可用-黑客-安全

因未告知消费者出售其个人信息,丝芙兰被罚 120 万美元

  • 浏览次数 15022
  • 喜欢 0
  • 评分 12345

近日,美国加利福尼亚州(下称“加州”)总检察长罗伯·邦塔(Rob Bonta)在发布会上表示,著名化妆品品牌丝芙兰(SEPHORA)就其侵犯消费者隐私一事与加州居民达成和解协议,决定支付120万美元的罚款,并在隐私政策中披露其向第三方出售消费者个人信息的事实,为消费者提供个人信息出售的退出机制。

公开资料显示,丝芙兰是1969年创立于法国里摩日的个人护理和美容产品跨国零售商,旗下拥有近340个品牌,在全球开设超过1000家门店,途径遍布巴黎、纽约、莫斯科等超过28个国家的国际化都市。

据了解,去年6月,邦塔所在部门针对各大在线零售商开展执法检查,其后发现丝芙兰存在多项违规问题。首先,丝芙兰未能在隐私政策中向消费者披露其向第三方出售个人信息的事实,允许不具备“服务提供商”资格的第三方广告和分析提供商通过cookies和其他追踪技术追踪丝芙兰官网和应用程序上的消费者行为。

其次,丝芙兰未能向消费者提供退出个人信息出售的相关渠道,未以显著的方式提供“不要出售我的个人信息”的选项。此外,Mozilla去年推出的全球隐私控制(Global Privacy Control,GPC)功能一旦启用,浏览器将通知每个网站不要出售或共享用户个人信息——但丝芙兰对收到的这类信号视而不见,拒绝回应用户不愿出售个人信息的诉求。

诉状显示,邦塔部门在去年6月通知丝芙兰其可能违反了《加州消费者隐私法案》(CCPA)的相关条款,要求其在30天内采取补救措施。然而,丝芙兰并未采取任何行动,邦塔及所在部门以加州居民的名义将丝芙兰告上加州高级法院。

近日,邦塔在一场新闻发布会上披露了该事件的最新进展。丝芙兰同意以支付120万美元的罚款为代价与加州居民达成和解协议,并作出四项承诺:

在隐私政策中向消费者披露其向第三方出售个人信息的事实;为消费者提供包括GPC功能在内的退出个人信息出售的有效渠道;与丝芙兰合作的服务提供商需符合法律的相关要求;向司法部长提供有关其出售个人信息、其与服务提供商的关系状态以及其遵守GPC要求等情况的报告。

“你生活中一些最私密的细节正在被收集。一家公司掌握的关于你的数据越多,他们对你的影响力就越大,他们就越有可能让你购买他们的商品和服务。”邦塔表示,“我希望这份和解协议能向未遵守CCPA的企业发出一个强烈的信号——我的办公室在看着,我们会让你负责。”

CCPA要求,如果在发起针对企业的诉讼前,消费者提前30天向企业提供了书面通知,表明消费者指控的企业正在或已经违反法律,消费者可提起诉讼;如企业在30天内实际纠正了被通知的违规行为,并向消费者提供书面声明且不会再发生违规行为,则不得发起诉讼。

据报道,邦塔还向众多企业发出警告,指控其未能处理消费者通过启用GPC等功能提出的退出请求。该功能在消费者访问每个网站时,浏览器都会自动发送拒绝出售个人信息的信号,不必每进入一个网站都点击选择一次。他强调,目前收到警告的企业有30天的时间来纠正涉嫌违规行为,否则将面临司法部的强制措施。


转自 安全内参,原文链接:https://www.secrss.com/articles/46381

封面来源于网络,如有侵权请联系删除