2024年2月21日,加州总检察 Rob Bonta 宣布与著名送餐平台 DoorDash 达成了一项金额为 37.5 万美元的和解协议,解决了该公司违反加州消费者隐私法案(CCPA)和加州在线隐私保护法(CalOPPA)的指控。加州司法部调查发现,DoorDash 在未经通知顾客及未提供退出机制的情况下,出售了加州顾客的个人信息,违反了 CCPA 和 CalOPPA 的规定。
这是继先前与零售商 Sephora 达成的 120 万美元和解之后,加州司法部门根据 CCPA 采取的第二次重要执法行动。
案件背景
DoorDash 是一家总部位于旧金山的公司,通过其网站和 App,消费者可以订购食品送货服务。在收到社交媒体上的投诉之后,加州总检察长 Rob Bonta 的办公室对 DoorDash 展开了调查。
为了吸引新顾客,DoorDash 参与了营销合作社,并作为其成员披露了消费者的个人信息。在 2020 年 1 月,也就是 CCPA 生效的第一个月,DoorDash 将包括姓名、地址和交易历史在内的加州消费者个人信息在一次交易中交给了一个营销合作社,以便它能向其他参与企业的顾客推销其服务。参与合作社的其他企业也获得了向 DoorDash 顾客推销的机会。然而,DoorDash 未就此行为通知其客户或提供退出机制。
调查结果
针对上述违规行为,2020 年 9 月,Bonta 向 DoorDash 发送了涉嫌违反 CCPA 的通知,要求 DoorDash 在 30 天内采取行动纠正这一违规行为。尽管 DoorDash 停止了向营销合作社销售加州消费者的个人信息并采取措施删除相关数据,但仍未能充分解决问题,尤其是未能恢复受影响消费者的数据安全,因为已经被销售的个人信息和消费者推断信息已流向其他公司,超出了营销合作社成员的范围。
执法行动最终指控,DoorDash 违反了 CCPA 对出售个人数据的企业的要求,并且未能纠正这些违规行为。投诉还指控 DoorDash 违反了 CalOPPA,因为其发布的隐私政策未说明其向营销合作社披露了个人可识别信息,如消费者的家庭地址。
和解结果
Bonta 详细说明了与 DoorDash 针对违规行为达成的和解。具体而言,DoorDash 将支付 37.5 万美元罚款,并遵守禁令条款。DoorDash 必须:
● 遵守 CCPA 和 CalOPPA 的要求,包括适用于出售个人信息的企业要求;
● 审查其营销和分析供应商的合同以及技术使用情况,评估其是否在销售或共享消费者个人信息;
● 向总检察长提供年度报告,监控任何潜在的消费者个人信息销售或共享活动。
Bonta 表示,DoorDash 参与营销合作社构成了 CCPA 下的销售行为,违反了加州具有里程碑意义的隐私法下顾客的权利。企业必须公开其出售个人信息的行为,并为加州居民提供退出选项。Bonta 还希望和解能够成为对企业的一个警醒:CCPA 已经实施超过四年了,企业必须遵守这一重要的隐私法,任何违规行为都将受到严肃处理。
此事件凸显了加州保护消费者隐私权益的坚定立场。企业必须负起责任,严格保护消费者个人信息,防止其未经授权地被销售或共享。