新闻资讯

《加利福尼亚隐私权法案》（CPRA）修改了同意规则。尽管修改后的同意规则与欧盟的《通用数据保护条例》（GDPR）的规定基本一致，但前者仅在有限的情形下才要求企业取得用户的同意。在需要同意的情形，CPRA采取了更高的标准，因而许多企业需要在其网站和移动应用程序上采用新的同意机制。

同意的新标准：

从历史上来看，美国的隐私法要求对特定类型的个人信息(比如从针对13岁以下儿童的网站收集的个人信息、健康信息或学生记录时)进行选择性同意。现在，加州已经改变了这种模式，CPRA要求为特定目的而收集或使用任何类型的个人信息时，都需要更高的同意标准。

CPRA将“同意”定义为“任何自由作出的、具体的、知情的、明确的基于消费者意愿的指示……例如通过一份声明或明确的授权行为表示同意基于有限的特定目的而处理与其相关的个人信息。”该定义还明确指出，某些行为不属于同意，包括:

1.消费者实施的一般行为，例如对广泛的使用条款表示同意，这些条款将个人信息处理与其他无关信息一起描述；

2.“悬停、静音、暂停或关闭特定内容”或者使用所谓的“暗模式”来操纵或误导消费者以诱使其同意。

CPRA中同意规则的核心要素在很大程度上借鉴了GDPR第4条关于同意的规定。尽管即将出台的法规可能会阐明加利福尼亚总检察长（AG）对每个要素的看法，但企业在为CPRA的实施做准备工作时，可以借鉴GDPR中关于同意的规定。

CPRA和GDPR关于同意的定义中都使用了“自由作出、具体、知情且明确的指示”这些短语。根据GDPR的规定，“自由作出”意味着必须向消费者提供真正的选择机会。所谓的“接受或放弃”同意书或以同意为使用条件的其他类型的服务通常不能被视为有效的同意。此外，消费者撤回同意应当与作出同意一样容易。GDPR规定的“特定且知情的”同意意味着，消费者不仅应该对请求同意的主体有清楚的认识，而且应该对从他们那里收集到的数据以及使用这些数据的特定目的有清楚的认识。因而，同意书不应与其他条款或条件捆绑在一起。

最后，GDPR下的“明确”同意应当理解为消费者必须进行积极的作为。不能从沉默、不作为或使用预选框等方式推断消费者的同意。所采取的措施必须清楚地表明消费者的选择。

鉴于CPRA和GDPR用语的相似，如果加州公司或加州隐私保护局（CPPA）也对同意的标准进行类似的解释，企业不必感到惊讶。关于CPRA同意标准的其他部分，例如“明确肯定的行为”和“狭义的特定目的”，我们支持参照 GDPR进行理解和应用。

评估当前的同意方式：

《加州消费者隐私法》（CCPA）不仅未明确定义“同意”，而且在各个用例中使用不同的术语来描述必要的同意。CPRA规定的新的同意标准可以澄清何时需要同意以及哪些行为属于（或不属于）适格的同意行为。

根据新的同意标准，为满足CPRA中规定的“自由作出、具体、知情且明确的指示”等要求，企业应评估现有的同意机制，并确定是否应修改这些机制。尤其是，企业应考虑如何从先前选择拒绝同意的用户那里获取同意。例如，许多企业获得同意的首选方法是规定广泛的使用条款，CPRA中的同意明确排除该种方法。

CPRA不允许使用“暗模式”，其承诺将在即将出台的其他法规中阐明这一概念。尽管“暗模式”的概念还不清晰，但是企业应当立刻放弃一些常见的“暗模式”。比如，插入伪装性广告，在免费试用的订阅中拒绝阐明订阅的连续性，或在其他不相关内容中嵌入预选项。CCPA的最新修正案有效地禁止了一些针对选择性退出的暗模式，可以进一步阐明应该避免的行为：使用双重否定，要求消费者审查给予同意的理由或取得同意的意思。

企业希望进一步了解如何辨别消费者的同意是否有效，以及需要采取何种机制来确保在进一步收集和出售这些消费者数据之前能够获得足够的同意。事实上，这可能需要调整企业的网站，移动应用程序或隐私策略，从而根据消费者对“选择退出选项”的选择来判断其是否作出了有效的同意。以弹出窗口或定向电子邮件的形式获得同意时，企业应当注意到GDPR在进行类似选择同意时产生的“同意疲劳”的问题。

来源：数据法律资讯