Een ingrijpende nieuwe wet die tot doel heeft de regels van het internet in Californië te herschrijven, zal op 1 januari van kracht worden.

De meeste bedrijven met een website en klanten in Californië, dat wil zeggen de meeste grote bedrijven in het land, moeten het nieuwe regime volgen. die het online leven transparanter en minder griezelig moet maken voor gebruikers.

Het enige probleem:niemand weet precies hoe de nieuwe regels werken.

De California Consumer Privacy Act ging uit van een eenvoudig uitgangspunt:mensen moeten kunnen weten of bedrijven hun persoonlijke informatie verkopen, zien welke informatie bedrijven al over hen hebben verzameld, en hebben de mogelijkheid om het hele systeem af te sluiten.

Maar niets is eenvoudig als het gaat om de snelle en grotendeels ondoorzichtige online data-economie. Al meer dan twee decennia, technologiebedrijven hebben een diep verstrikt systeem gebouwd om de gewoonten en identiteiten van miljoenen gebruikers te volgen, elke seconde van elke dag, en vervolgens die informatie ruilen of verkopen om marketing verder te verfijnen, reclame en bedrijfsstrategie.

Dankzij de technische complexiteit van het systeem en de gehaaste tijdlijn voor implementatie, een aantal fundamentele vragen blijft onbeantwoord. Wat betekent "verkopen"? Hoe kunnen bedrijven er zeker van zijn dat ze de gegevens van de juiste persoon verwijderen? En betekent het hebben van een website die bijhoudt hoeveel bezoekers er elk jaar komen, dat u zich door het regelgevende struikgewas moet waden?

Het kantoor van de procureur-generaal, die belast is met zowel de interpretatie als de handhaving van de wet, pas begin oktober zijn eerste ronde van ontwerpverordeningen gepubliceerd. Het is onwaarschijnlijk dat een definitieve set tot ver in 2020 komt, en de wet zal pas in juli worden toegepast.

Ondertussen, bedrijven worstelen om ervoor te zorgen dat ze de basisprincipes van de wet niet overtreden. Grote bedrijven sluiten deals met bedrijven die gespecialiseerd zijn in naleving om "verkoop mijn persoonlijke informatie niet"-knoppen op hun sites te creëren (en ervoor te zorgen dat ze echt werken). Kleine bedrijven zetten e-mailaccounts op om met verzoeken van klanten om te gaan, of ze houden gewoon hun hoofd naar beneden en wedden dat de procureur-generaal niet de moeite zal nemen om ze te pakken zodra de handhaving begint.

"Er is geen privacyadvocaat in de branche die op dit moment niet de klok rond werkt om zich voor te bereiden op 1 januari. " zei Michael Hahn, algemeen adviseur van het Interactive Advertising Bureau, een branchegroep bestaande uit bedrijven in het online advertentie-ecosysteem.

Het begon toen Alistair Mc Taggart, een vastgoedontwikkelaar in San Francisco, had een verontrustend gesprek over digitale privacy met een Google-ingenieur op een cocktailparty. Hij besloot een campagne voor de stemmingscampagne in 2018 te financieren. Wetgevers van Sacramento hebben een deal gesloten om het in wet om te zetten, en ongewoon voor een wet die miljardenbedrijven zal treffen, het bleef grotendeels onveranderd door lobbyinspanningen tot 2019.

In de data-economie persoonlijke informatie van gebruikers kan worden gebruikt in razendsnelle transacties, zoals de realtime veiling die achter elke online advertentie plaatsvindt, en tientallen jaren opgeslagen in databases. Soms, bedrijven verkopen persoonlijke informatie:iemands locatie, leeftijd of zelfs naam - zonder enige contactgegevens, of eenvoudige manieren om de identiteit van die persoon te verifiëren.

Het resultaat is een duistere mix van totale bewaking en slappe registratie, wat het beantwoorden van schijnbaar eenvoudige vragen zoals "vertel me welke informatie je over mij hebt verzameld" en "stop met het verkopen van mijn informatie" verrassend ingewikkeld maakt.

Voor bedrijven, de impact was het digitale equivalent van het verplichten van elke bestuurder in de staat om een ​​nieuwe katalysator in hun auto te installeren of een boete te krijgen - zonder merknamen of technische specificaties van de vereiste upgrade te delen. Een rapport uit 2019 in opdracht van het kantoor van de procureur-generaal schatte dat het naleven van de wet de getroffen bedrijven vooraf 55 miljard dollar zou kunnen kosten. met het potentieel voor nog eens $ 16 miljard in de komende tien jaar.

De wetgevers achter de regels zien de chaos als noodzakelijk om een ​​industrie in toom te houden die al tientallen jaren ongecontroleerd opereert.

"Het is echt het Wilde Westen geweest, " zegt Bob Hertzberg (D–Van Nuys), de meerderheidsleider van de Senaat van Californië die het wetsvoorstel in Sacramento verdedigde. "Er is altijd een beetje een worsteling, maar de sleutel is om je oog op de horizon te houden, en maak het werkbaar, maar zeer toekomstgericht in termen van consumentenbescherming."

Bedrijven die door de nieuwe regels worden getroffen, gaven het op zich ertegen te verzetten zodra duidelijk was dat ze wet zouden worden. Nu willen ze gewoon weten wat er aan de hand is.

Tijdens een bijeenkomst begin december in Los Angeles, vertegenwoordigers van machtige handelsgroepen en bezorgde individuen stonden in de rij om niet zozeer oppositie als wel verwarring te uiten als onderdeel van de commentaarperiode die vorm zal geven aan de volgende ronde van ontwerpverordeningen.

Peter Watson, bestuurslid van de California Self-Storage Association, stelde een fundamentele vraag:welke bedrijven moeten zich aan de wet houden?

De CCPA is alleen van toepassing op bedrijven met een omzet van meer dan $ 25 miljoen of toegang tot de persoonlijke informatie van meer dan 50, 000 mensen. Dus als een self-storage bedrijf de informatie van 10 heeft, 000 huidige en voormalige huurders, maar meer dan 50, 000 mensen bezoeken elk jaar haar website, waardoor hun IP-adressen met het bedrijf worden gedeeld, komt dat in aanmerking?

Andere vragen cirkelden rond wat een tegenstrijdigheid lijkt:in sommige gevallen bedrijven moeten mogelijk om meer persoonlijke informatie vragen om te voldoen aan het verzoek van een gebruiker om al hun persoonlijke informatie te verwijderen of een kopie te krijgen. Ze weten misschien dat iemand met de naam Maria Garcia 36 jaar oud is, houdt van vrachtwagens en juridische drama's, en logt regelmatig in vanaf een telefoon in het centrum van LA, maar als iemand e-mailt die beweert Maria Garcia te zijn en al die informatie over zichzelf vraagt, hoe weet een bedrijf zeker dat het de juiste is? Kunnen ze om meer persoonlijke informatie vragen, zoals een specifiek e-mailadres of een burgerservicenummer, verifiëren?

Bo Kim, raadsman van de California Chamber of Commerce, begon met een pleidooi om de deadline te verplaatsen naar januari 2021, wees vervolgens op een manier waarop de ontwerp-verordeningen tegen de grenzen van de menselijke kennis aanlopen. Eén bepaling vereist dat bedrijven delen, in hun privacybeleid, de waarde van de persoonlijke gegevens van een individuele gebruiker.

"De overgrote meerderheid van de bedrijven die door de CCPA worden getroffen, gebruiken technologie, maar zijn geen technologiebedrijven. ' zei Kim. 'Als zodanig, er is geen specifieke waarde van gegevens die op een bestaande balans zijn toegewezen."

De meest verstrekkende impact van de nieuwe wet valt op de online advertentie-economie en de bedrijven – waaronder techreuzen zoals Facebook en Google en mediabedrijven zoals The Los Angeles Times – die erop vertrouwen.

Het kernmechanisme van de online advertentiewereld wordt realtime bieden genoemd:achter elke advertentie op een webpagina (inclusief deze), er is een bijna onmiddellijke reeks transacties gaande.

De pagina zelf, door het gebruik van digitale trackers, verzamelt gegevens over de lezer. Vervolgens, de pagina stuurt deze gebruikersinformatie samen met een bepaalde set regels door de pijplijn, zoals wat voor soort advertenties het wil weergeven, en tegen welke prijs. Een ad exchange regelt dan direct een veiling voor de ruimte en de gebruiker, vaak op zoek naar het hoogste bod onder advertentiekopers die ook vooraf hun voorkeursdoelen hebben ingevoerd, prijzen en hoe hun advertenties eruitzien. Zodra dit hele proces plaatsvindt - in een kwestie van microseconden - verschijnt de advertentie.

Vandaag, elke entiteit die onderweg is, bewaart meestal alle gegevens die het kan voor later. Hoe meer informatie een pagina over een gebruiker weet, hoe hoger de prijs die het kan vragen voor een advertentie - en elk klein stukje informatie kan worden toegevoegd aan een consumentenprofiel, die kan worden verkocht aan andere bedrijven die op zoek zijn naar een meer gericht publiek.

Die praktijk heeft de advertentietechnologie-industrie in staat gesteld om consumentenprofielen van miljoenen mensen te verzamelen. De nieuwe wet stelt Californiërs in staat om die surveillance een halt toe te roepen.

De CCPA doorbreekt de realtime biedingsketen van gegevensoverdracht en advertentieweergave niet - en McTaggart is duidelijk geweest dat dat nooit de bedoeling was - maar het stelt gebruikers wel in staat om zich af te melden voor de tweede fase van het proces, waar hun gegevens worden opgeslagen en verpakt om in de toekomst te worden verkocht.

Degenen die zich afmelden, zullen waarschijnlijk minder hypergerichte advertenties zien, de soorten die gebruikers een advertentie laten zien voor een product dat ze halverwege het afrekenproces niet hebben gekocht, of die griezelig een advertentie lijken te tonen voor een winkel die ze een paar dagen eerder hebben bezocht. Gecombineerd met meerdere verwijderingsverzoeken, gebruikers kunnen uiteindelijk alleen advertenties zien die gerelateerd zijn aan de pagina die ze bezoeken:autoadvertenties bij een artikel over auto's, of maaltijdbezorgingsadvertenties op een voedselwebsite.

Het Interactief Reclamebureau, een consortium dat de meeste grote uitgevers-adverteerders omvat, en advertentietechnologiebedrijven in de VS, besteedde een groot deel van 2019 aan het bijeenroepen van vergaderingen om erachter te komen hoe de duizenden bedrijven langs de pijplijn konden voldoen aan de verzoeken van gebruikers om zich af te melden voor de verkoop van hun gegevens. Het kwam met een complex raamwerk van contracten en digitale tags die functioneel de wens van een gebruiker om zijn gegevens niet aan de gegevens zelf te verkopen vast te leggen, als een inktlabel op een stuk koopwaar.

Google heeft zich in december bij dit systeem aangemeld, en gaf zijn klanten - waaronder de meeste websites op internet - een toolkit om dit opt-outsysteem in hun eigen sites in te bouwen.

Facebook, Opmerkelijk, verklaarde in een blogpost dat het zijn praktijken niet hoefde te veranderen om aan de wet te voldoen. Het argument van het bedrijf hangt af van de definities van verkoop en derden, werkend vanuit het uitgangspunt dat aangezien Facebook de enige entiteit is die persoonlijke gegevens verzamelt en er geld mee verdient binnen hun systeem, het houdt zich niet bezig met de verkoop van gebruikersgegevens aan derden.

Als genoeg mensen zich afmelden en vragen om hun gegevens te verwijderen, dit zou tot gevolg kunnen hebben dat de advertentie-inkomsten over de hele linie afnemen. Adverteerders zijn bereid meer te betalen voor een kwalitatief betere doelgroep:luierfabrikanten, bijvoorbeeld, hun advertenties specifiek aan nieuwe moeders willen laten zien, geen willekeurige websitebezoeker. Dit is hoe Google, die profielen opbouwt op basis van zoekopdrachten van gebruikers, app-gebruik, en alle andere informatie die het van apparaten kan halen, is uitgegroeid tot een bedrijf van $ 930 miljard. En Facebook heeft vergelijkbare beloningen geoogst uit zijn door gebruikers gegenereerde schat aan gedragsgegevens.

Maar de meeste branche-experts lijken te denken dat de nieuwe wet waarschijnlijk geen invloed zal hebben op de bedrijfsresultaten van datagestuurde bedrijven (buiten de kosten van basiscompliance), simpelweg omdat het onwaarschijnlijk is dat de meeste gebruikers de moeite nemen om zich af te melden.

"Mensen zeggen ja, " zegt Ben Barokas, chief executive van het compliancemanagementbedrijf SourcePoint. "Zelfs als er de mogelijkheid is om nee te zeggen, misschien zegt 10% van de mensen 'nee' tegen het verkopen van hun gegevens om meer gerichte advertenties te tonen.

Europese Algemene Verordening Gegevensbescherming, of AVG, is een handig vergelijkingspunt. Onder dat regime, gebruikers moesten er actief voor kiezen om online gevolgd te worden en hun gegevens te laten verkopen - een bepaling die sommige activisten aandrongen om in de Californische wet te worden opgenomen. Maar nog steeds, er zijn geen duidelijke gegevens dat de totale advertentie-inkomsten langdurig zijn gedaald nadat de wet in mei 2018 van kracht werd, en uit sommige rapporten blijkt dat 95% van de gebruikers ervoor kiest om gevolgd te worden in ruil voor toegang tot websites en diensten.

Zelfs als bedrijven zich inspannen om aan de regels te voldoen, de mensen achter de CCPA bereiden zich voor om een ​​nieuwe ronde privacyregels in te voeren in de vorm van een 2020-stemmingsmaatregel. De belangrijkste veranderingen omvatten de oprichting van een aparte instantie om de wetten te handhaven, in plaats van het aan het kantoor van de AG over te laten, het creëren van een opt-in systeem voor gebruikers onder de 16, en het verder beperken van het gebruik van wat het initiatief "gevoelige persoonlijke informatie, " die gegevens bevat zoals locatie, gezondheidstoestand en seksuele geaardheid.

Mc Taggart hoopt dat de volgende ronde, met een gefinancierd en bemand privacybureau, kan een nieuwe standaard zetten voor het internet als geheel.

"We denken dat het voor de privacy zal doen wat de California Air Resources Board deed voor de luchtkwaliteit in het hele land, ' zei Mc Taggart.

Hij zei dat het niet de bedoeling was om bedrijven te vernietigen, maar om ervoor te zorgen dat bedrijven consumentengegevens veilig gebruikten. Of om de auto-analogie door te trekken naar de digitale smog van de data-economie:"Wij vinden auto's prima, en we begrijpen dat LA veel auto's heeft, maar het zou gewoon leuk zijn om LA op een heldere dag te zien."

©2019 Los Angeles Times
Gedistribueerd door Tribune Content Agency, LLC.