美国加利福尼亚州近日正式推出名为“Delete Requests and Opt-Out Platform”(简称 DROP)的在线平台,为州内居民提供一项新的集中工具,用以限制数据经纪商保存和出售其个人信息的能力。根据此前生效的隐私法规,加州居民自2020年起就有权要求企业停止收集和出售自己的数据,但过去必须逐一向各家公司单独提交选择退出申请,过程繁琐。
2023年通过的《删除法案》(Delete Act)则旨在简化这一流程,允许居民通过一次性请求,要求超过500家在册数据经纪商删除其个人信息。
目前,DROP 平台已经开始接受申请,居民在平台上完成加州居住身份验证后,即可提交一份删除请求,该请求将自动发送至所有已在该州登记、以及未来登记的数据经纪商。不过,这并不意味着所有相关数据会立刻被删除:按照规定,经纪商要到2026年8月才开始正式处理这类请求,之后还享有90天的处理期,并需在完成后向监管机构反馈。如果经纪商未能找到相关记录或未删除数据,用户可以通过平台补充更多信息,以帮助企业定位其个人数据。
值得注意的是,新工具主要针对买卖个人信息的数据经纪商,并不强制要求企业删除其作为第一方直接从用户处获得的数据。也就是说,企业基于自身服务关系合法收集并留存的第一方数据仍可保留;必须删除的,是那些被经纪商用来买卖的个人数据,包括社会安全号码、浏览记录、电子邮箱、电话号码等多类信息。此外,一些来源于公共记录的信息,如车辆登记资料和选民登记记录,则被排除在删除范围之外。部分高度敏感的数据,例如受《健康保险携带与责任法案》(HIPAA)等其他联邦或州法律保护的医疗信息,则适用各自专门的法律框架。
加州隐私保护局表示,这一新工具除了进一步强化居民对自身数据的控制权外,还有望在实际生活层面带来多重效果,例如减少不受欢迎的短信、电话和电子邮件推送。该机构同时指出,集中删除数据也有助于降低身份盗用、欺诈、“AI 冒充”(利用生成式人工智能模拟语音或身份实施诈骗)以及数据泄露或黑客攻击带来的风险。对于不按规定在加州登记、或在收到删除请求后未履行义务的数据经纪商,监管机构可以处以每天200美元的罚款,并可追讨执法成本。
业内人士认为,DROP 的落地意味着《删除法案》的关键执行环节正式成形,为其他州乃至联邦层面的数据经纪监管提供了一个实践样本。在生成式人工智能迅速发展、数据滥用风险上升的背景下,围绕个人数据买卖链条的监管正成为隐私与安全政策领域的新焦点,而加州此次推出的集中化“一键删数”机制,或将推动更多地区重审数据经纪行业的合规边界与义务。