你们的隐私声明还停留在 90 年代吗？

那么，为什么这项已有数十年历史的法规是2024年执法行动的一部分呢？

为什么？简单地说，因为法律突然要求任何在加州拥有可访问网站的公司发布公共隐私政策，其中包括我们今天熟悉的关于收集、使用和共享个人数据的许多基线披露。不这样做直接违反了CalOPPA，也没有在其发布的通知中准确反映公司的隐私做法。

要求发布详细的隐私通知改变了游戏规则，不是因为它让消费者更加知情，而是因为它提供了监管机构可以通过《联邦贸易委员会法》等一般消费者保护法来执行隐私承诺。

《联邦贸易委员会法》第5条禁止伤害消费者的不公平和欺骗性行为。美国联邦贸易委员会证明网站运营商有欺骗性行为或做法的方法之一是证明运营商的隐私声明是虚假的、误导性的或不完整的。

简单的失实陈述甚至遗漏也可能违反第5条的欺骗规定。所有50个州都有类似的消费者保护法，统称为UDAP法规。

这条法律道路为美国前二十年的隐私执法奠定了基础。随着隐私实践的成熟，联邦贸易委员会也依赖于其他类型的欺骗，越来越多地依赖于不公平理论。

即使加利福尼亚州对其隐私法进行了现代化改造，CalOPPA仍然有效。当加利福尼亚州总检察长调查DoorDash的隐私行为，包括其涉嫌与营销合作社共享个人数据时，CalOPPA是该公司隐私通知中基本遗漏的相关钩子。

根据CCPA，DoorDash案件的主要结论是，将数据作为营销合作社的一部分被视为“销售”，因此必须与消费者选择退出的机会一起披露。

在CalOPPA的领导下，如果您的公司与第三方共享个人数据，即使是作为集体安排的一部分，也必须在您的隐私声明中披露这一事实。

正如司法部长所声称的那样，在相关时间段内，该公司的隐私声明从未解释“其他企业——比如营销合作组织成员——可以联系DoorDash的客户，为他们的企业做广告。”

这个案例很好地提醒了人们隐私的基本知识，包括在撰写和审查隐私通知时“像监管机构一样思考”的基本教训。

重大遗漏不仅仅是CalOPPA等法律要求具体披露的问题。联邦贸易委员会提出了许多基于疏漏的隐私案件，包括Goldenshores手电筒应用程序案。

在人工智能时代，随着消费者披露信息赶上新的监管预期，更认真地思考实践和承诺之间的潜在差距是很重要的。

例如，谷歌最近对其公共隐私政策的一些更新与该公司将个人数据用于人工智能系统有关，该公司通过其透明度努力使其可读。

上个月，联邦贸易委员会就与个人和机密数据有关的虚假陈述和遗漏向人工智能开发者发出了明确警告。在谈到Everalbum案时，联邦贸易委员会煞费苦心地提到，“一家公司未能向客户披露的信息可能与其承诺的内容一样重要。

联邦贸易委员会可以也确实会对那些遗漏了会影响客户是否购买特定产品的重大事实的公司提起诉讼，例如，一家公司如何收集和使用来自客户的数据。”随着消费者越来越担心他们的数据被用于训练模型，以及其他可能的人工智能危害，需要更新披露信息。

Signs point to… unfair surveillance advertising. 随着本周针对安全软件公司Avast的一项重大同意令，联邦贸易委员会正在继续证明，根据《联邦贸易委员会法》第5条，与消费者网络浏览行为有关的一些商业活动是不公平的。

这不仅应该引起个别公司的注意，尤其是当补救措施包括数据泄露和1650万美元的消费者赔偿金时，而且联邦贸易委员会预期的商业监控和数据安全NPRM可能会试图提出这样的论点，即类似的有害做法在市场上普遍存在，因此应该根据其即将出台的贸易监管规则完全禁止。

与Avast订单相关的是与通知、选择、数据保留以及在将跟踪数据出售给第三方之前正确聚合和取消识别相关的所谓失误。

CIPP/US的IAPP Westin研究员Andrew Folks揭示了COPPA拟议更新中的重大收获。与此相关的是，我在最近的LinkedIn Live上与两位儿童隐私专家就同一主题进行了交谈。

一份关于人工智能治理最佳实践的新报告。信息政策领导力中心发布了一份基于对20家公司的定性采访的报告，将其人工智能治理计划与CIPL自己的问责框架进行了映射。该报告强调了人工智能治理的新趋势，这可以作为其他寻求推出稳健计划的组织的有用基准。