinh trắc học, chẳng hạn như DNA hoặc hình ảnh của mắt, dấu vân tay, bàn tay và khuôn mặt.
Nhưng có một nhược điểm: Thông tin có sẵn công khai trên mạng mà các chính phủ liên bang, tiểu bang hoặc địa phương thu thập và xuất bản không được bảo vệ. Điều này bao gồm hồ sơ tài sản, hồ sơ tòa án, đăng ký cử tri, và hồ sơ sinh, hôn nhân và tử vong. Khoảng 200 công ty môi giới dữ liệu trong các công ty của Hoa Kỳ như Been Tweet, Intelius, SearchP PeopleFree và Spokeoật tổng hợp và bán thông tin này và sẽ tiếp tục làm như vậy. Và thông tin cá nhân không bao gồm thông tin người dùng ẩn danh, thường là nguyên liệu thô để đào tạo các mô hình AI học máy.
LÀM THẾ NÀO ĐỂ TÔI THẤY NHỮNG GÌ CÁC CÔNG TY DỮ LIỆU CÓ TRÊN TÔI?
Luật pháp yêu cầu các công ty cung cấp miễn phí cho người dân California để xem những loại thông tin họ thu thập, họ sử dụng nó để làm gì và họ chia sẻ loại công ty nào. Các công ty cần nói với người tiêu dùng về điều này ngay tại hoặc trước thời điểm họ sẽ bắt đầu thu thập thông tin mà nói, trên trang đăng ký tài khoản trực tuyến hoặc trang tải xuống cho một ứng dụng. Các công ty cũng phải tiết lộ bất kỳ thông tin nào họ đã thu thập hoặc chia sẻ, mặc dù chỉ từ 12 tháng trước.
Để xem thông tin cụ thể mà một công ty đã thu thập, như số điện thoại hoặc địa chỉ thực tế, một người sẽ phải bằng cách nào đó chứng minh họ là người họ nói. Nó có thể chỉ yêu cầu đăng nhập bằng tài khoản người dùng của họ nếu họ có một tài khoản như trường hợp của Facebook và Google. Đối với một công ty bạn không có tài khoản, chẳng hạn như mạng quảng cáo trực tuyến, quy trình có thể phức tạp hơn. Chỉ có một tấn câu hỏi về quá trình bạn xác minh người tiêu dùng [danh tính] như thế nào, thì Nurrbaum nói. Người tiêu dùng ở California có thể phải gửi yêu cầu trên biểu mẫu web, qua email hoặc có thể là đường dây điện thoại miễn phí.
Tùy chọn xóa dữ liệu người dùng có thể sẽ nằm trong cùng một phần của trang web nơi bạn yêu cầu xem dữ liệu. Đối với các dịch vụ như Facebook về cơ bản dựa trên việc chia sẻ dữ liệu, cách duy nhất để xóa dữ liệu họ nắm giữ có thể là xóa toàn bộ tài khoản của bạn.
LÀM CÁCH NÀO ĐỂ NGĂN CÁC CÔNG TY BÁN DỮ LIỆU CỦA TÔI?
Mặc dù người dân California không thể ngăn một công ty thu thập dữ liệu của họ, nhưng họ có thể nói với họ rằng không nên bán dữ liệu đó cho những người khác. Luật yêu cầu tính năng này phải được quảng cáo nổi bật với một liên kết trên trang chủ và trang chính sách bảo mật của công ty có nội dung đọc dữ liệu Không bán thông tin cá nhân của tôi. Liên kết sẽ đưa bạn đến một trang có nhiều thông tin hơn, bao gồm cả cách bạn có thể đưa ra yêu cầu Thông qua một hình thức web, địa chỉ email hoặc số điện thoại. Khi bạn nói với một công ty ngừng bán dữ liệu của bạn, tất cả các công ty mà họ đã chia sẻ dữ liệu cũng phải tuân thủ. (Tuy nhiên, sau một năm, một công ty có thể quay lại và cằn nhằn bạn để xin phép bắt đầu bán lại dữ liệu của bạn.)
SoundCloud cho phép mọi người vô hiệu hóa việc bán dữ liệu chỉ bằng cách tắt quảng cáo được cá nhân hóa.
Bạn nên mong đợi nhiều sự tranh cãi xung quanh khái niệm bán dữ liệu, được định nghĩa rộng rãi là bán, thuê, phát hành, tiết lộ, phổ biến, cung cấp, chuyển nhượng, hoặc giao tiếp bằng miệng, bằng văn bản, hoặc bằng phương tiện điện tử hoặc phương tiện khác, thông tin cá nhân của người tiêu dùng của doanh nghiệp cho một doanh nghiệp khác hoặc bên thứ ba để xem xét tiền tệ hoặc giá trị khác.
Chẳng hạn, Facebook nói rằng họ không bán thông tin người dùng và do đó không bị ảnh hưởng bởi phần luật này. Nó bán quảng cáo dựa trên dữ liệu của người dùng nhưng không chia sẻ dữ liệu với các nhà quảng cáo, công ty cho biết. Tuy nhiên, Facebook đã chia sẻ dữ liệu người dùng với các nhà phát triển ứng dụng trong quá khứ. Jacob đã nói rằng họ không bán thông tin của mọi người, nhưng họ chắc chắn đã cung cấp thông tin của mọi người cho các nhà phát triển ứng dụng và nhận được lợi ích khi cung cấp thông tin đó, Jacob nói, luật sư tại ACLU của Bắc California. Mùi và nghe có vẻ như là bán cho tôi.
Facebook cũng tạo mã theo dõi, được gọi là pixel pixel, báo cáo lại cho Facebook những gì mọi người làm trên các trang web khác. Nếu bạn đã xem một chiếc áo len trên một trang web thương mại điện tử có pixel Facebook, thì sau này bạn có thể thấy một quảng cáo cho chiếc áo len đó trên mạng xã hội. Facebook tuyên bố rằng họ chỉ nhận thông tin và tùy thuộc vào các công ty đặt pixel trên trang web của họ để tuân thủ các quy tắc xung quanh việc chia sẻ dữ liệu.
Google đã hỗ trợ nhiều hơn bằng cách tạo ra một công cụ cho các nhà quảng cáo và nhà xuất bản trang web. (Hãy nhớ rằng, công ty là một mạng quảng cáo trực tuyến.) Nếu nhà quảng cáo hoặc nhà xuất bản nhận được một đơn hàng không bán ra từ một người dùng ở California, họ có thể đặt quảng cáo chạy trên trang web của mình để không gửi thông tin cá nhân, chẳng hạn như lịch sử mua và duyệt lịch sử, đến Google. Điều này sẽ ngăn các nhà quảng cáo nhắm mục tiêu người dùng với quảng cáo được cá nhân hóa.
LÀM THẾ NÀO ĐỂ TÔI CÓ ĐƯỢC MỘT BẢN SAO DỮ LIỆU CỦA TÔI?
Theo luật, người dân California cũng có thể lấy một bản sao của tất cả dữ liệu mà một công ty đã thu thập. Luật nói rằng một tệp kỹ thuật số có thông tin này phải là định dạng di động và ở mức độ khả thi về mặt kỹ thuật, có thể sử dụng được, cho phép người tiêu dùng truyền thông tin này đến một thực thể khác mà không gặp trở ngại.
Nó không nói định dạng đó là gì, nhưng hoạt động trên một phương pháp đã được tiến hành bởi một số công ty công nghệ. Các Data Transfer Dự án đã phát triển tiêu chuẩn cho việc di chuyển dữ liệu giữa các mạng trực tuyến từ năm 2018. Apple, Facebook, Google, Microsoft, và Twitter là tất cả các thành viên.
NẾU TÔI NÓI VỚI MỘT CÔNG TY NGỪNG BÁN DỮ LIỆU CỦA MÌNH, LIỆU CÓ HẬU QUẢ GÌ KHÔNG?
Về lý thuyết, sẽ không có chi phí cho người dân California nếu họ nói với một công ty xóa hoặc không chia sẻ dữ liệu của họ. Luật pháp tuyên bố rằng họ có quyền sử dụng dịch vụ và giá bằng nhau, ngay cả khi họ thực hiện quyền riêng tư của mình.
Sau đó đến các ngoại lệ. Các công ty có thể tính giá khác hoặc cung cấp một mức dịch vụ khác, nếu sự khác biệt đó có liên quan hợp lý đến giá trị được cung cấp cho doanh nghiệp bằng dữ liệu của người tiêu dùng.
Không rõ điều này sẽ diễn ra như thế nào. Có vẻ như việc nhân đôi một trang web mà bạn đã trả tiền, như dịch vụ đăng ký phát nhạc hoặc trang thương mại điện tử, cũng kiếm tiền từ việc bán dữ liệu của bạn. Và vì Facebook tuyên bố họ không bán dữ liệu, nên họ không thể tuyên bố mất tiền bằng cách không có quyền bán dữ liệu đó. (Mặc dù xóa dữ liệu của bạn sẽ xóa sạch tài khoản của bạn một cách hiệu quả.)
CCPA cho phép một công ty cung cấp tiền hoặc dịch vụ để lôi kéo mọi người chia sẻ dữ liệu. Một kết quả cuối cùng về điều này: nó có thể buộc các công ty tiết lộ dữ liệu của người tiêu dùng có giá trị như thế nào đối với họ. Dự thảo quy định của pháp luật nói rằng một công ty phải lập một ước tính thiện chí về giá trị dữ liệu của người tiêu dùng, và sử dụng ước tính này làm cơ sở để cung cấp một ưu đãi tài chính hoặc giá cả hoặc dịch vụ khác nhau.
PHÁP LUẬT ĐƯỢC THI HÀNH NHƯ THẾ NÀO?
Thực thi có thể là phần yếu nhất của pháp luật. Ngoại trừ các vi phạm dữ liệu (chúng tôi sẽ xử lý trong giây lát), người tiêu dùng không thể tự mình kiện các công ty về những việc như không xóa dữ liệu của họ hoặc tiếp tục bán dữ liệu đó. Điều đó thực sự sẽ hạn chế số lượng người có thể minh oan cho quyền của mình trước tòa, ông Snow Snow nói. Và cũng sẽ hạn chế các trường hợp thử nghiệm mà tòa án sẽ quyết định cho các câu hỏi có thể không rõ ràng theo luật.
Người dân California có thể đưa ra một khiếu nại cho tổng chưởng lý của tiểu bang, người đã hờ hững về vai trò là người thi hành án, nói rằng họ có các nguồn lực để chỉ theo đuổi một vài trường hợp mỗi năm. Và AG thậm chí sẽ không bắt đầu đưa ra các trường hợp trước tháng Bảy.
Thực thi yếu hơn: Các công ty có 30 ngày sau khi được thông báo rằng họ đang gặp rắc rối để khắc phục vi phạm và tránh bị truy tố. Tsukayama tại EFF gọi đây là một người thoát khỏi tù miễn phí Thẻ mà có thể ngăn cản nhà nước thực hiện tất cả các công việc để chuẩn bị một trường hợp mà cuối cùng phải bỏ. Nhưng Nisenbaum nói rằng chỉ cần thông báo cho một công ty là nó gặp rắc rối, giống như trong một bức thư ngỏ được chia sẻ với báo chí, có thể là một cách mạnh mẽ để mang lại áp lực công khai.
Nếu một vụ kiện xảy ra, các khoản phạt tài chính là rất nhỏ đối với một cá nhân vi phạm, đứng đầu ở mức 7.500 đô la. Nhưng nếu hành động của một công ty ảnh hưởng đến tất cả người dùng của công ty, như không cung cấp một cách dễ dàng để yêu cầu xóa dữ liệu, chi phí có thể tăng thêm. CCPA khởi động cho các công ty có ít nhất 50.000 người dùng, điều này không quá lớn. Nhưng một vi phạm ảnh hưởng đến mỗi người dùng đó có thể bị phạt tới 375 triệu đô la.
LÀM THẾ NÀO ĐỂ TÔI KIỆN MỘT CÔNG TY VI PHẠM DỮ LIỆU?
Sự bất cẩn dẫn đến vi phạm dữ liệu không được mã hóa là một hành vi phạm tội mà người tiêu dùng ở California có thể kiện. Giải thưởng được giới hạn ở mức 750 đô la một người, trừ khi mọi người có thể chứng minh rằng họ phải chịu thiệt hại tiền tệ lớn hơn mà Nisenbaum cho rằng không thể thành công, dựa trên những gì anh ta thấy trong các vụ vi phạm dữ liệu khác. Thật khó tưởng tượng một công ty luật muốn xử lý một vụ án riêng lẻ mà hầu như không có tiền, nhưng CCPA cho phép các vụ kiện tập thể, có thể chứng minh đủ khả năng sinh lợi.
Một lần nữa, các công ty được phép 30 ngày để sửa lỗi vi phạm và tránh vụ kiện. Nhưng không rõ họ sẽ khắc phục lỗi vi phạm dữ liệu như thế nào. Một khi vị thần đã ra khỏi chai, tôi không nghĩ bạn sẽ đặt nó trở lại, ông Nurrbaum nói.
CCPA SẼ THỰC SỰ LÀM CHO MỘT SỰ KHÁC BIỆT?
Mặc dù có những điểm yếu trong thực thi, CCPA nên buộc tất cả các công ty phải thực hiện ít nhất một nỗ lực có thể vượt qua trong việc tuân thủ luật pháp. Nhìn chung, các công ty có thể sẽ không muốn gặp rắc rối với nhà nước lớn nhất ở Hoa Kỳ, cũng là nền kinh tế lớn thứ năm trên thế giới, và trong nhiều trường hợp, vị trí của văn phòng chính của họ.
Và các công ty nhìn thấy chữ viết trên tường rằng các luật khác của tiểu bang, và có thể là luật liên bang, sẽ đến. Vì vậy, họ sẽ phải tăng cường trò chơi của họ về quyền riêng tư sớm hay muộn. Họ dự đoán sẽ phải trải qua điều này một lần nữa vào năm 2020 và hơn thế nữa để theo dõi các luật mới [sẽ được đưa ra], theo ông Nurrbaum. Càng thảo luận mà chúng ta đang có với khách hàng là: Chúng ta phải làm gì để phòng ngừa các vụ cá cược của mình?
CCPA cũng đưa ra một ví dụ mạnh mẽ về các loại quyền riêng tư có thể có. Với người châu Âu và bây giờ là người California giành được quyền mới, công dân ở phần còn lại của đất nước có thể bắt đầu hỏi tại sao họ không có sự bảo vệ như vậy và yêu cầu họ phải làm như vậy.
Kể từ ngày 1 tháng 1, người Mỹ cuối cùng đã được bảo vệ bởi một luật riêng tư trực tuyến toàn diện, ít nhất là gần 40 triệu người Mỹ sống ở California. Nhưng như với Quy định bảo vệ dữ liệu chung (GDPR) của châu Âu từ năm 2018, ít nhất một số khía cạnh của Đạo luật bảo mật người tiêu dùng California (CCPA) có thể vượt ra ngoài tiểu bang.
Luật pháp của California California đóng vai trò là chất xúc tác khiến phần còn lại của Hoa Kỳ suy nghĩ sâu sắc về quyền riêng tư, theo ông Julie Brill, cựu thành viên của Ủy ban Thương mại Liên bang và hiện là giám đốc riêng tư của Microsoft.
Một số công ty, bao gồm Microsoft, đã cam kết cung cấp tất cả quyền riêng tư mới cho người dùng trên toàn quốc. Và một số đề xuất luật tiểu bang và quốc gia giống như luật California. Việc triển khai CCPA giúp các công ty nhảy vào các quy tắc có thể sẽ đến với phần còn lại của đất nước.
Microsoft nhận ra rằng luật của California sẽ là chất xúc tác cho sự phát triển của luật riêng tư mạnh mẽ ở các tiểu bang khác cũng như Washington, DC, ông Brill, người gần đây đã làm chứng tại phiên điều trần của Thượng viện Hoa Kỳ về luật pháp liên bang đề xuất.
Đây là tất cả mọi thứ bạn cần biết về luật pháp, cho dù bạn sống ở California hay ở mọi nơi.
PHÁP LUẬT ẢNH HƯỞNG ĐẾN MỌI NGƯỜI NHƯ THẾ NÀO?
Theo CCPA, người dân California có quyền biết các loại thông tin được thu thập và thậm chí xem các thông tin cụ thể mà một công ty có về họ, chẳng hạn như email hoặc địa chỉ bưu chính của họ. Việc tiết lộ các danh mục, ít nhất, có thể mở rộng cho tất cả người dùng, không chỉ người dân California, vì công ty khó có thể biết người dùng đến từ đâu.
Alex Một số doanh nghiệp có thể áp dụng các quyền CCPA trên toàn hội đồng vì họ không thể phân định hiệu quả giữa người tiêu dùng ở California và những người khác, Alex nói, Alex Nisenbaum, một cộng tác viên tại công ty luật Pepper Hamilton đang tư vấn cho các công ty về cách tuân thủ CCPA. Một số công ty chỉ đơn giản là đưa vào danh sách các danh mục dữ liệu họ sở hữu trong các bản cập nhật cho tuyên bố chính sách bảo mật chung trên trang web của họ.
Facebook nói với Công ty nhanh rằng tuân thủ GDPR của châu Âu, công ty đã triển khai trên toàn cầu, đã đưa nó vào tình trạng tốt cho CCPA. Chẳng hạn, nó đã cho phép mọi người thấy những gì họ đã chia sẻ với trang web, cũng như dữ liệu bổ sung mà Facebook đã thu thập trên đó, như lịch sử tìm kiếm của họ và các loại quảng cáo mà Facebook nghĩ họ sẽ thích.
Ngoài ra, từ lâu, Facebook đã cho phép mọi người tải xuống một bản sao dữ liệu mà họ đã chia sẻ một quyền khác có trong CCPA. Tương tự như vậy, trong nhiều năm, Google đã cung cấp khả năng tải xuống dữ liệu từ danh sách ngày càng tăng các sản phẩm của mình (hiện đã trên 50), như Gmail, Bản đồ và YouTube. Nếu bạn đưa nó vào hệ thống Google, bạn sẽ có thể lấy lại nó một lần nữa, nhà truyền giáo internet trưởng của công ty Vint Cerf đã nói với tôi một lần .
Chỉ cần lấy mẫu thông tin mà bất cứ ai cũng có thể xem và tải xuống từ Facebook.
Theo nhiều cách, CCPA sẽ tăng cường các quyền và tính năng mà ít nhất một số công ty đã áp dụng, theo sáng kiến của chính họ hoặc do GDPR của châu Âu.
CCPA cũng cho phép người dân California kiện các công ty vi phạm dữ liệu. Trong phạm vi các vụ kiện, hoặc mối đe dọa của các vụ kiện, khiến các công ty cải thiện cách họ xử lý dữ liệu, tất cả người dùng của họ sẽ có lợi.
NGƯỜI DÂN CALIFORNIA CÓ ĐƯỢC NHỮNG QUYỀN GÌ THÊM?
CCPA thiết lập một số quyền mạnh hơn cho người dân California so với hầu hết các công ty có khả năng tự cấp.
Chẳng hạn, người tiêu dùng ở California có thể yêu cầu các công ty không bán dữ liệu của họ cho các công ty khác, được định nghĩa rộng rãi có nghĩa là bất kỳ loại chia sẻ dữ liệu nào, cho dù đó là vì tiền hay không. Người tiêu dùng ở California cũng có thể đặt hàng bất kỳ công ty nào đã thu thập dữ liệu của họ và bất kỳ ai mà công ty đã chia sẻ dữ liệu đó để xóa dữ liệu đó khỏi hồ sơ của họ.
Tuy nhiên, họ không thể từ chối thu thập dữ liệu trong tương lai. Sau khi xem các loại thông tin mà một công ty thu thập, tùy thuộc vào người tiêu dùng để quyết định xem họ có ổn với thực tiễn hay không. Nếu không, cách duy nhất để đảm bảo một công ty sẽ không thu thập dữ liệu của họ trong tương lai là không sử dụng các sản phẩm hoặc dịch vụ của công ty.
Một điểm quan trọng cần ghi nhớ: Tùy thuộc vào người tiêu dùng ở California để chủ động khẳng định các quyền mới này. Hayley Tsukayama, một nhà hoạt động lập pháp của Tổ chức biên giới điện tử, chỉ ra rằng CCPA cung cấp quyền từ chối quyền của ED. Các công ty không phải xin phép bán dữ liệu người dùng. Họ chỉ phải ngừng bán nó nếu người dùng nói rõ với họ.
NHỮNG LOẠI DỮ LIỆU ĐƯỢC BẢO HIỂM?
CCPA định nghĩa dữ liệu cá nhân cực kỳ rộng rãi là bất cứ thứ gì mà LÊ có khả năng liên kết hợp lý hoặc có thể được liên kết một cách hợp lý, trực tiếp hoặc gián tiếp, với một người tiêu dùng hoặc hộ gia đình cụ thể. Một số ví dụ bao gồm: tên, địa chỉ bưu chính, địa chỉ IP, email địa chỉ, số an sinh xã hội, số bằng lái xe, lịch sử duyệt web, lịch sử tìm kiếm và dữ liệu định vị địa lý. Luật cũng đề cập đến công nghệ mới nổi bằng cách bao gồm dữ liệu sinh trắc học, chẳng hạn như DNA hoặc hình ảnh của mắt, dấu vân tay, bàn tay và khuôn mặt.
Nhưng có một nhược điểm: Thông tin có sẵn công khai trên mạng mà các chính phủ liên bang, tiểu bang hoặc địa phương thu thập và xuất bản không được bảo vệ. Điều này bao gồm hồ sơ tài sản, hồ sơ tòa án, đăng ký cử tri, và hồ sơ sinh, hôn nhân và tử vong. Khoảng 200 công ty môi giới dữ liệu trong các công ty của Hoa Kỳ như Been Tweet, Intelius, SearchP PeopleFree và Spokeoật tổng hợp và bán thông tin này và sẽ tiếp tục làm như vậy. Và thông tin cá nhân không bao gồm thông tin người dùng ẩn danh, thường là nguyên liệu thô để đào tạo các mô hình AI học máy.
LÀM THẾ NÀO ĐỂ TÔI THẤY NHỮNG GÌ CÁC CÔNG TY DỮ LIỆU CÓ TRÊN TÔI?
Luật pháp yêu cầu các công ty cung cấp miễn phí cho người dân California để xem những loại thông tin họ thu thập, họ sử dụng nó để làm gì và họ chia sẻ loại công ty nào. Các công ty cần nói với người tiêu dùng về điều này ngay tại hoặc trước thời điểm họ sẽ bắt đầu thu thập thông tin mà nói, trên trang đăng ký tài khoản trực tuyến hoặc trang tải xuống cho một ứng dụng. Các công ty cũng phải tiết lộ bất kỳ thông tin nào họ đã thu thập hoặc chia sẻ, mặc dù chỉ từ 12 tháng trước.
Để xem thông tin cụ thể mà một công ty đã thu thập, như số điện thoại hoặc địa chỉ thực tế, một người sẽ phải bằng cách nào đó chứng minh họ là người họ nói. Nó có thể chỉ yêu cầu đăng nhập bằng tài khoản người dùng của họ nếu họ có một tài khoản như trường hợp của Facebook và Google. Đối với một công ty bạn không có tài khoản, chẳng hạn như mạng quảng cáo trực tuyến, quy trình có thể phức tạp hơn. Chỉ có một tấn câu hỏi về quá trình bạn xác minh người tiêu dùng [danh tính] như thế nào, thì Nurrbaum nói. Người tiêu dùng ở California có thể phải gửi yêu cầu trên biểu mẫu web, qua email hoặc có thể là đường dây điện thoại miễn phí.
Tùy chọn xóa dữ liệu người dùng có thể sẽ nằm trong cùng một phần của trang web nơi bạn yêu cầu xem dữ liệu. Đối với các dịch vụ như Facebook về cơ bản dựa trên việc chia sẻ dữ liệu, cách duy nhất để xóa dữ liệu họ nắm giữ có thể là xóa toàn bộ tài khoản của bạn.
LÀM CÁCH NÀO ĐỂ NGĂN CÁC CÔNG TY BÁN DỮ LIỆU CỦA TÔI?
Mặc dù người dân California không thể ngăn một công ty thu thập dữ liệu của họ, nhưng họ có thể nói với họ rằng không nên bán dữ liệu đó cho những người khác. Luật yêu cầu tính năng này phải được quảng cáo nổi bật với một liên kết trên trang chủ và trang chính sách bảo mật của công ty có nội dung đọc dữ liệu Không bán thông tin cá nhân của tôi. Liên kết sẽ đưa bạn đến một trang có nhiều thông tin hơn, bao gồm cả cách bạn có thể đưa ra yêu cầu Thông qua một hình thức web, địa chỉ email hoặc số điện thoại. Khi bạn nói với một công ty ngừng bán dữ liệu của bạn, tất cả các công ty mà họ đã chia sẻ dữ liệu cũng phải tuân thủ. (Tuy nhiên, sau một năm, một công ty có thể quay lại và cằn nhằn bạn để xin phép bắt đầu bán lại dữ liệu của bạn.)
SoundCloud cho phép mọi người vô hiệu hóa việc bán dữ liệu chỉ bằng cách tắt quảng cáo được cá nhân hóa.
Bạn nên mong đợi nhiều sự tranh cãi xung quanh khái niệm bán dữ liệu, được định nghĩa rộng rãi là bán, thuê, phát hành, tiết lộ, phổ biến, cung cấp, chuyển nhượng, hoặc giao tiếp bằng miệng, bằng văn bản, hoặc bằng phương tiện điện tử hoặc phương tiện khác, thông tin cá nhân của người tiêu dùng của doanh nghiệp cho một doanh nghiệp khác hoặc bên thứ ba để xem xét tiền tệ hoặc giá trị khác.
Chẳng hạn, Facebook nói rằng họ không bán thông tin người dùng và do đó không bị ảnh hưởng bởi phần luật này. Nó bán quảng cáo dựa trên dữ liệu của người dùng nhưng không chia sẻ dữ liệu với các nhà quảng cáo, công ty cho biết. Tuy nhiên, Facebook đã chia sẻ dữ liệu người dùng với các nhà phát triển ứng dụng trong quá khứ. Jacob đã nói rằng họ không bán thông tin của mọi người, nhưng họ chắc chắn đã cung cấp thông tin của mọi người cho các nhà phát triển ứng dụng và nhận được lợi ích khi cung cấp thông tin đó, Jacob nói, luật sư tại ACLU của Bắc California. Mùi và nghe có vẻ như là bán cho tôi.
Facebook cũng tạo mã theo dõi, được gọi là pixel pixel, báo cáo lại cho Facebook những gì mọi người làm trên các trang web khác. Nếu bạn đã xem một chiếc áo len trên một trang web thương mại điện tử có pixel Facebook, thì sau này bạn có thể thấy một quảng cáo cho chiếc áo len đó trên mạng xã hội. Facebook tuyên bố rằng họ chỉ nhận thông tin và tùy thuộc vào các công ty đặt pixel trên trang web của họ để tuân thủ các quy tắc xung quanh việc chia sẻ dữ liệu.
Google đã hỗ trợ nhiều hơn bằng cách tạo ra một công cụ cho các nhà quảng cáo và nhà xuất bản trang web. (Hãy nhớ rằng, công ty là một mạng quảng cáo trực tuyến.) Nếu nhà quảng cáo hoặc nhà xuất bản nhận được một đơn hàng không bán ra từ một người dùng ở California, họ có thể đặt quảng cáo chạy trên trang web của mình để không gửi thông tin cá nhân, chẳng hạn như lịch sử mua và duyệt lịch sử, đến Google. Điều này sẽ ngăn các nhà quảng cáo nhắm mục tiêu người dùng với quảng cáo được cá nhân hóa.
LÀM THẾ NÀO ĐỂ TÔI CÓ ĐƯỢC MỘT BẢN SAO DỮ LIỆU CỦA TÔI?
Theo luật, người dân California cũng có thể lấy một bản sao của tất cả dữ liệu mà một công ty đã thu thập. Luật nói rằng một tệp kỹ thuật số có thông tin này phải là định dạng di động và ở mức độ khả thi về mặt kỹ thuật, có thể sử dụng được, cho phép người tiêu dùng truyền thông tin này đến một thực thể khác mà không gặp trở ngại.
Nó không nói định dạng đó là gì, nhưng hoạt động trên một phương pháp đã được tiến hành bởi một số công ty công nghệ. Các Data Transfer Dự án đã phát triển tiêu chuẩn cho việc di chuyển dữ liệu giữa các mạng trực tuyến từ năm 2018. Apple, Facebook, Google, Microsoft, và Twitter là tất cả các thành viên.
NẾU TÔI NÓI VỚI MỘT CÔNG TY NGỪNG BÁN DỮ LIỆU CỦA MÌNH, LIỆU CÓ HẬU QUẢ GÌ KHÔNG?
Về lý thuyết, sẽ không có chi phí cho người dân California nếu họ nói với một công ty xóa hoặc không chia sẻ dữ liệu của họ. Luật pháp tuyên bố rằng họ có quyền sử dụng dịch vụ và giá bằng nhau, ngay cả khi họ thực hiện quyền riêng tư của mình.
Sau đó đến các ngoại lệ. Các công ty có thể tính giá khác hoặc cung cấp một mức dịch vụ khác, nếu sự khác biệt đó có liên quan hợp lý đến giá trị được cung cấp cho doanh nghiệp bằng dữ liệu của người tiêu dùng.
Không rõ điều này sẽ diễn ra như thế nào. Có vẻ như việc nhân đôi một trang web mà bạn đã trả tiền, như dịch vụ đăng ký phát nhạc hoặc trang thương mại điện tử, cũng kiếm tiền từ việc bán dữ liệu của bạn. Và vì Facebook tuyên bố họ không bán dữ liệu, nên họ không thể tuyên bố mất tiền bằng cách không có quyền bán dữ liệu đó. (Mặc dù xóa dữ liệu của bạn sẽ xóa sạch tài khoản của bạn một cách hiệu quả.)
CCPA cho phép một công ty cung cấp tiền hoặc dịch vụ để lôi kéo mọi người chia sẻ dữ liệu. Một kết quả cuối cùng về điều này: nó có thể buộc các công ty tiết lộ dữ liệu của người tiêu dùng có giá trị như thế nào đối với họ. Dự thảo quy định của pháp luật nói rằng một công ty phải lập một ước tính thiện chí về giá trị dữ liệu của người tiêu dùng, và sử dụng ước tính này làm cơ sở để cung cấp một ưu đãi tài chính hoặc giá cả hoặc dịch vụ khác nhau.
PHÁP LUẬT ĐƯỢC THI HÀNH NHƯ THẾ NÀO?
Thực thi có thể là phần yếu nhất của pháp luật. Ngoại trừ các vi phạm dữ liệu (chúng tôi sẽ xử lý trong giây lát), người tiêu dùng không thể tự mình kiện các công ty về những việc như không xóa dữ liệu của họ hoặc tiếp tục bán dữ liệu đó. Điều đó thực sự sẽ hạn chế số lượng người có thể minh oan cho quyền của mình trước tòa, ông Snow Snow nói. Và cũng sẽ hạn chế các trường hợp thử nghiệm mà tòa án sẽ quyết định cho các câu hỏi có thể không rõ ràng theo luật.
Người dân California có thể đưa ra một khiếu nại cho tổng chưởng lý của tiểu bang, người đã hờ hững về vai trò là người thi hành án, nói rằng họ có các nguồn lực để chỉ theo đuổi một vài trường hợp mỗi năm. Và AG thậm chí sẽ không bắt đầu đưa ra các trường hợp trước tháng Bảy.
Thực thi yếu hơn: Các công ty có 30 ngày sau khi được thông báo rằng họ đang gặp rắc rối để khắc phục vi phạm và tránh bị truy tố. Tsukayama tại EFF gọi đây là một người thoát khỏi tù miễn phí Thẻ mà có thể ngăn cản nhà nước thực hiện tất cả các công việc để chuẩn bị một trường hợp mà cuối cùng phải bỏ. Nhưng Nisenbaum nói rằng chỉ cần thông báo cho một công ty là nó gặp rắc rối, giống như trong một bức thư ngỏ được chia sẻ với báo chí, có thể là một cách mạnh mẽ để mang lại áp lực công khai.
Nếu một vụ kiện xảy ra, các khoản phạt tài chính là rất nhỏ đối với một cá nhân vi phạm, đứng đầu ở mức 7.500 đô la. Nhưng nếu hành động của một công ty ảnh hưởng đến tất cả người dùng của công ty, như không cung cấp một cách dễ dàng để yêu cầu xóa dữ liệu, chi phí có thể tăng thêm. CCPA khởi động cho các công ty có ít nhất 50.000 người dùng, điều này không quá lớn. Nhưng một vi phạm ảnh hưởng đến mỗi người dùng đó có thể bị phạt tới 375 triệu đô la.
LÀM THẾ NÀO ĐỂ TÔI KIỆN MỘT CÔNG TY VI PHẠM DỮ LIỆU?
Sự bất cẩn dẫn đến vi phạm dữ liệu không được mã hóa là một hành vi phạm tội mà người tiêu dùng ở California có thể kiện. Giải thưởng được giới hạn ở mức 750 đô la một người, trừ khi mọi người có thể chứng minh rằng họ phải chịu thiệt hại tiền tệ lớn hơn mà Nisenbaum cho rằng không thể thành công, dựa trên những gì anh ta thấy trong các vụ vi phạm dữ liệu khác. Thật khó tưởng tượng một công ty luật muốn xử lý một vụ án riêng lẻ mà hầu như không có tiền, nhưng CCPA cho phép các vụ kiện tập thể, có thể chứng minh đủ khả năng sinh lợi.
Một lần nữa, các công ty được phép 30 ngày để sửa lỗi vi phạm và tránh vụ kiện. Nhưng không rõ họ sẽ khắc phục lỗi vi phạm dữ liệu như thế nào. Một khi vị thần đã ra khỏi chai, tôi không nghĩ bạn sẽ đặt nó trở lại, ông Nurrbaum nói.
CCPA SẼ THỰC SỰ LÀM CHO MỘT SỰ KHÁC BIỆT?
Mặc dù có những điểm yếu trong thực thi, CCPA nên buộc tất cả các công ty phải thực hiện ít nhất một nỗ lực có thể vượt qua trong việc tuân thủ luật pháp. Nhìn chung, các công ty có thể sẽ không muốn gặp rắc rối với nhà nước lớn nhất ở Hoa Kỳ, cũng là nền kinh tế lớn thứ năm trên thế giới, và trong nhiều trường hợp, vị trí của văn phòng chính của họ.
Và các công ty nhìn thấy chữ viết trên tường rằng các luật khác của tiểu bang, và có thể là luật liên bang, sẽ đến. Vì vậy, họ sẽ phải tăng cường trò chơi của họ về quyền riêng tư sớm hay muộn. Họ dự đoán sẽ phải trải qua điều này một lần nữa vào năm 2020 và hơn thế nữa để theo dõi các luật mới [sẽ được đưa ra], theo ông Nurrbaum. Càng thảo luận mà chúng ta đang có với khách hàng là: Chúng ta phải làm gì để phòng ngừa các vụ cá cược của mình?
CCPA cũng đưa ra một ví dụ mạnh mẽ về các loại quyền riêng tư có thể có. Với người châu Âu và bây giờ là người California giành được quyền mới, công dân ở phần còn lại của đất nước có thể bắt đầu hỏi tại sao họ không có sự bảo vệ như vậy và yêu cầu họ phải làm như vậy.
Nhận xét
Đăng nhận xét