加州对迪士尼开出 275 万美元 CCPA 罚单

加州对迪士尼开出 275 万美元 CCPA 罚单

Kaamel Lab
Kaamel Lab 2026年2月27日

2026年2月11日,加州总检察长依据《加州消费者隐私法》(CCPA)对迪士尼下属流媒体企业开出创纪录的275万美元罚单,核心指控是其数据出售与共享的退出(opt-out)机制在技术层面没有真正生效。监管机构点名三项缺陷:退出请求仅限消费者当前观看的服务和当前设备、网页退出未阻断页面内嵌的第三方追踪像素、全局隐私控制(GPC)信号只在发出请求的单一设备生效。对能够跨服务整合用户数据的跨国企业来说,这个案子把合规标准从“有没有退出按钮”抬高到了“退出选择能否跨设备、跨账户被真实执行”。

TL;DR

案情梳理

加州总检察长办公室于2024年发起了一项针对流媒体服务数据退出实践的专项调查,初步认定迪士尼的退出机制存在系统性漏洞:退出功能仅将请求限制于消费者当前观看的特定流媒体服务及当前使用的设备,网页表单退出仅限于其广告平台,导致消费者数据仍可通过嵌入的第三方追踪像素被共享或出售;同时,全局隐私控制信号仅在发出请求的单一设备生效,未能覆盖用户的所有关联设备。2026年2月11日,洛杉矶高等法院正式录入最终判决与永久禁令,涉事企业同意支付275万美元罚款。判决强制要求企业进行全面技术整改,包括实现消费者友好且最少步骤的退出机制、支持退出偏好信号、在登录状态下实现账户级别的跨服务退出,并建立为期三年的合规监测计划、每年向加州总检察长提交保密性质的合规审查报告。

三项核心违规

本案执法依据为 CCPA 及其实施细则,并援引《加州反不正当竞争法》(UCL)作为处罚基础。相关条款要求收集个人信息的企业提供清晰便捷、步骤极简的退出途径,并严格规范跨上下文行为广告的数据处理。裁判文书揭示了三个技术性质的违规:

退出机制适用范围受限。系统设计仅将退出请求限制在特定端点,未能在用户登录状态下实现跨所有关联流媒体服务的全域生效。总检察长明确指出,企业不能强迫消费者逐个设备或逐个服务地退出;当消费者登录其账户时,单一触点的退出指令应自动同步并适用于与该账户关联的所有流媒体服务端点。

第三方追踪器管控缺失。网页端退出功能未能限制第三方追踪像素收集数据。企业未履行法定义务——在接收退出请求后及时通知下游第三方停止处理相关个人信息并转发该请求。调查显示,网页表单退出仅能切断其自有广告平台的数据链路,却将消费者数据暴露于页面内嵌的第三方追踪像素之下。判决要求企业不仅自身停止出售和共享,还必须在执行请求前立即通知所有此前已接收数据的第三方停止处理,并要求其继续向下游所有接收者转发该退出指令。

自动化隐私信号响应不合规。系统在接收 GPC 等自动化退出偏好信号时,作用范围仅限于发出指令的当前设备,未能跨环境识别并执行消费者的隐私选择,违反加州实施细则的技术响应要求。合规的架构必须确保信号不仅被捕获,更能映射到用户的全域数字终端。

对出海企业的启示

本案标志着美国州级隐私执法从形式合规审查转向实质效果监管:监管机构不再满足于“提供退出按钮或隐私政策”,而是要求消费者权利在技术层面被真实、统一、低成本地实现——当企业能够跨服务整合用户数据用于广告或分析时,也必须具备跨设备、跨账户执行隐私选择的能力。合规责任因此从法务部门主导转向法律、数据治理与技术架构的融合。落地上应做三件事:

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.