“功能上无用”：加州隐私法的重大披露不足

加利福尼亚州帕索罗布尔斯——加利福尼亚试图做华盛顿没有做的事情：迫使美国的科技行业将其收集的大量数据交给人们控制。但是一年过去了，几乎不可能知道有多少加利福尼亚人正在利用他们的新权利，或者最大的参与者是如何遵守的。具有里程碑意义的 2018 年加州消费者隐私法案所针对的最大公司必须披露自去年以来从该州居民那里收到的数据隐私请求的详细数据。但这些公司公布的数据大相径庭，因此无法评估法律的有效性。微软表示，它收到了 280 万份要求删除加州人数据的请愿书，而苹果收到的请求不到 295,000 份。谷歌是一家在全球拥有数十亿用户的公司，报告称只有 276 次来自加利福尼亚人的删除请求。这个想法是，这些统计数据将向加利福尼亚人展示他们从法律中得到了什么，并帮助执法人员跟踪公司是否遵守规则。他们造成了很多混乱。斯坦福大学以人为中心的人工智能研究所的隐私和数据政策研究员詹妮弗·金说：“我认为到目前为止，这有点混乱，这是我所观察到的。” “当然，如果没有办法真正了解这些数字所衡量的是什么，那么仅从研究的角度来看，这真的很困难。我们如何评估这项法律是否有效？”

加利福尼亚州于 2018 年颁布了美国第一部全面的隐私权法，该法授权居民了解公司收集了有关他们的哪些个人信息，并要求企业删除这些详细信息或不出售这些信息。但是在 CCPA 全面生效一年后，很难说它对企业或加利福尼亚人来说真正改变了多少。拥有提起隐私法诉讼的唯一权力的加州司法部已经发布了一系列警告，但没有将一家公司告上法庭。在他的前任 Xavier Becerra 加入拜登政府后于今年春天被任命为该职位的司法部长 Rob Bonta 上个月举行了一次新闻发布会，发布了罕见的执法更新。 Bonta 表示，大约 75% 的公司在警告可能违反隐私法的情况下，已在法律规定的 30 天内解决了问题。他没有说有多少公司收到警告，只是说“相当多”。明年将面临全州选举的旧金山湾区进步民主党人邦塔周四在接受采访时表示，该法律已经建立了一个“强大的隐私制度”，他的办公室仍处于建立的早期阶段。 “我们积极开展调查，并更多地了解公司的行为方式、合规性或不合规性，”他说。 “当有人不善意和不遵守时，我们将——如果事实和法律指向那里——采取行动强制执行。我们希望人们知道这是法律，这不是建议，也不是自愿的。”州司法部将透明度规则写入法规，但并未保留必须遵守该规则的公司的完整清单——那些每年收集至少 1000 万加州人个人数据的公司。没有企业数据的中央存储库，迫使公众以耗时且复杂的方式追踪每家公司的数据。企业自身报告的客户请求量从个位数到数百万不等，这一趋势得到斯坦福大学研究员凯瑟琳·巴伦 (Catherine Baron) 的证实，她迄今为止分析了 100 家公司的指标。 Facebook 记录了大约 82,000 个删除请求，而 PayPal 记录了 4,264 个删除请求，LinkedIn 记录了两个删除请求，它允许所有客户下载和删除他们的数据，但在其自我报告中只计算与 CCPA 相关的请求。亚马逊表示，它在美国收到的针对所有 Amazon.com 的删除请求不到 590,000 条。对这些广泛不一致的一种解释可能很简单：一些公司将其以加利福尼亚为重点的隐私链接深埋在其网站中，因此很难找到。但这些数字也表明，公司可能对其新职责采取完全不同的看法。有些人可能会使用不同的措施来跟踪他们的遵守情况。其他人正在使用全国数字而不是加利福尼亚特定的数字。

“这些数据在功能上毫无用处，”圣克拉拉大学法学教授埃里克戈德曼说，他专注于科技行业，是 CCPA 的批评者。他认为透明度监管是一项毫无意义且代价高昂的工作，并强调可能无法直接将一家公司的数字与另一家公司的数字进行比较，因为他们可能对数据采取不同的方法。例如，谷歌表示，它仅收到并批准了 516 项针对 CCPA 的访问该公司收集的人员数据的请求，只有 276 项请求删除个人信息。与此同时，该公司表示，到 2020 年，美国有超过 1500 万人使用其现有工具删除了他们的一些信息。其中一些人可能包括加利福尼亚人。一些倾向于引起消费者对其数据收集方法持相当怀疑态度的巨头（如 Facebook、谷歌和亚马逊）声称他们不会将个人数据出售给第三方，因此 CCPA 有权选择不出售人们的详细信息不适用于他们。隐私权倡导者驳斥了这一说法，认为 CCPA 适用于在线标识符，例如可以出于营销目的在网络上跟踪用户的第三方“cookie”。允许人们选择不出售其信息的公司报告的这些请求的数量比任何其他公司都要高得多。数据经纪人 Acxiom 表示，它已满足了全国近 20,000 项选择不出售个人数据的请求，但公司发言人表示，自 1990 年代以来就已经实施了此类政策，而且这些数字“并不显着”。与 CCPA 之前不同”。该公司批准其他隐私要求的可能性要小得多。它拒绝了去年收到的 300 项删除请求中的一半以上，以及 483 项要求收集有关人员信息的请求中的一半以上。 《隐私法》允许公司要求对删除和信息请求进行身份验证，他们认为这是防止违规所必需的。 Acxiom 和其他公司表示，大多数拒绝是因为客户放弃了他们的隐私请求。

Target 表示，它根据 CCPA 记录了 650 项删除客户个人详细信息的请求，并同意了其中的不到一半，相比之下，该公司主要接受了 139,000 项选择退出数据销售的请求。福克斯新闻仅满足了加州人 314 项删除数据的请求中的 19 项，称其他请愿者没有验证他们的身份。加州参议院多数党领袖鲍勃赫茨伯格是一位民主党人，他帮助促成了一项有关法律的立法协议，他表示，从长远来看，他认为这些报告问题并不重要。他说，CCPA仍处于“成熟”阶段。 2023 年的 CCPA 将被更广泛的加州隐私权法案所取代，该法案于 11 月通过投票措施获得了选民的批准。新法律将带来一套全新的法规、更强大的执法弹药和更明确的数据交易禁令。赫茨伯格认为，隐私现在已经成为公众意识，公司正在认真对待这一点，“不仅仅是公关噱头。”他说，在 21 世纪之交，公司正试图弄清楚隐私是什么。 “现在有公司第一次非常认真地对待隐私问题，并拥有首席隐私官，”赫茨伯格说。 “这就是这种成熟的运作方式。”