美三州联手打击漠视用户隐私行为

美加州、科罗拉多州及康涅狄格州联手打击漠视用户隐私权行为

2025年9月18日 - 加州隐私保护局 (CPPA) 和加州、科罗拉多州和康涅狄格州的总检察长近日联合宣布开展一项旨在打击忽视消费者撤回同意请求的公司行为的联合执法行动。

此次行动重点关注全球隐私控制 (GPC) 机制，这是一项浏览器设置，可自动向公司发送信号，表明消费者不希望他们的个人信息被出售或共享。

监管机构强调，拒绝遵守 GPC 请求可能构成违反州隐私条例，包括以加州消费者隐私法为蓝本的法律。 此举也紧随 CPPA 之前采取的一些执法行动之后，凸显出与忽视用户在线跟踪和数据共享意愿相关的不正当、欺骗性或滥用行为 (UDAP) 的担忧。

联合声明强调，企业必须：

• 将 GPC 信号识别为撤回同意请求。
• 将 GPC 提交视为有效的消费者撤回请求，而不是强迫消费者逐个网站提出请求。
• 不设置阻碍消费者撤销同意的障碍。州隐私法要求提供清晰的“不要出售或共享我的个人信息”链接或类似机制，而不能将遵守此机制的条件设定为用户账户创建或其他障碍。

监管机构正在联系那些被怀疑不符合规定公司的负责人，并指示他们立即履行合规义务，同时警告可能会采取进一步行动。

该多州执法行动表明，尊重撤回同意权利是州隐私监管机构的积极执法重点，这在 CPPA 最近关于广告定位和数据使用 (ADMT)、网络安全审计和风险评估制定规则方面得到了体现。 企业不仅应确认其系统能够检测和处理 GPC 信号，还应审查撤销同意机制，确保其清晰易懂且可访问。

阅读本文之前，你最好先了解…

• 全球隐私控制 (GPC)： 这是由 W3C 标准组开发的一种浏览器功能，允许用户向网站发送信号，表明他们拒绝出售或共享他们的个人信息。
• 加州消费者隐私法 (CCPA)： 这项法律赋予加州居民控制其个人信息的权利，包括拒绝出售个人数据。其他州的隐私法也类似于 CCPA。
• 不正当、欺骗性或滥用行为 (UDAP)： 这是指商业实践中不公平、欺诈或误导消费者行为的行为，可能会被监管机构处罚。

该行动对企业意味着什么？

此次多州执法行动传递了一个明确的信息：忽视用户隐私权将受到严格制裁。 企业必须认真对待 GPC 信号，并将它们视为有效撤回同意请求。 这就要求企业采取以下措施：

• 更新技术系统： 确保您的网站和应用程序能够正确识别和处理 GPC 信号。
• 简化撤销同意的流程： 提供清晰易懂的机制，允许用户轻松撤回对数据出售或共享的同意。 不要设置障碍，例如要求用户创建账户或完成繁琐步骤才能撤回同意。
• 审查现有政策和实践： 确保您的隐私政策、条款和服务符合最新的州隐私法规，并明确说明您如何处理 GPC 信号和撤回同意请求。
• 加强员工培训： 教育您的员工关于用户的隐私权，以及如何正确处理 GPC 信号和撤回同意请求。

展望未来

随着越来越多的州通过更严格的隐私法规，企业必须将其隐私策略放在首位。 这不仅是一种合规义务，也是一种赢得用户信任和建立良好声誉的必要步骤。

如果你有其它意见，请评论留言。