Bil

VÀljare i Kalifornien stöder ny dataskyddslag som förstÀrker CCPA

Bild: iStock/Cristian Storto Fotografia

MÄste lÀsa sÀkerhetstÀckning

Miljontals vĂ€ljare i Kalifornien har stĂ€llt sig bakom en kontroversiell Ă€ndring av statens konsumentskyddslagar, och röstat för Proposition 24 med en marginal pĂ„ 56–44 %.

En statlig vĂ€gledning för vĂ€ljare beskriver förslaget, Ă€ven kallat California Privacy Rights Act (CPRA), som ett sĂ€tt för konsumenter att förhindra företag frĂ„n att dela personlig information, korrigera felaktig personlig information och begrĂ€nsa företags anvĂ€ndning av “kĂ€nslig personlig information.” inklusive exakt geolokalisering, ras, etnicitet och hĂ€lsoinformation. Lagen skulle ocksĂ„ skapa California Privacy Protection Agency.

SER: TechRepublic Premium redaktionell kalender: IT-policyer, checklistor, verktygssatser och forskning för nedladdning (TechRepublic Premium)

Förslaget har ivriga anhÀngare och belackare pÄ bÄda sidor av integritetsdebatten pÄ nÀtet, med vissa som sa att det behövdes för att fylla kryphÄl i den landmÀrke California Consumer Privacy Act och andra fördömer den för att inte gÄ tillrÀckligt lÄngt eller förstÀrka farliga metoder.

I ett uttalande hyllade Alastair Mactaggart, ordförande för Californians for Consumer Privacy och sponsor av förslaget, det som “början pĂ„ en resa som pĂ„ djupet kommer att forma strukturen i vĂ„rt samhĂ€lle genom att omdefiniera vem som har kontroll över vĂ„r mest personliga information och att Ă„terstĂ€lla konsumenterna till ansvar för sin egen data.” Mactaggart, en fastighetsutvecklare, spenderade minst 5 miljoner dollar av sina egna pengar för att stödja förslaget.

Carmen Balber, verkstĂ€llande direktör för Consumer Watchdog, tillade i ett annat uttalande som sa att “Prop 24 befĂ€ster kaliforniens integritetsrĂ€ttigheter och skyddar dem frĂ„n lagstiftande övergrepp, lĂ€gger till banbrytande nya skydd för kĂ€nslig information som vĂ„r ras, sexuella lĂ€ggning och plats, och skapar en europeisk integritetsbyrĂ„ för att skydda vĂ„ra rĂ€ttigheter.”

SER: Hur du stÀller in tvÄfaktorsautentisering för dina favoritplattformar och tjÀnster (gratis PDF) (TechRepublic Premium)

Men nu nÀr förslaget har antagits officiellt och kommer att trÀda i kraft 2023, gÄr experter igenom det finstilta för att ta reda pÄ hur det kommer att antas.

Chris Hauk, en föresprĂ„kare för konsumentintegritet som arbetar för Pixel Privacy, kallade förslaget “en blandning av nĂ„gra steg framĂ„t och nĂ„gra steg bakĂ„t” och kritiserade det för att lĂ€gga till “Ă€nnu ett lager av Kaliforniens regeringsbyrĂ„krati genom att skapa en dedikerad statlig byrĂ„ för att upprĂ€tthĂ„lla lagen.”

Los Angeles Times noterade att den femsitsiga styrelsen som skulle leda byrÄn skulle bestÄ av personer som utsetts av delstatens guvernör, delstatsÄklagaren, delstatssenatens regelkommitté och talmannen för delstatsförsamlingen.

“Jag skulle föredra att se ett opt-in-system istĂ€llet för det opt-out-system som beskrivs i propositionen, men det Ă€r förmodligen en ladugĂ„rdsdörr som för alltid kommer att inte kunna stĂ€ngas. Dessutom Ă€r den del av Ă„tgĂ€rden som tillĂ„ter företag att debitera kunderna mer för varor och tjĂ€nster om de bestĂ€mmer sig för att inte dela sin data med dem helt enkelt fel, sĂ€ger Hauk.

“De flesta lojalitetskortsprogram jag har sett kommer att erbjuda rabatter pĂ„ ordinarie priser till medlemmar som Ă€r villiga att dela med sig av sina uppgifter, medan icke-medlemmar betalar detaljhandelspriset. Även om detta Ă€r vettigt, skulle ett system som skulle göra det möjligt för företag att ta ut mer för sina varor radera alla fördelar med ett sĂ„dant program, eftersom medlemmar sannolikt skulle sluta med att betala detaljhandeln, medan icke-delande kunder skulle betala en premie utöver detaljhandeln. Att tillĂ„tas debitera mĂ€nniskor för “privilegiet” att behĂ„lla sin integritet Ă€r fel.”

SER: Hur du hanterar din personliga information för ditt Google-konto (TechRepublic)

Comparitechs integritetsföresprĂ„kare Paul Bischoff upprepade mĂ„nga av dessa kritiker och farhĂ„gor och tillade att mycket av det som omfattas av lagen redan finns i andra befintliga lagar, inklusive CCPA. Han tog ocksĂ„ emot systemet med “betala för privatliv” som beskrivs i lagen och sa att det skulle leda till diskriminering av konsumenter som beslutar sig för att inte dela sina personuppgifter.

“Skydd för biometrisk integritet kommer att försvagas, och konsumenter kan inte stĂ€mma företag nĂ€r deras rĂ€tt till integritet krĂ€nks”, tillade Bischoff.

Andra experter hyllade handlingen som ett enormt steg framÄt för integritetsbestÀmmelser i USA och uttryckte hopp om att det skulle sporra vÀljare i andra stater att driva lagstiftare att anta liknande lagstiftning.

KnowBe4s dataskyddschef Lecio De Paula Jr. sa att förslaget var spÀnnande men noterade att det kommer att tvinga företag att spendera mer för att skydda konsumenternas integritetsrÀttigheter och kan ha en hÄrdare inverkan pÄ smÄ till medelstora företag pÄ grund av brist pÄ resurser .

“CPRA kommer att göra mer Ă€n att bara lĂ€gga till “tĂ€nder” till nuvarande CCPA-krav; det kommer att förvandla det till nĂ„got som ligger mycket nĂ€rmare EU:s GDPR. Enligt CPRA kommer företag att vara ansvariga för hur tredjepartsleverantörer hanterar data, liknande GDPR:s konstruktion av personuppgiftsansvariga och databehandlare”, sĂ€ger 1touch.io:s marknadschef Luis Marte.

“Det kommer ocksĂ„ att krĂ€va att man genomför regelbundna riskbedömningar och cybersĂ€kerhetsrevisioner för högriskdata, som Ă€r direkt ur GDPR. NĂ€r det gĂ€ller rĂ€ttigheter som utvidgas till konsumenter kommer det att tredubbla böterna för krĂ€nkningar som involverar minderĂ„riga, och undantaget kommer nu att gĂ€lla delad data, inte bara data som sĂ€ljs. CPRA Ă€r ett omröstningsinitiativ, vilket innebĂ€r att det blir en mycket svĂ„rare process att Ă€ndra det. Detta stĂ€rker bestĂ€mmelsernas status.”

Marte förklarade att det kommer att tvinga företag att bara samla in de uppgifter de behöver, begrÀnsa lagringstiden för personlig information, begrÀnsa vidare överföring av personlig information och mycket mer.

Saryu Nayyar, VD för cybersĂ€kerhetsföretaget Gurucul, sa att Ă€ven om det kommer att tvinga fram kostnader pĂ„ mĂ„nga företag, bör övergĂ„ngen till förbĂ€ttrad personlig integritet och konsumentintegritet “se som en bra sak.”

“De extra kostnaderna kommer sannolikt att kompenseras av ökat kundförtroende och den extra sĂ€kerhet som kommer med efterlevnadsinsatser,” sa Nayyar.

Men andra experter noterade att den nya lagen lÀgger en ökad börda pÄ konsumenterna ocksÄ. Chloé Messdaghi, vice ordförande för Strategy for Point3 Security, sa till TechRepublic att bÄde ACLU och Electronic Freedom Foundation antingen var emot förslaget eller inte aktivt stödde det.

SER: Skyddspolicy för identitetsstöld (TechRepublic Premium)

Messdaghi sa att en av huvudproblemen Àr att mÄnga mÀnniskor inte kommer att vara villiga att betala extra för att skydda sin integritet. Messdaghi tillade att man missade möjligheten att Àndra sekretessparadigmet till en opt-in-modell, dÀr företag inte kan lagra konsumenternas information om inte konsumenten vÀljer att delta och ger sitt tillstÄnd.

Att tvinga anvÀndare att vÀlja bort gör det fortfarande möjligt för företag att automatiskt samla in information frÄn anvÀndarbesök pÄ webbplatser om inte konsumenter specifikt vÀljer bort det.

“Det Ă€r olyckligt eftersom mĂ„nga konsumenter inte vet hur man gör det, vissa företag kan till och med göra opt-out-processen onödigt komplex och svĂ„r att lokalisera. Faktum Ă€r att de flesta konsumenter inte vill att deras data ska skördas och sĂ€ljas, sĂ€ger Messdaghi.

“Lagen sĂ€ger att företag mĂ„ste förbjudas att samla in data utöver vad som krĂ€vs av dem för att tillhandahĂ„lla de varor och tjĂ€nster som kunden har efterfrĂ„gat. Detta lĂ„ter verkligen företag samla in vad de vill ha. Det begrĂ€nsar ocksĂ„ makten för konsumenter som vill att företag ska radera sin data. Företag kan hĂ€vda sĂ€kerhets- och integritetsproblem.”

Hon lade till en mÀngd andra bekymmer, inklusive det faktum att lagen avslutar CCPA:s skydd av biometriska data som DNA och ansiktsigenkÀnningsdata och inte heller ger konsumenterna möjlighet att stÀmma företag som bryter mot deras integritetsrÀttigheter.

Maureen Mahoney, policyanalytiker pÄ Consumer Reports, sa att den nya lagen fyller luckor i CCPA som teknikföretag utnyttjade skenande.

SER: Social ingenjörskonst: Ett fuskblad för affÀrsmÀn (gratis PDF) (TechRepublic)

Företag som Amazon och Spotify sĂ€ger i sina integritetspolicyer att de inte “sĂ€ljer” din data enligt definitionen av CCPA, sĂ„ du kan inte vĂ€lja bort det – Ă€ven om de delar det med tredje part för att rikta annonser till dig, sa hon.

Hon tillade att företag ocksÄ har utnyttjat tjÀnsteleverantörsundantaget i CCPA för att fortsÀtta att leverera riktad reklam utanför opt-out.

“Stötta. 24 kommer att tĂ€ppa till dessa luckor, och som ett resultat kommer konsumenterna att ha mer kontroll över sin personliga information. Men 2023 Ă€r en lĂ„ng vĂ€g bort, sĂ„ vi kommer att fortsĂ€tta att uppmana tillsynsmyndigheter att göra klart att dessa kryphĂ„l Ă€r oacceptabla, sĂ€ger hon.

“Stötta. 24 kommer att bidra till att skapa ett viktigt prejudikat för andra stater genom att klargöra att konsumenterna har kontroll över riktad reklam – det prejudikatet Ă€r sĂ€rskilt viktigt eftersom industrin lobbar för breda undantag för det integritetskrĂ€nkande beteendet i rĂ€kningar i andra stater, inklusive New York och Washington .”

Hon hyllade lagen för att ha lagt till en bestÀmmelse som tillÄter konsumenter att vÀlja bort i ett enda steg genom en webblÀsarintegritetssignal, men sa att det behövde gÄ lÀngre genom att ge konsumenterna integritet som standard.

IntraEdge-president Dan Clarke betonade ocksÄ att skapandet av en ny fullt finansierad myndighet för integritetsupprÀtthÄllande kommer att bidra till att faktiskt upprÀtthÄlla vissa av reglerna i bÄde lagen och CCPA i motsats till att helt enkelt överlÄta allt till Kaliforniens justitieminister.

“Om justitiekanslern skickar ut 40 sekretessmeddelanden under en mĂ„nad, kan en dedikerad tillsynsmyndighet effektivt granska 40 webbplatser pĂ„ en dag, vilket innebĂ€r att fler företag mĂ„ste anstrĂ€nga sig för att följa CPRA,” sa Clarke.

Jacob Snow, teknik- och medborgerliga advokat för ACLU i norra Kalifornien, sa att förslaget gick igenom “trots dess djupa brister” men tillade att det “sĂ€nder ett tydligt budskap frĂ„n vĂ€ljare i Kalifornien till den kaliforniska lagstiftaren att de förvĂ€ntar sig och krĂ€ver Ă„tgĂ€rder för att skydda sina integritet och skydda deras grundlĂ€ggande integritetsrĂ€ttigheter.”

“Nu Ă€r det dags för den kaliforniska lagstiftaren att bygga vidare pĂ„ Proposition 24 för att se till att företag fĂ„r tillstĂ„nd innan de anvĂ€nder eller delar vĂ„r personliga information, förbjuder företag frĂ„n att ta ut mer för att utöva vĂ„ra grundlĂ€ggande rĂ€ttigheter och pĂ„lĂ€gga betydande konsekvenser för företag som bryter mot lagen. ” sa Snow.

“Kalifornier kommer inte – och bör inte – acceptera nĂ„got mindre.”

BotĂłn volver arriba

Annonsblockerare upptÀckt

Du mÄste ta bort AD BLOCKER för att fortsÀtta anvÀnda vÄr webbplats TACK