来源:Future of Privacy Forum
作者:KEIR LAMONT
翻译:帕格健,上海交通大学法学院硕士生
2020年11月,加州选民通过了《加州隐私权利法案》(“CPRA”)议案,该提案旨在加强和扩大州立法机构于2018年通过的《加州消费者隐私法案》(“CCPA”)。虽然CPRA对相关企业规定了重要的新消费者权利和负责任的数据处理义务,但其范围和应用等问题仍未解决。最近一组有关CPRA规则制定的公众评论使这些有争议的问题更加引人关注。
CPRA将规则制定和执行的权力委托给了一个全新的、专注隐私的机构——加州隐私保护局。在理事会任命之后,该机构于2021年9月实施了第一个面向公众的规则制定步骤,就CPRA亟待解决的问题发出了覆盖8个主题的评论邀请。上周,该机构公布了在45天的评论期内收到的大约70份信件。
代表不同行业部门、消费者权益团体和学术界的贸易协会和公司等提出了意见。在数百页的评论中,利益相关者对CPRA在多个重大问题上的规定持有不同意见。CPRA中存在争议的内容包括(1)企业应如何进行和提交隐私安全风险评估,(2)自动化决策技术应如何监管,(3)CPRA是否承认用户的选择退出模式,(4)机构审计权限的范围,以及(5)机构应如何进一步定义和监管被称为“黑暗模式”的操纵设计界面。
1.隐私安全风险评估
CPRA要求从事对消费者隐私和安全构成“重大风险”的数据处理的组织“定期”进行风险评估并提交评估报告至隐私保护局,从而使加州与其他国家和国内的隐私框架保持一致。
然而,CPRA将许多具体制度交由隐私保护局制定,包括引发评估要求的具体活动、完成评估的范围和程序,以及向机构提交评估的节奏。公众评论就此提出了企业应如何以及何时被要求进行和提交评估的各种建议。
行业利益相关方认为采用过于形式化的风险评估程序会给企业和机构带来不必要的负担。多个行业团体建议,企业仅应在被作出要求时进行风险评估(符合弗吉尼亚州和科罗拉多州的隐私法),或者,如果是强制性的,每3年提交一次。民间社会组织倾向于对企业施加更广泛的评估要求。一个联盟认为,应在“可能改变由此产生的个人隐私风险”的商业做法发生前进行评估,并每隔6个月重新提交给该机构。
加州消费者隐私保护组织鼓励该机构采取渐进的方法,最初进行风险评估的要求只落在个人信息的大型处理者身上。专家组还建议,根据个人信息和敏感个人信息处理的“强度”来确定提交这些评估的不同时间要求。
2.自动化决策技术
CPRA要求隐私保护局制定关于自动决策技术(包括“特征分析”)的“管理准入和退出权”的条例。隐私保护局收集了多方意见,包括应受监管的自动驾驶技术的活动、企业应如何向消费者提供自动决策过程,以及消费者在自动驾驶技术方面的选择退出权的范围。行业和民间社会的评论在如何界定自动数据传输的范围以及CPRA是否在CPRA选择不出售和共享个人信息以及限制使用敏感个人信息的权利之外,创建了一项选择不使用自动数据传输的独立消费者权利方面存在分歧。
许多评论者建议该机构将受监管的自动数据处理的范围界定为对消费者产生“法律或类似重大影响”的决定,并指出GDPR的类似标准。法律或类似的重大影响包括自动拒绝网上信贷申请;在线招聘平台做出的决策;影响其他金融、信贷、就业、健康或教育机会的决策及在特定场景下的行为广告。
许多评论者指出,计算器、电子表格、全球定位系统和拼写检查器等明显低风险、对社会有益的工具可能会被过于宽泛的监管所吞噬。包括EFF和EPIC在内的民间社会团体在很大程度上存有不同意见,认为基于对算法伤害和偏见的新担忧,该机构的法规应该更广泛地定义自动数据处理,例如,包括“提供建议、支持决策或将信息置于上下文中的系统。”
值得注意的是,加州消费者隐私保护组织认为,该机构的法规应该“明确规定消费者有权选择退出这种自动决策”(参考在线广告生态系统),并且该机构随后应该将选择退出ADT的权利扩大到“在线和商业活动的其他领域。”与这种观点形成鲜明对比的是,几个行业团体认为,该机构不能设立一个独立的消费者权利来选择退出自动数据传输,因为这种权利在CPRA本身没有规定。两个著名的行业协会,CTIA和TechNet,进一步断言这样的规则制定授权将是“违宪的”。
3.选择退出
当前消费者隐私领域最引人注目的争论之一当属选择退出。2021年7月,加州总检察长的一个常见问题页面被更新,声称一个名为“全球隐私控制”(GPC)的浏览器工具,“必须被相关企业视为停止销售个人信息的有效消费者请求。”公众评论显示,对于CPRA是否要求企业遵守这类控制,法律解释存在明显差异。
包括ESA、加州零售商协会和加州商会在内的行业团体在很大程度上采纳了这样的解释,即CPRA的文本使得企业认为其对选择退出请求具有选择权,其依据是CPRA法案第1798.135(b)(1)、(3)节提供的保障用户行使权利的多种途径。
另一方面,民间社会组织倾向于认为,CPRA明确要求承认全球信号,指出第1798.135(e)节涉及由其他授权人员行使消费者权利(包括选择退出信号)。《消费者报告》认为,承认退出请求是这一条款“简单明了的语言”所要求的,并指出,这一解释符合CPRA声明的加强CCPA实施的目的。加州消费者隐私保护组织也采取了坚定的立场,认为“没有法律条文允许企业拒绝遵守消费者发出的全球选择退出信号”,并批评“我们从广告和科技行业看到的关于CPRA选择退出权利范围的错误信息”。
我们注意到,无论对全球选择退出请求的承认是强制的还是自愿的,该机构都有一个重要的工作,即为采用符合CPRA、GDPR或科罗拉多州隐私法案(要求在2025年之前承认某些偏好请求)的请求制定明确的标准。在这种情况下,该机构应与专家合作来解决运营问题,例如,如果退出请求与其他消费者选择相冲突,应如何解释退出,并建立一段时间内批准新请求的程序。
4.机构审计机关
CPRA授权隐私保护局对企业进行审计,以确保法律遵守。同样,该局就审计权限范围、审计应遵循的流程以及该机构在选择审计企业时应使用的标准等问题征求反馈。
加州消费者隐私保护协会表示,该机构审计员的范围应该“只限于一项请求是否与潜在的违反CPRA的行为有合理的联系,并将审计标准的确定留给其执行主任和审计员”。
相比之下,行业团体建议采用多种方法来明确定义审计权限和标准。受欢迎的建议包括要求该机构(1)在启动审计之前有证据证明违反了CPRA的实质性规定,该规定有可能对消费者造成重大伤害,(2)在审计之前向企业发出90天的通知,(3)设置护栏,以确保审计独立于该机构的调查和执法团队,以及(4)制定“公平和平等待遇”规则,以确定对哪些公司进行审计。
5.“黑暗模式”
最后,该机构要求对CPRA使用的一些定义进行反馈,包括被称为“黑暗模式”的操纵设计界面。CPRA将“黑暗模式”定义为“具有颠覆或损害用户自主权、决策权或选择权的实质性效果的用户界面”。“黑暗模式”的概念近年来受到越来越多的监管关注,并被机构董事会主席厄本标记为即将举行的一系列“信息听证会”的潜在讨论主题
互联网协会等行业组织对CPRA中“黑暗模式”的定义表示担忧,认为基本上任何界面都可能被解释为损害用户选择,因此根据该法案,包括使用隐私保护默认设置,都被视为“黑暗模式”。这些组织中有几个要求缩小“黑暗模式”的定义,把重点放在相当于消费者欺诈的设计上,并鼓励即将出台的法规提供参考模式。
相比之下,由詹·金教授领导的斯坦福大学学者小组建议在同意界面之外对这一问题进行监管,并特别要求扩大“黑暗模式”的定义,以涵盖语音激活系统等新型界面。
声明:本文来自数据保护官,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
