DRONELIFE EXCLUSIVE: En Ny California-Personvernlov Kan Forandre Alt for Droneoperatører i USA

en ny california-personvernlov kan forandre alt for droneoperatører i staten-og kan brukes som modell over hele landet.dette er et gjestepost av advokater Fra advokatfirmaet Mintz, Levin, Cohn, Ferris, Glovsky og Popeo, Pc Dette stykket ble forfattet Av Cynthia Larose, Laura Stefani, Jonathan Markman og Elana R. Safner.

Droneoperatører Står overfor En Ny Utfordring: CCPA

DET er 2020, og krystallkulen er ikke det eneste som falt. 1. januar innledet et nytt år, et nytt tiår og implementering Av California Consumer Privacy Act of 2018 («CCPA»). Mens bedrifter som er mer tradisjonelle samlere og prosessorer av personlig informasjon («PI») har forberedt SEG PÅ CCPAS implementeringsdato, kan mange andre selskaper som bare samler PI tilfeldigvis finne seg fanget av det ekspansive omfanget av landets mest vidtgående personvernlovgivning.

Hvor forlater dette selskaper som droneoperatører som bare tilfeldigvis lager og lagrer kamerafilmer med slik personlig informasjon som bilder av ansikter i løpet av deres forretningsformål? Hva om slike selskaper aldri gjør noe for å identifisere den personlige informasjonen? Som denne artikkelen vil forklare, slike selskaper er ikke helt fritatt fra samsvar MED CCPA og må nøye vurdere sin forretningspraksis og neste skritt for å komme i samsvar.

DETTE problemet oppstår fordi CCPA definerer «personlig informasjon» svært bredt, mens unntak fra definisjonen – som offentlig tilgjengelig informasjon og avidentifisert informasjon-er definert ganske smalt. Disse bevisste valgene Fra Californias lovgivende forsamling gjør CCPA TIL DEN mest ekspansive amerikanske personvernloven til dags dato. De tildeler også forpliktelser til definerte bedrifter og tjenesteleverandører som driver forretningspraksis – for eksempel utilsiktet samling av bilder av ansikter – som generelt hadde vært uberørt av andre personvernlover i Usa. Denne artikkelen beskriver problemer du bør vurdere og et sett med gjøremål for slike bedrifter å arbeide mot CCPA samsvar.

Hvorfor Skal Droneoperatører Være Bekymret?

CCPA gjelder for et uventet bredt spekter av data. En misforståelse om CCPA er at DEN bare gjelder i sammenheng med direkte innsamling av personlig informasjon fra forbrukere gjennom metoder som online kjøp, søkehistorikk, informasjonskapsler og andre atferdspreferanser. I VIRKELIGHETEN kaster CCPAS definisjon AV PI et mye bredere nett. DET gjelder OGSÅ FOR PI samlet på og offline.

UNDER CCPA er» personlig informasjon «definert som» informasjon som identifiserer, relaterer seg til, beskriver, med rimelighet kan knyttes til eller med rimelighet kan knyttes direkte eller indirekte til en bestemt forbruker eller husholdning.»Dette inkluderer blant annet biometrisk informasjon som ansikter fanget av droner, overvåkningskameraer og andre former for videoopptak. «Personlig informasjon» utelukker spesifikt offentlig tilgjengelig informasjon. Man kan med rimelighet tro at tilstedeværelse og visage av en person utendørs eller på offentlig eiendom kan anses offentlig tilgjengelig. CCPA tar imidlertid en annen posisjon. «Ublikly tilgjengelig» betyr ikke biometrisk informasjon samlet inn av en bedrift om en forbruker uten forbrukerens kunnskap.»Dette betyr at bilder og video – og også lyd, termisk, olfaktorisk og annen data-faller under definisjonen av personlig informasjon. Det er viktig at PI som samles inn av video, ikke må være koblet av virksomheten til forbrukeren, bare rimelig i stand til å være koblet «direkte eller indirekte».

Men Vi Identifiserer Ikke Dataene!

definisjonene av disse begrepene reiser mange spørsmål om HVORDAN CCPA vil bli brukt i visse sammenhenger. Selv om offentlig tilgjengelig informasjon er unntatt fra definisjonen av personopplysninger, ser vi at dette ikke nødvendigvis sparer droneoperatører FRA CCPA-overholdelse,som beskrevet ovenfor. CCPA fritar også avidentifisert informasjon. Sikkert dette vil spare drone selskaper og andre samlere av tilfeldige videoopptak FRA CCPA forpliktelser? Slike selskaper knytter ikke ansiktene de har samlet til faktiske mennesker, langt mindre forsøk på å bygge noen form for atferdsprofil basert på den informasjonen.California legislature vurderte-og passerte ikke – en endring (AB-873) som ville ha løst dette problemet. DET er sannsynlig fordi CCPA delvis var ment å adressere risikoen for at SELV om virksomheten som samler PI ikke forsøker å identifisere DEN, KAN PI bli brutt og gjenidentifisert ved hjelp av et eksternt datasett. AB-873 ville ha adressert de operasjonelle bekymringene til bedrifter som drone selskaper som samler PI forresten, i stedet for forsettlig i løpet av virksomheten. Avidentifisert informasjon anses ikke som personlig informasjon UNDER CCPA, OG AB-873 ville ha utvidet definisjonen av «avidentifisert» til å inkludere informasjon som «ikke identifiserer og ikke er rimelig koblingsbar»til en forbruker. Lovgiver gjorde slutt begrense definisjonen av «personlig informasjon» for å inkludere bare informasjon «rimelig» i stand til å bli assosiert med en forbruker eller husholdning, som gir drone selskaper og de tilsvarende ligger grunn til optimisme. De kan være i stand til å hevde at trinnene de eller andre selskaper må ta for å faktisk koble informasjonen deres, ikke er rimelige. Det er uklart, derimot, hva domstolene tolke loven vil vurdere » rimelig.»Det er mulig at vi må stole på håndhevelseshandlinger for å tolke omfanget av» rimelighet.»Med robuste ansiktsgjenkjenningsdatabaser som nå er allment tilgjengelige, kan et argument gjøres uansett.

CCPA reiser mange andre spørsmål. For eksempel kan en drone som flyr på lovlig tillatt høyde faktisk fange rimelig identifiserbar opptak av ansikter? Teller det om videoen må zoomes inn for å gjøre ansiktene rimelig koblingsbare til enkeltpersoner? Har en forbruker «kunnskap» om samlingen av opptak eller biometrisk informasjon – og dermed gjøre informasjonen «offentlig tilgjengelig» og utenfor CCPA-hvis et selskap poster tegn som sier at videoopptak og/eller overvåking er samlet inn i et område? I så fall, hvor mange tegn og hvor må de bli lagt ut for å tilregne kunnskap?

Hva så ?

CCPA gir forbrukerne ulike rettigheter med hensyn til DERES PI som eies av bedrifter, inkludert rett til å velge bort salg av PI, rett til å kjenne PI som er samlet om dem, rett til dataportabilitet, rett til å be om sletting av personlig informasjon og rett til ikke-diskriminering for å ha utøvd sine rettigheter i henhold til loven. I tillegg til mange krav om hvordan forbrukere må gjøres oppmerksomme på disse rettighetene gjennom personvernerklæringer, vil selskaper også møte utfordringen med å skape forretningsprosesser for å overholde disse forespørslene når de mottar dem.

disse utfordringene er spesielt akutte for bedrifter som droneoperatører, som ikke behandler den typen informasjon SOM CCPA vurderer PI i utgangspunktet. Betydelig, California Attorney General nylige utkast til forskrift OM CCPA avklart at » f en bedrift opprettholder forbrukerinformasjon som er avidentifisert, er en bedrift ikke forpliktet til å gi eller slette denne informasjonen som svar på en forbrukerforespørsel eller å re-identifisere individuelle data for å verifisere en forbrukerforespørsel.»Bedrifter bør unngå å samle inn nye personopplysninger, med mindre det er nødvendig for verifisering av kundeforespørsler. Dette kan støtte argumenter fra drone-eller overvåkingsvirksomheter om at de rett og slett ikke kan tilfredsstille kundenes rett til å vite eller rett til å slette forespørsler fordi de ikke kan bekrefte identiteten til forespørgeren eller identifisere opptaket uten å skaffe seg ny PI. DETTE er et åpent problem som DET for ØYEBLIKKET ikke er noe klart svar under CCPA, og det er uklart om uklare ansiktsdata vil bli vurdert som avidentifiserte.

Action Items

Gi litt innsikt I Californias planlagte håndheving av loven, Justisminister Xavier Becerra sa » vi vil se vennlig på de som . . . demonstrere en innsats for å overholde.»Det betyr at selv om bedrifter ikke er rimelig i stand til å tilfredsstille alle forbrukerforespørsler, bør de fortsatt gjøre sitt ytterste for å overholde andre deler av loven.

for å forberede CCPA implementering, overvåking og drone selskaper bør:

• Oppdatere sine retningslinjer for PERSONVERN for å forklare sine prosesser, kundens rettigheter, tilfeldig innsamling AV PI, OG andre data bruker i «vanlig engelsk»
• Revidere sine retningslinjer for personvern for å la kundene vet at de ikke selger PI (hvis, faktisk, de ikke)
• Gjennomgå forretningsformål deres pi samling, og sikre at deres oppbevaringspolitikk er for en periode ikke lenger enn nødvendig for disse formålene
• De-identifisere så mye data som forretningsmål tillater, inkludert uskarpe ansikter når det er mulig.Dette inkluderer:
  • implementeringstekniske garantier som forbyr re-identifikasjon av forbrukeren som informasjonen kan gjelde,
  • implementere forretningsprosesser som spesifikt forbyr re-identifikasjon av informasjonen,
  • implementere forretningsprosesser for å hindre utilsiktet utgivelse av avidentifisert informasjon, og
  • gjør ingen forsøk på å re-identifisere informasjonen.
• Hvis de er tjenesteleverandører, gjennomgå avtalene deres med forretningskundene
• Implementer prosesser for at kundene skal legge inn forespørsler og utøve sine rettigheter i henhold til loven
• hvis visse forespørsler, eller kategorier av forespørsler, ikke kan oppfylles på grunn av arten av virksomhetens datainnsamling, avgjør hvordan de skal håndteres. Forespørsler kan ikke bare ignoreres!

Hva Er Neste?

overgangen ser ikke ut til å være jevn. På grunn av lovens brede omfang og de mange spørsmålene det går ubesvart, innser mange bedrifter sannsynligvis ikke engang at loven vil gjelde for dem. En undersøkelse Utgitt i November av Osterman Research Og Egress Software Technologies fant at bare 48 prosent av selskapene sa at de ville være kompatible innen utgangen av 2019. Men med potensielle straffer på opptil $2500 per overtredelse eller $ 7500 per forsettlig brudd, tar uforberedte bedrifter en stor forretningsrisiko. Attorney General Becerra vil ikke utstede noen straffer under CCPA til 1. juli 2020, noe som gir selskapene ytterligere seks måneder til å tilpasse seg de nye kravene. Men hvis betydelige brudd oppstod i løpet av den seks måneders perioden, BEHOLDER AG skjønn til å » komme tilbake.»VED å tilby selskaper et annet lite poeng av trøst, autoriserer CCPA en privat rett til handling bare for brudd som involverer Ikke-redigerte OG ukrypterte PI Av california-forbrukere, ikke for ANDRE CCPA-brudd.

Mange bedrifter sitere de mange gråsoner og mangel på klarhet som et stort hinder for etterlevelse. Forskriftene utgitt AV AGS kontor avklarte noen problemer, men mange spørsmål om CCPA-implementering forblir uløste. AGS kontor vurderer nå de offentlige kommentarene det mottok på utkastet til forskrifter, men det virker sannsynlig at de ubesvarte spørsmålene i loven vil bli løst gjennom håndhevelseshandlinger, rettssaker eller muligens lovgivende avklaringer godt etter at loven har trådt i kraft. Det betyr at bedrifter må finne en synslinje og fly fremover gjennom tåken.følgende representanter For Mintz, Levin, Cohn, Ferris, Glovsky og Popeo, P. C. forfattet denne artikkelen.

Cynthia Larose Er Leder Av Mintz Personvern& Cybersecurity Practice, En Sertifisert Informasjon Personvern Profesjonell-USA (CIPP-US), Og En Sertifisert Informasjon Personvern Profesjonell-Europa (CIPP-E). Hun jobber med kunder i ulike bransjer for å utvikle omfattende informasjonssikkerhetsprogrammer på forsiden, og gir rettidig råd når det blir nødvendig å svare på et datainnbrudd.

Laura Stefani råder kunder som ønsker å bringe nye trådløse teknologier til markedet på regulatoriske spørsmål. Hennes fokusområder inkluderer ulisensiert og lisensiert trådløs teknologi, ubemannede fly, satellitt, medisinsk utstyr og Tingenes Internett.

Jonathan Markman fokuserer på trådløse og nye teknologier, med særlig vekt PÅ UAS (kjent som droner) og trådløst spektrum. Han har erfaring med fcc og FAA prosedyrer og rulemakings, formelle og uformelle klager, og fcc undersøkelser, samt innlevering og påtale søknader med FCC og FAA.

Elana Safner (CIPP-US) rådgiver klienter om offentlig politikk, regulatoriske spørsmål og tvister som påvirker TechComm-sektoren, samt personvern og cybersikkerhet. Hun har også erfaring med FCC prosedyrer og rulemakings.