跳转到主要内容

总检察长办公室(OAG)负责执行CCPA。OAG于2020年7月1日(CCPA执法开始的第一天)开始向公司发送涉嫌违规的通知。一旦公司被通知涉嫌违规,它有30天的时间来纠正违规行为。这可能需要的不仅仅是开始遵守法律。总体而言,补救措施加强了消费者的隐私保护。

作为一个执法机构,OAG一般不会向公众发布有关其调查的信息。OAG提供以下信息,作为其发出涉嫌违规通知的情况的示例,以及各公司采取的应对措施。请注意,以下信息不包括每种情况的所有事实,也不构成法律建议。

2022年8月24日更新

在线零售商实施了退出程序,包括GPC

  • 行业:消费品零售
  • 问题:未能兑现消费者选择退出销售的承诺

在一次执法扫描中,发现多家在线零售商使用网络跟踪技术向第三方提供消费者的个人信息,以换取广告或分析等服务,但没有提供退出机制或确保第三方是符合CCPA的服务提供商。具体而言,这些零售商没有按照CCPA法规的要求,通过用户启用的全球隐私控制处理消费者的退出请求。在接到涉嫌违规的通知后,这些企业审查并更新了服务提供商合同,实施了向个人信息的第三方接收者传达“限制使用”信号的技术,并在检测到全球隐私控制(GPC)后阻止了一些个人信息的传输。

忠诚度计划发布财务激励通知,披露重要条款并获得选择同意

  • 所属行业:零售,包括服装、家居用品和家用必需品;食品和饮料;好客以及家居装饰。
  • 问题:财务激励不合规通知

在一次执法扫描中,发现多家企业正在运营忠诚度计划,该计划为收集消费者的个人信息提供财务奖励(包括产品折扣、服务差异和/或降价),而没有发布合规的财务奖励通知。通知了企业。针对指称的违规行为,企业分别:

  • 在收银机张贴财务激励通知,消费者在自愿加入忠诚度计划之前会合理地遇到这些条款;
  • 修改了在线界面,通过适当标题的“深度链接”明确引导消费者阅读《财务激励通知》;
  • 重新设计了忠诚度计划的注册方法,以获得明确的选择加入同意,并有意义地为消费者提供随时退出计划的权利;和/或
  • 修订了财务激励通知,向消费者提供财务激励的实质条款。重要条款包括企业使用作为财务激励的一部分收集的消费者个人信息,例如用于销售、消费者分析或个性化报价和其他营销。

Weblink Shorter更新了隐私政策并添加了请求方法

  • 行业:技术
  • 问题:不符合隐私政策和无请求方法

提供网络链接缩写工具的企业没有提供所需CCPA消费者权利的通知,包括知情权、删除权和不受歧视权,也没有披露为消费者行使其CCPA权利而制定的请求方法。该公司也没有明确说明是否出售了个人信息,也没有提供清晰显眼的“请勿出售我的个人信息”链接。在接到涉嫌违规的通知后,该公司更新了其隐私政策,以包括所需的CCPA权利,实施了两种请求方法,并添加了合规的选择退出链接。

医疗保健服务公司改革了请求流程

  • 行业:医疗保健
  • 问题:错误处理知情要求

一家将预约预约与寻求新冠肺炎疫苗接种的患者进行匹配的公司错误地将一些消费者的知情请求视为删除和永久删除消费者个人信息的请求。一些受影响的消费者在社交媒体上发帖。该业务部门对员工进行了培训,并改进了请求响应流程,以准确、适当地响应知情权和删除请求。

医疗器械制造商更新的隐私政策

  • 所属行业:医疗器械
  • 问题:不符合隐私政策;要求消费者放弃/限制CCPA权利;有限数量的知情要求;个人信息销售

医疗器械制造商和销售商在其网站上收集消费者的个人信息。该企业要求消费者接受该企业的隐私政策和服务条款,以行使其在CCPA项下的权利,从而限制消费者在CCPA下的权利。该公司的隐私政策规定,消费者每12个月只能提出一次请求。该公司对其数据销售的披露也令人困惑,而且该公司没有为消费者提供一个选择不出售其个人信息的机制。这项业务还让消费者采取额外的步骤,通过引导消费者使用第三方行业协会的工具来管理在线广告,从而选择退出。在接到涉嫌违规的通知后,该公司取消了消费者行使其CCPA权利的条件,添加了“请勿出售我的个人信息”链接,并更新了其选择退出网络表单,允许消费者完全选择退出个人信息的销售,包括用于目标广告的个人信息。

Telehealth门户网站更新了收款通知链接和更新的隐私政策

  • 行业:远程医疗技术
  • 问题:不符合隐私政策;不合规收款通知

一家为虚拟医疗服务提供平台的企业还拥有一个单独的面向公众的网站,该网站收集个人信息,并受CCPA的约束。该公司在收款时通知的链接将消费者发送到其隐私政策的开头,而不是相关部分。该公司的隐私政策也未能描述消费者为了提出可验证的消费者请求而必须提供的信息,列出过去12个月内收集或披露的个人信息类别,并列出为商业目的披露的每类个人信息的第三方类别。在接到涉嫌违规的通知后,该公司通过“深度链接”向消费者发送通知,将其发送到其隐私政策的相关部分,并更新其隐私政策,以包括所需的披露。

健身中心连锁店更新了其网站选择退出和Cookie选项

  • 行业:健身行业
  • 问题:不合规退出流程

一家经营连锁健身中心的企业在其网站主页上发布了“请勿出售我的个人信息”链接;然而,它包含的选项与不清晰的语言和切换选项相混淆。例如,当消费者将“拒绝出售个人信息”切换为“打开”时,消费者将选择使用第三方cookie并出售其个人信息;消费者需要关闭此开关以选择不出售其个人信息。该公司的隐私政策还引导消费者使用第三方贸易协会的工具,该工具旨在管理在线广告和cookie偏好。在接到涉嫌违规的通知后,该公司简化了选择不出售个人信息的语言和选项,使其更容易理解,避免了双重否定,并删除了一个令人困惑的下拉菜单,改用简单易懂的切换。该公司还更新了其隐私政策,以更明确地解释其如何使用第三方cookie,并允许消费者完全选择不出售个人信息,包括与定向广告相关的信息。

FinTech for未成年人业务更新了隐私政策并添加了必需的链接

  • 行业:金融科技
  • 问题:不符合隐私政策;不合规退出流程;缺少通知

一家为未成年人(包括13岁至16岁的未成年人)提供金融服务的企业,其运营的移动应用程序未能在收集点或之前通知消费者该企业收集的个人信息类别和用途。它也没有在其隐私政策中明确说明是否出售个人信息。在接到涉嫌违规的通知后,该公司解释说,它隔离了所有18岁以下未成年人的数据,并没有出售这些数据。该公司还更新了隐私政策,明确表示不出售18岁以下未成年人的个人信息。对于18岁以上的消费者,该公司表示可以出售个人信息,并在其主页上添加了“请勿出售我的个人信息”链接。该公司还在其手机应用程序的第一个屏幕上添加了一个链接,用于收集通知,其中包括该公司收集的个人信息类别和使用目的。

人员搜索公司更新了其退出和其他CCPA流程

  • 行业:数据代理
  • 问题:不合规退出流程和验证程序

一家经营人员搜索网站的企业有一个“请勿出售我的个人信息”链接,该链接仅在某些浏览器上有效,并将消费者引导到一个令人困惑的网页,该网页需要多个步骤才能提交CCPA请求。该业务需要一个繁重的CCPA请求流程(包括验证),只提供一种方法来提交CCPA请求,并要求消费者同意服务条款和隐私政策,以便提交CCPA申请。还不清楚消费者是否需要创建帐户才能完成他们的请求。该业务部门也没有正确披露上一日历年的CCPA指标。

在被告知涉嫌违规后,该公司更新了网站,因此“请勿出售我的个人信息”链接在所有浏览器上都有效,更新了加州隐私页面,以澄清和简化提交CCPA请求的流程,取消了选择退出和删除请求的验证流程,提供了提交CCPA请求的替代方法,包括不要求消费者同意服务条款和隐私政策的简化选项,澄清了消费者无需创建账户,并根据加州法规