На прошлой неделе в Калифорнии вступил в силу закон о конфиденциальности позволяющий жителям штата требовать удаления их данных с веб-сайтов электронной коммерции и социальных сетей, а также дающий право резидентам штата отказываться от продажи данных третьим лицам.
Новый закон о конфиденциальности предоставляет пользователям возможность просматривать состав персональных данных, которые компания собрала о них, например, местоположение смартфонов, записи голоса, маршруты поездок, биометрические данные лица и данные таргетинга рекламы. Они также имеют право знать, каким третьим лицам компания продавала эту информацию, видеть выводы, которые были сделаны в отношении них, включая прогнозы или категоризации, связанные с поведением и способностями человека. Новые поправки предписывают агрегатору данных своевременно уведомлять потребителей, в момент сбора данных или до него, о категориях личной информации, которую они собирают, и о том, как она будет использоваться. Причем речь идет не только о персональных, но частично и пользовательских данных.
Закон распространяется на технические платформы, транспортные организации, розничные сети, компании кабельного телевидения, поставщиков мобильных услуг и других лиц, которые собирают личные данные в коммерческих целях, включая Facebook Inc, Google Alphabet Inc., Walmart и Amazon.com Inc. Любая компания, которая собирает личную информацию от 50 000 пользователей ежегодно, также обязана выполнять требования закона.
Закон о конфиденциальности был принят в июне 2018 года с отсрочкой для вступления в силу некоторых положений до 2020 года. За это время многие компании добавили для пользователей на свои веб-сайты кнопку «Не продавать мою информацию». Некоторые американские ретейлеры такие как Home Depot, предоставили возможность доступа к информации относительно продажи и использования данных не только покупателям в Калифорнии, но и по всей стране. В своих магазинах Home Depot добавил QR-коды, с помощью которых покупатели могут искать информацию об использовании данных через мобильные устройства, ретейлер также готовит своих сотрудников отвечать на соответствующие вопросы.
Аналитики допускают вероятность, что новый закон изменит способы, получения компаниями прибыли от использования персональных данных. Компании же возмущены тем, что аналогичный закон, устанавливающий новые стандарты использования данных в Европе, предоставил европейским компаниям несколько лет на подготовку к его реализации, а в США проекты подзаконных актов, описывающие необходимые процедуры, были приняты за несколько месяцев до начала их соблюдения, в частности добавление соответствующего функционала на сайт с запретом продавать данные третьим лицам. Также ретейлеры отмечают, что в законе отсутствует ясность с термином «продажа» информации, как она будет трактоваться, к примеру, когда формируются программы лояльности, интегрирующие сразу нескольких рыночных игроков. Target следом за Home Depot заявил, что кнопка «Не продавать» на веб-сайте компании будет видна всем покупателям в США, а жители Калифорнии еще будут иметь и доступ к определённой информации ретейлера, в соответствии с новым законом. Target уже позволяет своим покупателям отказаться от обмена информацией с третьими сторонами в маркетинговых целях.
У Amazon другой подход. Они не планируют размещать кнопку «Не продавать», потому что, как отмечают представители Amazon, интернет гигант не занимается продажей личных данных клиентов, и никогда этого не делал. Но при этом и Walmart, и Amazon за последние несколько месяцев увеличили вложения в составление «карт данных», позволяющих им сопоставить объем информации, собранной различными бизнес-подразделениями, где и как эта информация хранится, что они с ней делают, с кем делятся, компании проводят аудит и готовят персонал к ответам на запросы клиентов об использовании или удалении их данных.
Оценка экономического воздействия, подготовленная для офиса генерального прокурора Калифорнии независимой исследовательской фирмой, показала, что соблюдение правил обойдется предприятиям в сумму от 467 млн до 16,5 млрд долларов в период с 2020 по 2030 год. По оценкам отрасли, первоначальные затраты на соблюдение требований превысят 50 млрд долларов. Источники агентства Рейтер сообщили, что в уже новом году возможны иски против ряда предприятий, которые не будут соответствовать требованиям закона.