Californiens forbrugerbeskyttelseslovgivning kan påvirke virksomheder i hele USA.

Hvis de tusinder af Californianere, der bruger Josh Simons 'app til musikere, i næste måned kræver, at Vampr sletter deres personlige oplysninger, Simons vil være klar til at overholde.

Det sociale netværksfirma forventer at være en af ​​mange virksomheder landsdækkende underlagt California Consumer Privacy Act, en lov, der træder i kraft 1. januar og giver forbrugerne kontrol over de personoplysninger, virksomheder indsamler, opbevarer og deler ofte med andre virksomheder. Simons, som allerede havde en brugerbeskyttelsespolitik på plads, før loven blev lov sidste år, har ændret politikken og Vampr -appen.

"Vi har en halv million brugere rundt om i verden, " siger Simons. "Det er bestemt noget, vi skal huske på."

Virksomheder over hele landet skal være opmærksomme på lovens komplekse krav, selvom de ikke handler direkte med forbrugerne. Det dækker virksomheder, der driver forretning i Californien, herunder udenlandske virksomheder, der sælger produkter eller merchandise til indbyggere i Californien. Loven kan også dække virksomheder, der tjener penge på at levere tjenester som betalingsbehandling eller webstedshosting til virksomheder, der er underlagt loven.

Loven har bestemmelser, der sigter mod at fritage små virksomheder - virksomheder er underlagt loven, hvis de har en verdensomspændende omsætning på over 25 millioner dollars, indsamle eller modtage de personlige oplysninger om 50, 000 eller flere californiske forbrugere, husholdninger eller elektronisk udstyr; eller dem, der får mindst halvdelen af ​​deres omsætning ved at sælge personlige oplysninger. Men små virksomheder kan let nå de 50, 000-tærskel for indsamling eller modtagelse af information - en person, der har en telefon, tablet, PC derhjemme og en på arbejdspladsen tæller som fire brugere, ikke en.

Vampr er i øjeblikket omkring 1, 000 brugere, der er bange for tærsklen, men Simons forventer, at appen vil nå den milepæl engang i januar. Santa Monica, Californien-baserede virksomheds hjemstat er dets største marked.

Loven har til formål at beskytte forbrugere mod at få deres oplysninger solgt uden deres viden eller samtykke. Det blev vedtaget af Californiens lovgivende forsamling i juni 2018, og modelleret efter Den Europæiske Unions generelle databeskyttelsesforordning, som trådte i kraft i maj 2018. California -loven blev vedtaget blandt stigende bekymring for virksomheder, der deler forbrugerdata, især efter, at det blev erfaret, at datafirmaet Cambridge Analytica havde uretmæssig adgang til Facebook-brugeroplysninger.

Den californiske lov giver forbrugerne ret til at vide, hvilke personoplysninger virksomheder indsamler fra dem, og hvad virksomheder gør med det – uanset om de deler, overføre eller sælge det, og hvem der er modtager af oplysningerne. I henhold til en nøglebestemmelse, virksomheder skal give forbrugerne mulighed for at få deres oplysninger slettet fra databaser.

Loven dækker en lang række data, herunder navne, adresser, CPR- og pasnumre, email adresse, internet browsing historier, købshistorik, personlige ejendele og helbredsoplysninger, faglige eller beskæftigelsesmæssige oplysninger, uddannelsesoptegnelser og information fra GPS-apps og -programmer.

Virksomheder, der er underlagt loven, skal sikre, at deres systemer og websteder er i overensstemmelse. Mange uden in-house teknologistabe har hyret firmaer til at installere software, der blandt andet skaber hjemmesidens knapper og links, der giver forbrugerne mulighed for at se deres informationer og fravælge at få dem gemt. Nogle virksomheder kan beslutte at få juridisk hjælp for at være sikre på, at de er på rette vej. Simons, som selv installerede softwaren for at gøre Vampr kompatibel, anslår, at processen kostede virksomheden 7 USD, 000, en stor sum for en lille virksomhed.

Mens Californiens statut træder i kraft 1. januar, håndhævelsen begynder først den 1. juli. Og loven, som den ser ud nu, kan ændre sig - Lovgiveren har allerede vedtaget en række ændringer for at præcisere og forfine lovens krav, og statsadvokaturen er stadig i gang med at formulere regler og vejledning om loven.

Nogle af lovens kompleksitet vokser ud af forholdet mellem virksomheder, der bruger hinandens data, for eksempel, i tilfælde af en betalingsbehandler, der skal bruge kreditkort og andre personlige oplysninger leveret af en forhandler for at gennemføre transaktioner. I sådanne tilfælde, tjenesteudbyderen skal underskrive en kontrakt, der forbyder dem at bruge dataene til andre formål end det, der er anført i kontrakten, siger Travis LeBlanc, en advokat med speciale i cybersikkerhedsret med firmaet Cooley LLP i Washington, D.C.

Leverandører, der kan oprette forbindelse til klientvirksomheders systemer, kan utilsigtet være et indgangspunkt for hackere, der forsøger at stjæle personlige oplysninger. Det var tilfældet, da hackere var i stand til at stjæle personlige oplysninger for mere end 60 millioner Target-kunder i 2013.

"Sælger er ofte en kilde til svaghed, " siger LeBlanc. "CCPA hjælper med at tilskynde den virksomhed, der har det primære forhold til forbrugerne, til at tage ansvar for det."

Advokater finder, at nogle af lovens bestemmelser er vage, hvilket gør det uklart, hvilke virksomheder der skal overholde. En bestemmelse siger, at oplysninger er beskyttet, hvis de sælges eller overføres "til en anden virksomhed eller til en tredjepart for monetære eller andre værdifulde vederlag." Advokater undrer sig over, hvad "værdifuld overvejelse" betyder, siger David Stauss, en advokat med ekspertise i teknologijura hos firmaet Husch Blackwell i Denver.

"Dette kan virkelig blive svært at anvende, " siger Stauss. "Der er nogle ting, der klart vil være salg, men det er en gråzone."

Nogle virksomheder, der ikke desto mindre vil være underlagt loven, indstiller sig på at overholde reglerne. Nogle forventer, at andre stater vil vedtage lignende love, mens andre er klar over, at databeskyttelse er et følsomt problem, de skal tage fat på.

"Vi er i et område i udvikling, hvor forbrugernes stemning er meget høj, " siger Dawn Barry, formand for Luna Public Benefit Corp., en San Diego-baseret virksomhed, der indsamler data til medicinsk forskning. Selvom virksomhedens virksomhed gør det fritaget for californisk lov, det er ikke desto mindre i overensstemmelse med statutten og Europas GDPR, siger Barry.

© 2019 The Associated Press. Alle rettigheder forbeholdes.