DRONELIFE EXCLUSIVE: Uusi Kalifornian Yksityisyyslaki voisi muuttaa kaiken Drone – operaattoreille Yhdysvalloissa

Uusi Kalifornian yksityisyyslaki voisi muuttaa kaiken drone-operaattoreille osavaltiossa-ja sitä voitaisiin käyttää mallina koko maassa.

Seuraavassa on asianajotoimiston Mintz, Levin, Cohn, Ferris, Glovsky ja Popeo, P. C. asianajotoimiston vierailevana julkaisuna tämän teoksen ovat kirjoittaneet Cynthia Larose, Laura Stefani, Jonathan Markman ja Elana R. Safner.

Drone-operaattorit uuden haasteen edessä: CCPA

on vuosi 2020, eikä kristallipallo ole ainoa pudotettu. 1. tammikuuta aloitti uuden vuoden, uuden vuosikymmenen, ja täytäntöönpano Kalifornian Consumer Privacy Act of 2018 (”CCPA”). Vaikka yritykset, jotka ovat perinteisempiä keräilijöitä ja henkilötietojen käsittelijöitä (”PI”), ovat valmistautuneet CCPA: n täytäntöönpanopäivään, monet muut yritykset, jotka keräävät PI: tä vain sattumalta, saattavat joutua maan kauaskantoisimman tietosuojalain ekspansiivisen soveltamisalan ansaan.

mihin tämä jättää sellaiset yritykset kuin lennokkioperaattorit, jotka vain satunnaisesti luovat ja tallentavat kameramateriaalia, jossa on sellaisia henkilökohtaisia tietoja kuin kasvokuvia liiketoimintatarkoitustaan toteuttaessaan? Entä jos tällaiset yritykset eivät koskaan yritä tunnistaa näitä henkilötietoja? Kuten tässä artiklassa selitetään, tällaiset yritykset eivät ole täysin vapautettuja CCPA: n noudattamisesta, ja niiden on harkittava huolellisesti liiketoimintakäytäntöjään ja seuraavia toimia, jotta ne voivat noudattaa niitä.

tämä ongelma johtuu siitä, että CCPA määrittelee ”henkilötiedot” hyvin laajasti, kun taas määritelmään liittyvät poikkeukset – kuten julkisesti saatavilla olevat tiedot ja tunnistamattomat tiedot-on määritelty melko suppeasti. Nämä tahalliset valinnat Kalifornian lainsäätäjä tekee CCPA laajin Yhdysvaltain yksityisyyden laki tähän mennessä. Ne myös velvoittavat määriteltyjä yrityksiä ja palveluntarjoajia, jotka harjoittavat liiketoimintakäytäntöjä – kuten tahatonta kasvokuvien keräämistä – joihin muut Yhdysvaltain yksityisyyslait eivät yleensä olleet koskeneet. Tässä artiklassa esitetään kysymyksiä harkita ja joukko toimia kohteita tällaisten yritysten työskennellä kohti CCPA noudattamista.

miksi Drone-operaattoreiden pitäisi olla huolissaan?

CCPA koskee odottamattoman laajaa tietovalikoimaa. CCPA: ta koskeva väärinkäsitys on, että sitä sovelletaan vain siinä yhteydessä, kun kerätään suoraan henkilötietoja kuluttajilta esimerkiksi verkko-ostojen, hakuhistorioiden, evästeiden ja muiden käyttäytymisasetusten avulla. Todellisuudessa CCPA: n PI: n määritelmä luo paljon laajemman verkon. Se koskee myös PI: tä, joka kerätään verkossa ja offline-tilassa.

CCPA: n mukaan ”henkilötiedoilla” tarkoitetaan tietoja, jotka yksilöivät tietyn kuluttajan tai kotitalouden, liittyvät siihen tai kuvaavat sitä tai joilla voidaan kohtuudella olla suora tai välillinen yhteys tiettyyn kuluttajaan tai kotitalouteen.”Tämä sisältää muun muassa biometrisiä tietoja, kuten lennokkien kaappaamia kasvoja, valvontakameroita ja muita videotallennusvälineitä. ”Henkilökohtaiset tiedot” eivät sisällä julkisesti saatavilla olevia tietoja. Voisi järkevästi ajatella, että henkilön oleskelua ja näkymistä ulkona tai julkisella tontilla voitaisiin pitää julkisesti saatavilla olevana. CCPA on kuitenkin eri mieltä. Siinä todetaan, että ”’ublicly available’ ei tarkoita biometrisiä tietoja, joita yritys kerää kuluttajasta kuluttajan tietämättä.”Tämä tarkoittaa sitä, että valokuvat ja videot – ja myös audio–, lämpö -, hajuaisti-ja muut tiedot-kuuluvat henkilötietojen määritelmän piiriin. On tärkeää, että yrityksen ei tarvitse itse asiassa yhdistää videon avulla kerättyä pii-aineistoa kuluttajaan, vaan se voidaan kohtuudella yhdistää ”suoraan tai välillisesti”.

mutta emme tunnista tietoja!

näiden termien määritelmät herättävät paljon kysymyksiä siitä, miten CCPA: ta sovelletaan tietyissä yhteyksissä. Vaikka julkisesti saatavilla olevat tiedot on vapautettu henkilökohtaisten tietojen määritelmästä, näemme, että tämä ei välttämättä säästä lennokkioperaattoreita CCPA-vaatimusten noudattamiselta, kuten edellä on kuvattu. CCPA myöntää vapautuksen myös tunnistamattomista tiedoista. Varmasti tämä säästää drone yritykset ja muut keräilijät satunnaisia videomateriaalia CCPA velvoitteita? Tällaiset yritykset eivät loppujen lopuksi yhdistä keräämiään kasvoja todellisiin ihmisiin, saati yritä rakentaa minkäänlaista käyttäytymisprofiilia näiden tietojen perusteella.

Kalifornian lainsäätäjä harkitsi – eikä hyväksynyt – muutosta (AB-873), joka olisi ratkaissut asian. Tämä johtuu todennäköisesti siitä, että CCPA: n tarkoituksena oli osittain puuttua siihen riskiin, että vaikka PI: tä keräävä yritys ei pyri tunnistamaan sitä, PI voidaan murtaa ja tunnistaa uudelleen käyttämällä ulkopuolista aineistoa. AB-873 olisi puuttunut sellaisten yritysten, kuten droneyhtiöiden, operatiivisiin huolenaiheisiin, jotka keräävät PI: tä sattumanvaraisesti eikä tarkoituksellisesti tavanomaisen liiketoiminnan aikana. Tunnistamattomat tiedot eivät ole CCPA: n mukaan henkilötietoja, ja AB-873 olisi laajentanut ”tunnistamattomien” määritelmää sisältämään kaikki tiedot, jotka ”eivät tunnista eivätkä ole kohtuudella yhdistettävissä” kuluttajaan. Lainsäätäjä lopulta kavensi ”henkilökohtaisten tietojen” määritelmää siten, että se sisältää vain sellaista ”kohtuudella” tietoa, joka voidaan liittää kuluttajaan tai kotitalouteen, mikä antaa lennokkiyrityksille ja samalla tavalla sijoittuneille aihetta optimismiin. Ne voivat väittää, että toimenpiteet, joita niiden tai muiden yritysten olisi toteutettava tietojen yhdistämiseksi, eivät ole kohtuullisia. On kuitenkin epäselvää, mitä lakia tulkitsevat tuomioistuimet pitävät ” kohtuullisena.”On mahdollista, että joudumme turvautumaan täytäntöönpanotoimiin tulkitaksemme järkevyyden laajuutta.”Vankkojen kasvojentunnistustietokantojen avulla, jotka ovat nyt laajalti saatavilla, voidaan argumentoida kumpaan suuntaan tahansa.

CCPA herättää monia muitakin kysymyksiä. Voiko esimerkiksi laillisesti sallitulla korkeudella lentävä lennokki todella tallentaa kohtuullisen tunnistettavaa kuvamateriaalia kasvoista? Onko sillä väliä, pitääkö videota zoomata, jotta kasvot voidaan yhdistää kohtuudella yksilöihin? Onko kuluttajalla ” tietoa ”kuvamateriaalin tai biometristen tietojen keräämisestä – jolloin tiedot ovat” julkisesti saatavilla ” ja CCPA: n ulkopuolella – jos yritys julkaisee kylttejä, joissa todetaan, että videomateriaalia ja/tai valvontaa kerätään jollakin alueella? Jos on, niin kuinka monta merkkiä ja missä ne on asetettava tiedon laskemiseksi?

So What?

CCPA myöntää kuluttajille erilaisia oikeuksia, jotka koskevat yritysten hallussa olevia yksityishenkilöitä, mukaan lukien oikeus jättäytyä PI: n myynnin ulkopuolelle, oikeus tietää pi: stä kerätty tieto, oikeus tietojen siirrettävyyteen, oikeus pyytää henkilökohtaisten tietojen poistamista ja oikeus syrjimättömyyteen siitä, että he ovat käyttäneet lain mukaisia oikeuksiaan. Lisäksi lukuisia vaatimuksia siitä, miten kuluttajille on tiedotettava näistä oikeuksista tietosuojailmoitusten avulla, yritykset kohtaavat myös haasteen luoda liiketoimintaprosesseja näiden pyyntöjen noudattamiseksi, kun ne saavat ne.

nämä haasteet ovat erityisen vakavia yrityksille, kuten lennokkioperaattoreille, jotka eivät käsittele sellaisia tietoja, joita CCPA alun perin pitää PI: n kaltaisina. Merkittävää on, että Kalifornian oikeusministerin äskettäinen luonnos CCPA: ta koskevaksi asetukseksi selvensi, että ”jos yritys ylläpitää kuluttajatietoja, jotka on de-identifioitu, yritys ei ole velvollinen antamaan tai poistamaan näitä tietoja vastauksena kuluttajan pyyntöön tai tunnistamaan yksittäisiä tietoja uudelleen kuluttajan pyynnön tarkistamiseksi.”Yritysten tulisi välttää uusien henkilötietojen keräämistä, ellei se ole tarpeen asiakkaiden pyyntöjen tarkistamiseksi. Tämä voisi tukea drone – tai valvontayritysten väitteitä siitä, että ne eivät yksinkertaisesti voi täyttää asiakkaiden oikeutta tietää tai oikeutta poistaa pyyntöjä, koska ne eivät voi tarkistaa pyynnön esittäjän henkilöllisyyttä tai tunnistaa uudelleen kuvamateriaalia saamatta uutta PI: tä. Tämä on avoin kysymys, johon ei ole tällä hetkellä selkeää vastausta CCPA: n puitteissa, ja on epäselvää, katsotaanko sumentamattomia kasvotietoja tunnistamattomiksi.

Action Items

antaen jonkinlaisen käsityksen Kalifornian suunnitellusta lainvalvonnasta, oikeusministeri Xavier Becerra sanoi ”tulemme katsomaan ystävällisesti niitä, jotka . . . osoita pyrkimyksesi totella.”Tämä tarkoittaa, että vaikka yritykset eivät kohtuudella pysty täyttämään kaikkia kuluttajien pyyntöjä, niiden pitäisi silti tehdä kaikkensa noudattaakseen muita lain osia.

CCPA: n toteutukseen valmistautumiseksi valvonta-ja lennokkiyhtiöiden tulisi:

• päivittää tietosuojakäytäntöjään selittämään prosessejaan, asiakkaan oikeuksia, PI: n satunnaista keräämistä ja muuta tietojen käyttöä ”selkokielellä”
• tarkistaa tietosuojakäytäntöjään kertoakseen asiakkaille, että he eivät myy PI: tä (jos he eivät itse asiassa myy)
• tarkistaa PI: n keräämisen liiketoiminnalliset tarkoitukset ja varmistaa, että heidän säilyttämiskäytäntönsä on voimassa vain ajan, joka ei ole tarpeen näihin tarkoituksiin
• De-identifioi niin paljon tietoa kuin liiketoiminnalliset tavoitteet sallivat, mukaan lukien kasvojen sumentaminen aina kun mahdollista.Näihin kuuluvat:
  • toteuttaa teknisiä suojatoimia, jotka kieltävät tiedon kohteena olevan kuluttajan uudelleen tunnistamisen,
  • toteuttaa liiketoimintaprosesseja, jotka nimenomaan kieltävät tiedon uudelleen tunnistamisen,
  • toteuttaa liiketoimintaprosesseja estääkseen tunnistamattomien tietojen tahattoman luovuttamisen ja
  • ei yritä tunnistaa tietoja uudelleen.
• Jos he ovat palveluntarjoajia, tarkistavat yritysasiakkaidensa kanssa tekemänsä sopimukset
• toteuttavat prosessit, joilla asiakkaat voivat esittää pyyntöjä ja käyttää lain mukaisia oikeuksiaan
• , jos tiettyjä pyyntöjä tai pyyntöluokkia ei voida täyttää yrityksen tiedonkeruun luonteen vuoksi, määrittävät, miten ne käsitellään. Pyyntöjä ei voi jättää huomiotta!

Mitä seuraavaksi?

siirtyminen ei näytä sujuvan ongelmitta. Koska laki on laaja ja monet kysymykset se jättää vastaamatta, monet yritykset eivät todennäköisesti edes tajua, että laki koskee niitä. Osterman Researchin ja Egress Software Technologiesin marraskuussa julkaiseman kyselyn mukaan vain 48 prosenttia yrityksistä kertoi noudattavansa vaatimuksia vuoden 2019 loppuun mennessä. Mutta mahdolliset rangaistukset jopa $2,500 per rikkomus tai $7,500 per tahallinen rikkomus, valmistautumattomat yritykset ottavat suuren liiketoimintariskin. Oikeusministeri Becerra antaa CCPA: n mukaisia seuraamuksia vasta 1.heinäkuuta 2020, jolloin yrityksille annetaan kuusi kuukautta lisää aikaa sopeutua uusiin vaatimuksiin. Mutta jos merkittäviä rikkomuksia tapahtui kyseisen kuuden kuukauden jakson aikana, NEUVONANTORYHMÄLLÄ on harkintavalta ” ottaa yhteyttä takaisin.”Tarjoamalla yrityksille toinen pieni piste lohtua, CCPA valtuuttaa yksityisen oikeuden toimia vain rikkomuksista, joihin ei-sensuroitu ja salaamaton PI Kalifornian kuluttajien, ei muiden CCPA rikkomuksia.

monet yritykset mainitsevat lukuisat harmaat alueet ja epäselvyyden suurena esteenä sääntöjen noudattamiselle. Neuvonantoryhmän toimiston julkaisemissa asetuksissa selvennettiin joitakin kysymyksiä, mutta monet CCPA: n täytäntöönpanoon liittyvät kysymykset ovat edelleen ratkaisematta. Neuvonantoryhmän toimisto tarkastelee nyt asetusluonnoksistaan saamiaan julkisia kommentteja, mutta näyttää todennäköiseltä, että lain vastaamattomat kysymykset ratkaistaan ulosottotoimilla, oikeudenkäynneillä tai mahdollisesti lainsäädännöllisillä selvennyksillä hyvissä ajoin sen jälkeen, kun laki on tullut voimaan. Se tarkoittaa, että yritysten on löydettävä näköyhteys ja lennettävä eteenpäin sumun läpi.

tämän artikkelin kirjoittivat seuraavat Mintzin, Levinin, Cohnin, Ferrisin, Glovskin ja Popeon edustajat P. C.

Cynthia Larose on Mintzin Privacy & Cybersecurity Practice, Certified Information Privacy Professional-US (CIPP-US), ja Certified Information Privacy Professional-Europe (CIPP-E). Hän työskentelee eri toimialojen asiakkaiden kanssa kehittääkseen kattavia tietoturvaohjelmia etupäässä, ja antaa ajankohtaisia neuvoja, kun on tarpeen vastata tietomurtoon.

Laura Stefani neuvoo asiakkaita, jotka pyrkivät tuomaan markkinoille uusia langattomia teknologioita sääntelykysymyksissä. Hänen painopistealueitaan ovat luvattomat ja lisensoidut langattomat teknologiat, miehittämättömät ilma-alukset, satelliitti, lääketieteelliset laitteet ja esineiden Internet.

Jonathan Markman keskittyy langattomaan ja kehittyvään teknologiaan painottuen erityisesti UAS: iin (tunnetaan yleisesti nimellä drones) ja langattomaan taajuuteen. Hänellä on kokemusta FCC: n ja FAA: n menettelyistä ja sääntöyrityksistä, virallisista ja epävirallisista valituksista ja FCC: n tutkimuksista sekä hakemusten jättämisestä ja syytteeseenpanosta FCC: n ja FAA: n kanssa.

Elana Safner (CIPP-US) neuvoo asiakkaita techcomm-alaa koskevissa yleisissä toimintaperiaatteissa, sääntelyyn liittyvissä kysymyksissä ja kiistoissa sekä yksityisyyteen ja kyberturvallisuuteen liittyvissä asioissa. Hänellä on myös kokemusta FCC: n menettelyistä ja sääntömuutoksista.