DRONELIFE EXCLUSIVE: en ny California Privacy Law kan ändra allt för droneoperatörer i USA

en ny California privacy law kan ändra allt för droneoperatörer i staten – och kan användas som modell över hela landet.

Följande är ett gästinlägg av advokater från advokatbyrån Mintz, Levin, Cohn, Ferris, Glovsky och Popeo, P. C. Detta stycke författades av Cynthia Larose, Laura Stefani, Jonathan Markman och Elana R. Safner.

droneoperatörer står inför en ny utmaning: CCPA

det är 2020, och kristallkulan är inte det enda som tappade. 1 januari inledde ett nytt år, ett nytt decennium och genomförandet av California Consumer Privacy Act of 2018 (”CCPA”). Medan företag som är mer traditionella samlare och processorer av personlig information (”PI”) har förberett sig för CCPA: s implementeringsdatum, kan många andra företag som samlar in PI bara tillfälligt finna sig insnärjda av den expansiva omfattningen av landets mest långtgående datasekretesslag.

var lämnar detta företag som droneoperatörer som bara tillfälligt skapar och lagrar kamerafilmer med sådan personlig information som bilder av ansikten under genomförandet av deras affärsändamål? Vad händer om sådana företag aldrig gör några ansträngningar för att identifiera den personliga informationen? Som denna artikel kommer att förklara är sådana företag inte helt undantagna från överensstämmelse med CCPA och måste noggrant överväga sina affärsmetoder och nästa steg för att komma i överensstämmelse.

detta problem uppstår eftersom CCPA definierar ”personlig information” mycket brett, medan undantag från definitionen – som allmänt tillgänglig information och avidentifierad information-definieras ganska snävt. Dessa avsiktliga val av Kaliforniens lagstiftare gör CCPA till den mest expansiva amerikanska sekretesslagen hittills. De tilldelar också skyldigheter till definierade företag och tjänsteleverantörer som bedriver affärspraxis – till exempel oavsiktlig insamling av bilder av ansikten – som i allmänhet hade varit orörda av andra sekretesslagar i USA. Den här artikeln innehåller frågor att överväga och en uppsättning åtgärdspunkter för sådana företag att arbeta mot CCPA-efterlevnad.

varför ska droneoperatörer vara oroliga?

CCPA gäller för ett oväntat brett spektrum av data. En missuppfattning om CCPA är att den endast gäller i samband med direkt insamling av personlig information från konsumenter genom metoder som onlineköp, sökhistorik, cookies och andra beteendepreferenser. I verkligheten kastar CCPA: s definition av PI ett mycket bredare nät. Det gäller även PI samlas på och offline.

under CCPA definieras ”personlig information” som ”information som identifierar, relaterar till, beskriver, rimligen kan associeras med eller rimligen kan kopplas direkt eller indirekt till en viss konsument eller ett visst hushåll.”Detta inkluderar bland annat biometrisk information som ansikten fångade av drönare, övervakningskameror och andra sätt att spela in video. ”Personlig information” utesluter specifikt offentligt tillgänglig information. Man kan rimligen tro att närvaron och visage av en person utomhus eller på offentlig egendom kan anses vara allmänt tillgänglig. CCPA tar dock en annan position. ”Ublicly tillgänglig” betyder inte biometrisk information som samlas in av ett företag om en konsument utan konsumentens vetskap.”Det betyder att foton och video – och även ljud–, termiska, olfaktoriska och andra data-faller under definitionen av personlig information. Det är viktigt att den PI som samlas in via video inte behöver vara faktiskt kopplad av verksamheten till konsumenten, endast rimligt kapabel att kopplas ”direkt eller indirekt”.

men vi identifierar inte Data!

definitionerna av dessa termer väcker många frågor om hur CCPA kommer att tillämpas i vissa sammanhang. Även om offentligt tillgänglig information är undantagen från definitionen av personlig information ser vi att detta inte nödvändigtvis sparar droneoperatörer från CCPA-överensstämmelse, som beskrivits ovan. CCPA undantar också avidentifierad information. Visst kommer detta att spara drone företag och andra samlare av tillfälliga videofilmer från CCPA skyldigheter? Sådana företag inte, trots allt, länka ansikten de har samlat till faktiska människor, mycket mindre försök att bygga någon form av beteendeprofil baserat på den informationen.

Kaliforniens lagstiftare övervägde – och godkände inte-ett ändringsförslag (AB-873) som skulle ha löst denna fråga. Detta beror sannolikt på att CCPA delvis var avsett att ta itu med risken att även om det företag som samlar in PI inte försöker identifiera det, kan PI brytas och identifieras på nytt med hjälp av en extern dataset. AB – 873 skulle ha tagit upp de operativa problemen hos företag som droneföretag som samlar in PI förresten, snarare än avsiktligt under den normala verksamheten. Avidentifierad information anses inte vara personlig information enligt CCPA, och AB-873 skulle ha utvidgat definitionen av ”avidentifierad” för att inkludera all information som ”inte identifierar och inte är rimligt länkbar” till en konsument. Lagstiftaren begränsade så småningom definitionen av ”personlig information” för att endast inkludera information ”rimligt” som kan associeras med en konsument eller ett hushåll, vilket ger droneföretag och de som ligger på samma sätt anledning till optimism. De kanske kan hävda att de åtgärder de eller andra företag skulle behöva vidta för att faktiskt länka sin information inte är rimliga. Det är dock oklart vilka domstolar som tolkar lagen kommer att överväga ” rimligt.”Det är möjligt att vi kommer att behöva förlita sig på verkställighetsåtgärder för att tolka omfattningen av ”rimlighet.”Med robusta ansiktsigenkänningsdatabaser nu allmänt tillgängliga kan ett argument göras på något sätt.

CCPA väcker många andra frågor. Till exempel kan en drone som flyger på den lagligt tillåtna höjden faktiskt fånga rimligt identifierbara bilder av ansikten? Räknas det om videon måste zoomas in för att göra ansikten rimligt länkade till individer? Har en konsument ”kunskap ”om insamling av bilder eller biometrisk information – vilket gör informationen” allmänt tillgänglig ” och utanför CCPA – om ett företag lägger upp tecken på att videofilmer och/eller övervakning samlas in i ett område? Om så är fallet, hur många tecken och var måste de läggas ut för att tillskriva kunskap?

Så vad?

CCPA ger konsumenterna olika rättigheter med avseende på deras PI som innehas av företag, inklusive rätt att välja bort försäljning av PI, rätt att känna till PI som har samlats in om dem, rätt till dataportabilitet, rätt att begära radering av personuppgifter och rätt till icke-diskriminering för att ha utövat sina rättigheter enligt lagen. Förutom många krav på hur konsumenter måste göras medvetna om dessa rättigheter genom sekretessmeddelanden, kommer företag också att möta utmaningen att skapa affärsprocesser för att följa dessa förfrågningar när de tar emot dem.

dessa utmaningar är särskilt akuta för företag som droneoperatörer, som inte behandlar den typ av information som CCPA anser PI i första hand. Betydande, California Attorney General senaste utkast till förordningar om CCPA klargjorde att ” f ett företag upprätthåller konsumentinformation som avidentifieras, ett företag är inte skyldig att tillhandahålla eller ta bort denna information som svar på en konsument begäran eller att åter identifiera enskilda uppgifter för att verifiera en konsument begäran.”Företag bör undvika att samla in ny personlig information, såvida det inte är nödvändigt för verifiering av kundförfrågningar. Detta kan stödja argument från drone eller övervakningsföretag att de helt enkelt inte kan tillgodose kundernas rätt att veta eller rätt att ta bort förfrågningar eftersom de inte kan verifiera begärarens identitet eller identifiera sina bilder igen utan att få ny PI. Det här är en öppen Fråga för vilken det för närvarande inte finns något tydligt svar under CCPA, och det är oklart om un-suddiga ansiktsdata kommer att betraktas som avidentifierade.

åtgärdsposter

ge en inblick i Kaliforniens planerade verkställighet av lagen, Attorney General Xavier Becerra sa ”Vi kommer att se vänligt på dem som . . . visa ett försök att följa.”Det betyder att även om företag inte rimligen kan tillgodose alla konsumentförfrågningar, bör de fortfarande göra allt för att följa andra delar av lagen.

för att förbereda sig för CCPA-implementering bör övervaknings-och droneföretag:

• uppdatera sin sekretesspolicy för att förklara sina processer, kundrättigheter, oavsiktlig insamling av PI och annan dataanvändning på ”vanlig engelska”
• revidera sin sekretesspolicy för att låta kunderna veta att de inte säljer PI (om de faktiskt inte gör det)
• granska affärsändamålen för deras pi-insamling och se till att deras lagringspolicy inte är längre än vad som behövs för dessa ändamål
• identifiera så mycket data som affärsmål tillåter, inklusive suddiga ansikten när det är möjligt.Detta inkluderar:
  • implementeringtekniska skyddsåtgärder som förbjuder återidentifiering av den konsument som informationen kan komma i fråga för,
  • genomförande av affärsprocesser som specifikt förbjuder återidentifiering av informationen,
  • genomförande av affärsprocesser för att förhindra oavsiktligt frisläppande av avidentifierad information och
  • gör inga försök att identifiera informationen igen.
• om de är tjänsteleverantörer, granska sina avtal med sina företagskunder
• implementera processer för kunder att placera förfrågningar och utöva sina rättigheter enligt lagen
• om vissa förfrågningar eller kategorier av förfrågningar inte kan uppfyllas på grund av arten av företagets datainsamling, bestämma hur de ska hanteras. Förfrågningar kan inte bara ignoreras!

vad är nästa?

övergången verkar inte vara smidig. På grund av lagens breda omfattning och de många frågor som den lämnar obesvarade, inser många företag inte ens att lagen kommer att gälla för dem. En undersökning som släpptes i November av Osterman Research and Egress Software Technologies fann att endast 48 procent av företagen sa att de skulle vara kompatibla i slutet av 2019. Men med potentiella påföljder på upp till $2,500 per överträdelseeller $7,500 per avsiktlig överträdelse tar oförberedda företag en stor affärsrisk. Justitieminister Becerra kommer inte att utfärda några påföljder enligt CCPA förrän den 1 juli 2020, vilket ger företagen ytterligare sex månader att anpassa sig till de nya kraven. Men om betydande kränkningar inträffade under den sexmånadersperioden, AG behåller diskretion att ”nå tillbaka.”Genom att erbjuda företag en annan liten tröst, tillåter CCPA en privat handlingsrätt endast för överträdelser som involverar de icke-redigerade och okrypterade Pi i Kaliforniens konsumenter, inte för andra CCPA-överträdelser.

många företag citerar de många gråområdena och bristen på tydlighet som ett stort hinder för efterlevnad. De förordningar som offentliggjorts av AG: s kontor klargjorde vissa frågor, men många frågor om CCPA-genomförandet är fortfarande olösta. AG: s kontor granskar nu de offentliga kommentarerna som den mottog om sina utkast till förordningar, men det verkar troligt att de obesvarade frågorna i lagen kommer att lösas genom verkställighetsåtgärder, tvister eller eventuellt lagstiftningsförklaringar långt efter att lagen har trätt i kraft. Det betyder att företag måste hitta en siktlinje och flyga framåt genom dimman.

följande representanter för Mintz, Levin, Cohn, Ferris, Glovsky och Popeo, P. C. författade denna artikel.

Cynthia Larose är ordförande för Mintz Privacy & Cybersecurity Practice, en certifierad Information Privacy Professional-US (CIPP-US) och en certifierad Information Privacy Professional-Europe (CIPP-e). Hon arbetar med kunder i olika branscher för att utveckla omfattande informationssäkerhetsprogram i fronten och ger aktuell rådgivning när det blir nödvändigt att svara på ett dataintrång.

Laura Stefani råder kunder som vill ta med ny trådlös teknik på marknaden i regleringsfrågor. Hennes fokusområden inkluderar olicensierad och licensierad trådlös teknik, obemannade flygplan, satellit, medicintekniska produkter och Internet of Things.

Jonathan Markman fokuserar på trådlös och ny teknik, med särskild tonvikt på UAS (allmänt känd som drönare) och trådlöst spektrum. Han har erfarenhet av FCC och FAA förfaranden och rulemakings, formella och informella klagomål, och FCC utredningar, samt arkivering och åtala ansökningar med FCC och FAA.

Elana Safner (CIPP-US) ger råd till kunder om allmän ordning, regleringsfrågor och tvister som påverkar TechComm-sektorn, samt Integritets-och cybersäkerhetsfrågor. Hon har också erfarenhet av FCC-förfaranden och rulemakings.