Californien omskriver reglerne for internettet, og virksomheder kæmper for at følge med

En gennemgribende ny lov, der har til formål at omskrive reglerne for internettet i Californien, skal træde i kraft den 1. januar.

De fleste virksomheder med et websted og kunder i Californien - det vil sige de fleste store virksomheder i landet - skal følge det nye regime, som formodes at gøre livet på nettet mere gennemsigtigt og mindre uhyggeligt for brugerne.

Det eneste problem:Ingen er sikre på, hvordan de nye regler fungerer.

California Consumer Privacy Act startede ud fra en simpel forudsætning:folk skal kunne vide, om virksomheder sælger deres personlige oplysninger, se, hvilke oplysninger virksomheder allerede har indsamlet om dem, og har mulighed for at afslutte hele systemet.

Men intet er enkelt, når det kommer til den højhastigheds- og stort set uigennemsigtige online dataøkonomi. I mere end to årtier, teknologivirksomheder har bygget et dybt indviklet system til at spore vaner og identiteter hos millioner af brugere, hvert sekund af hver dag, og derefter bytte eller sælge disse oplysninger for yderligere at finjustere markedsføringen, reklame og forretningsstrategi.

Takket være systemets tekniske kompleksitet og den hurtige tidslinje for implementering, en række grundlæggende spørgsmål forbliver ubesvarede. Hvad betyder "sælge"? Hvordan kan virksomheder være sikre på, at de sletter den rigtige persons data? Og betyder det blot at have en hjemmeside, der holder styr på, hvor mange mennesker der besøger hvert år, at du skal vade ind i det lovgivningsmæssige krat?

Rigsadvokatens kontor, som har til opgave både at fortolke og håndhæve loven, offentliggjorde først sin første runde af udkast til forordninger i begyndelsen af ​​oktober. Et endeligt sæt kommer sandsynligvis ikke før langt ind i 2020, og loven håndhæves først i juli.

I mellemtiden, virksomheder kæmper for at sikre sig, at de ikke bryder det grundlæggende i loven. Store virksomheder underskriver aftaler med firmaer, der specialiserer sig i overholdelse, for at skabe "sælg ikke mine personlige oplysninger"-knapper på deres websteder (og sikre, at de rent faktisk fungerer). Små virksomheder opretter e-mail-konti for at håndtere kundeforespørgsler – eller bare holder hovedet nede og satser på, at statsadvokaten ikke gider at finde på dem, når håndhævelsen starter.

"Der er ikke en privatlivsadvokat i branchen, der ikke arbejder i døgndrift lige nu for at blive klar til 1. januar, sagde Michael Hahn, generaladvokat for Interactive Advertising Bureau, en branchegruppe bestående af virksomheder i online -reklameøkosystemet.

Det begyndte, da Alistair McTaggart, en ejendomsudvikler i San Francisco, havde en foruroligende samtale om digitalt privatliv med en Google-ingeniør ved et cocktailparty. Han besluttede at bankrollere en valgkampagne i 2018. Sacramentos lovgivere indgik en aftale om at gøre det til lov, og usædvanligt for en lov, der kan påvirke milliardvirksomheder, det forblev stort set uændret af lobbyindsats gennem 2019.

I dataøkonomien, brugernes personlige oplysninger kan bruges i lynhurtige transaktioner, ligesom auktion i realtid, der foregår bag hver online annonce, og gemt i databaser i årtier. Sommetider, virksomheder sælger personlige oplysninger – nogens placering, alder eller endda navn – uden nogen kontaktoplysninger, eller nemme måder at bekræfte den pågældende persons identitet på.

Resultatet er en grumset blanding af total overvågning og slem journalføring, hvilket gør det overraskende komplekst at besvare tilsyneladende ligetil krav som "fortæl mig, hvilke oplysninger du har indsamlet om mig" og "stop med at sælge mine oplysninger".

For virksomheder, virkningen har været den digitale ækvivalent af at kræve, at hver chauffør i staten installerer en ny katalysator i deres bil eller får en bøde - uden at dele mærke eller tekniske specifikationer for den nødvendige opgradering. En rapport fra 2019 bestilt af Attorney General's kontor anslog, at overholdelse af loven kunne koste de berørte virksomheder 55 milliarder dollars på forhånd, med potentiale for yderligere 16 milliarder dollars over det næste årti.

Lovgiverne bag reglerne ser kaosset som nødvendigt for at tøjle en industri, der har fungeret ukontrolleret i årtier.

"Det har virkelig været det vilde vesten, siger Bob Hertzberg (D–Van Nuys), flertalslederen i California State Senatet, der gik ind for lovforslaget i Sacramento. "Der er altid lidt af et tumult, men nøglen er at holde øje med horisonten, og gøre det brugbart, men dybt fremadrettet med hensyn til forbrugerbeskyttelse."

Virksomheder, der var berørt af de nye regler, opgav at modsætte sig dem, når det stod klart, at de ville blive lov. Nu vil de bare finde ud af, hvad der foregår.

Ved et møde i begyndelsen af ​​december i Los Angeles, Både repræsentanter for magtfulde handelsgrupper og bekymrede personer stod i kø for ikke at udtrykke så meget modstand som forvirring som en del af kommentarperioden, der vil forme den næste runde af udkast til forordninger.

Peter Watson, et bestyrelsesmedlem for California Self-Storage Association, stillet et grundlæggende spørgsmål:Hvilke virksomheder skal følge loven?

CCPA gælder kun for virksomheder med mere end 25 millioner USD i omsætning eller adgang til personlige oplysninger for mere end 50, 000 mennesker. Så hvis et selvopbevaringsfirma har oplysningerne på 10, 000 nuværende og tidligere lejere, men mere end 50, 000 mennesker besøger dens hjemmeside hvert år, dermed deler deres IP-adresser med virksomheden, kvalificerer det sig?

Andre spørgsmål kredsede om, hvad der virker som en selvmodsigelse:i nogle tilfælde, virksomheder skal muligvis bede om flere personlige oplysninger for at udføre en brugers anmodning om at slette eller få en kopi af alle deres personlige oplysninger. De ved måske, at nogen ved navn Maria Garcia er 36 år gammel, kan lide lastbiler og juridiske dramaer, og logger regelmæssigt på fra en telefon i det centrale LA, men hvis nogen sender en e -mail med påstand om at være Maria Garcia og beder om al den information om sig selv, hvordan kan en virksomhed være sikker på, at den er den rigtige? Kan de bede om flere personlige oplysninger, som en specifik e-mail eller et cpr-nummer, at verificere?

Bo Kim, advokat for California Chamber of Commerce, begyndte med en bøn om at flytte fristen til januar 2021, fremhævede derefter en måde, hvorpå udkastet til forordninger strider mod grænserne for menneskelig viden. En bestemmelse kræver, at virksomheder deler, i deres privatlivspolitikker, værdien af ​​en individuel brugers personlige data.

"Langt de fleste virksomheder, der er berørt af CCPA, anvender teknologi, men er ikke tech -virksomheder, " sagde Kim. "Som sådan, der er ingen særlig værdi af data allokeret på nogen eksisterende balance."

Den mest vidtrækkende virkning af den nye lov falder på onlineannonceøkonomien og de virksomheder – inklusive teknologigiganter som Facebook og Google og medievirksomheder som The Los Angeles Times – der stoler på den.

Kernemekanismen i onlineannonceverdenen kaldes budgivning i realtid:bag hver annonce på en webside (inklusive denne), der er en næsten øjeblikkelig række transaktioner i gang.

Selve siden, ved brug af digitale trackere, indsamler data på læseren. Derefter, siden sender denne brugerinformation op i pipelinen sammen med et bestemt sæt regler, såsom hvilke slags annoncer den er villig til at vise, og til hvilken pris. En annoncebørs arrangerer derefter øjeblikkeligt en auktion for rummet og brugeren, ofte søger det højeste bud blandt annoncekøbere, der også på forhånd har angivet deres foretrukne mål, priser og hvordan deres annoncer ser ud. Når hele denne proces finder sted - i løbet af mikrosekunder - vises annoncen.

I dag, hver enhed undervejs gemmer typisk de data, den kan til senere. Jo flere oplysninger en side ved om en bruger, jo højere pris det kan tage for en annonce – og hver lille del information kan tilføjes til en forbrugerprofil, som kan sælges til andre virksomheder ned ad linjen på udkig efter en mere målrettet målgruppe.

Denne praksis har gjort det muligt for annonceteknologiindustrien at samle forbrugerprofiler på millioner af mennesker. Den nye lov giver californierne beføjelse til at stoppe overvågningen i dens spor.

CCPA bryder ikke budgivningskæden i realtid af dataoverførsel og annoncevisning – og McTaggart har været klar over, at det aldrig var hensigten – men det giver brugerne mulighed for at fravælge anden fase af processen, hvor deres data opbevares og pakkes for at blive solgt i fremtiden.

De, der fravælger, vil sandsynligvis se færre hypermålrettede annoncer, den slags, der viser brugerne en annonce for et produkt, som de ikke har købt halvvejs i betalingsprocessen, eller som ser uhyggeligt ud til at vise en annonce for en butik, de besøgte et par dage tidligere. Kombineret med flere anmodninger om sletning, brugere kunne til sidst kun se annoncer, der er relateret til den side, de besøger – bilannoncer i en artikel om biler, eller annoncer for madlevering på et fødevarewebsted.

Interactive Advertising Bureau, et konsortium, der omfatter de fleste større udgiveres annoncører, og ad tech -virksomheder i USA, brugte meget af 2019 til at indkalde til møder for at finde ud af, hvordan tusinder af virksomheder langs pipelinen kunne imødekomme brugernes anmodninger om at fravælge at få deres data solgt. Det kom op med en kompleks ramme af kontrakter og digitale tags, der funktionelt hæfter en brugers ønske om ikke at få deres data solgt til selve dataene, som et blækmærke på et stykke merchandise.

Google loggede på dette system i december, og gav sine kunder – som omfatter de fleste af webstederne på internettet – et værktøjssæt til at bygge dette fravalgssystem ind på deres egne websteder.

Facebook, især, erklærede i et blogindlæg, at det ikke behøvede at ændre sin praksis for at overholde loven. Virksomhedens argument afhænger af definitionerne af salg og tredjeparter, arbejder ud fra den forudsætning, at da Facebook er den eneste enhed, der indsamler og tjener penge på personlige data i deres system, det beskæftiger sig ikke med salg af brugerdata til tredjemand.

Hvis nok personer fravælger og beder om, at deres data slettes, dette kan have den effekt, at annonceindtægterne skæres over hele linjen. Annoncører er villige til at betale en præmie for et mål af højere kvalitet:blefirmaer, for eksempel, ønsker at vise deres annoncer specifikt til nybagte mødre, ikke en tilfældig besøgende på webstedet. Sådan er Google, som bygger profiler baseret på brugernes søgninger, app brug, og enhver anden information, den kan hente fra enheder, er blevet et selskab på 930 milliarder dollars. Og Facebook har høstet lignende belønninger fra sin brugergenererede skare af adfærdsdata.

Men de fleste brancheeksperter synes at mene, at den nye lov næppe vil påvirke bundlinjen af ​​datadrevne virksomheder (ud over omkostningerne ved grundlæggende overholdelse), simpelthen fordi de fleste brugere næppe gider at melde sig ud.

"Folk siger ja, "siger Ben Barokas, administrerende direktør for compliance management -selskabet SourcePoint. "Selv når der er mulighed for at sige nej, måske 10 % af befolkningen siger nej" til at få deres data solgt for at vise mere målrettet annoncering.

Europas generelle databeskyttelsesforordning, eller GDPR, er et nyttigt sammenligningspunkt. Under dette regime, brugere skulle aktivt vælge at blive sporet online og få deres data solgt - en bestemmelse, som nogle aktivister pressede på for at blive inkluderet i Californiens lov. Men stadig, der er ingen klare data om, at de samlede annonceindtægter led langsigtede fald, efter at loven trådte i kraft i maj 2018, og nogle rapporter viser, at 95 % af brugerne vælger at blive sporet i bytte for adgang til websteder og tjenester.

Selv når virksomheder har travlt med at overholde reglerne, folkene bag CCPA forbereder sig på at indføre en ny runde af regler om privatliv i form af en 2020-afstemning. De største ændringer omfatter oprettelsen af ​​et særskilt agentur til at håndhæve lovene, i stedet for at overlade det til AG's kontor, oprettelse af et opt-in-system for brugere under 16, og yderligere begrænsning af brugen af ​​det, initiativet kalder "følsomme personlige oplysninger, " som omfatter data såsom placering, sundhedstilstand og seksuel orientering.

McTaggart håber, at næste runde, med et finansieret og bemandet privatlivsbureau, kan sætte en ny standard for internettet som helhed.

"Vi tror, ​​det vil gøre for privatlivets fred, hvad California Air Resources Board gjorde for luftkvaliteten på landsplan, " sagde McTaggart.

Han sagde, at hensigten ikke var at ødelægge nogen forretninger, men for at sikre, at virksomheder brugte forbrugerdata sikkert. Eller for at udvide bilanalogien til dataøkonomiens digitale smog:"Vi synes, at biler er fine, og vi forstår, at LA har mange biler, men det ville bare være rart at se på tværs af LA på en klar dag. "

©2019 Los Angeles Times
Distribueret af Tribune Content Agency, LLC.