En genomgripande ny lag som syftar till att skriva om internetreglerna i Kalifornien träder i kraft den 1 januari.

De flesta företag med en webbplats och kunder i Kalifornien - det vill säga de flesta stora företag i landet - måste följa den nya regimen, som ska göra online -livet mer transparent och mindre läskigt för användarna.

Det enda problemet:Ingen är säker på hur de nya reglerna fungerar.

California Consumer Privacy Act utgår från en enkel förutsättning:människor ska kunna veta om företag säljer sin personliga information, se vilken information företag redan har samlat på dem, och har möjlighet att avsluta hela systemet.

Men ingenting är enkelt när det gäller höghastighets- och i stort sett ogenomskinlig dataekonomi på nätet. I mer än två decennier har teknikföretag har byggt ett djupt inblandat system för att spåra vanor och identiteter hos miljontals användare, varje sekund varje dag, och sedan byta eller sälja den informationen för att ytterligare finjustera marknadsföring, reklam och affärsstrategi.

Tack vare systemets tekniska komplexitet och den snabba tidslinjen för implementering, ett antal grundläggande frågor är fortfarande obesvarade. Vad betyder "sälj"? Hur kan företag vara säkra på att de raderar rätt persons uppgifter? Och betyder det helt enkelt att ha en webbplats som håller koll på hur många som besöker varje år att du måste vada in i regelverket?

Riksåklagarens kansli, som har till uppgift att både tolka och verkställa lagen, publicerade bara sin första omgång med författningsförslag i början av oktober. En sista uppsättning kommer sannolikt inte förrän långt in i 2020, och lagen kommer inte att verkställas förrän i juli.

Sålänge, företag strävar efter att se till att de inte bryter mot lagens grunder. Stora företag tecknar avtal med företag som är specialiserade på efterlevnad för att skapa "sälj inte min personliga information" -knappar på sina webbplatser (och se till att de faktiskt fungerar). Små företag inrättar e -postkonton för att hantera kundförfrågningar - eller bara håller huvudet nere och satsar på att åklagaren inte kommer att bry sig om dem när verkställigheten börjar.

"Det finns ingen sekretessadvokat i branschen som inte arbetar dygnet runt för att göra sig redo för 1 januari, "sa Michael Hahn, generaladvokat för Interactive Advertising Bureau, en branschgrupp som består av företag i ekosystemet för onlineannonsering.

Det började när Alistair McTaggart, en fastighetsutvecklare i San Francisco, hade en störande konversation om digital integritet med en Google -ingenjör på ett cocktailparty. Han bestämde sig för att bankrulle en omröstningskampanj 2018. Lagstiftare i Sacramento slöt ett avtal för att göra det till lag, och ovanligt för en lag som påverkar miljarder företag, den förblev i stort sett oförändrad genom lobbyverksamhet under 2019.

I dataekonomin, användarnas personliga information kan användas i blixtsnabba transaktioner, som realtidsauktionen som pågår bakom varje onlineannons, och lagras i databaser i årtionden. Ibland, företag säljer personlig information - någons plats, ålder eller till och med namn - utan någon kontaktinformation, eller enkla sätt att verifiera individens identitet.

Resultatet är en grumlig blandning av total övervakning och slapdash -journalföring, vilket gör att besvara till synes enkla krav som "berätta vilken information du har samlat om mig" och "sluta sälja min information" förvånansvärt komplex.

För företag, påverkan har varit den digitala ekvivalenten av att kräva att varje förare i staten installerar en ny katalysator i sin bil eller får böter - utan att dela några varumärken eller tekniska specifikationer för den nödvändiga uppgraderingen. En rapport från 2019 som gjordes av justitieministeriets kontor uppskattade att det kan kosta de berörda företagen 55 miljarder dollar i förskott att följa reglerna, med potential för ytterligare 16 miljarder dollar under det kommande decenniet.

Lagstiftarna bakom reglerna ser kaoset som nödvändigt för att tygla en bransch som har fungerat okontrollerat i decennier.

"Det har verkligen varit vilda västern, "säger Bob Hertzberg (D – Van Nuys), Kaliforniens statliga senats majoritetsledare som förespråkade räkningen i Sacramento. "Det är alltid lite krångel, men nyckeln är att hålla ögonen på horisonten, och göra det användbart men djupt framåt när det gäller konsumentskydd. "

Företag som påverkas av de nya reglerna gav upp att motsätta sig dem när det var klart att de skulle bli lag. Nu vill de bara ta reda på vad som händer.

Vid ett möte i början av december i Los Angeles, företrädare för mäktiga handelsgrupper och berörda individer ställde upp för att inte uttrycka så mycket motstånd som förvirring som en del av kommentarsperioden som kommer att forma nästa omgång av författningsförslag.

Peter Watson, styrelseledamot i California Self-Storage Association, ställde en grundläggande fråga:vilka företag måste följa lagen?

CCPA gäller endast företag med mer än 25 miljoner dollar i intäkter eller tillgång till personuppgifter om mer än 50, 000 personer. Så om ett självlagringsföretag har informationen 10, 000 nuvarande och tidigare hyresgäster, men mer än 50, 000 människor besöker webbplatsen varje år, delar därmed sina IP -adresser med företaget, kvalificerar det sig?

Andra frågor kretsade kring det som verkar vara en motsägelse:i vissa fall företag kan behöva be om mer personlig information för att kunna genomföra en användares begäran om att radera eller få en kopia av all sin personliga information. De kanske vet att någon som heter Maria Garcia är 36 år gammal, gillar lastbilar och juridiska drama, och loggar in regelbundet från en telefon i centrala LA, men om någon e -postmeddelanden som säger sig vara Maria Garcia och ber om all information om sig själv, hur kan ett företag vara säker på att det är det rätta? Kan de be om mer personlig information, som ett specifikt mejl eller ett personnummer, att verifiera?

Bo Kim, advokat för California Chamber of Commerce, började med en vädjan om att flytta tidsfristen till januari 2021, framhöll sedan ett sätt på vilket förslaget till förordningar strider mot gränserna för mänsklig kunskap. En bestämmelse kräver att företag delar, i deras sekretesspolicy, värdet av en enskild användares personuppgifter.

"De allra flesta företag som påverkas av CCPA använder teknik men är inte teknikföretag, "Sa Kim." Som sådan, det finns inget särskilt värde för data som tilldelats på någon befintlig balansräkning. "

Den mest omfattande effekten av den nya lagen faller på annonsekonomin online och de företag-inklusive teknikjättar som Facebook och Google och medieföretag som The Los Angeles Times-som är beroende av den.

Kärnmekanismen i onlineannonsvärlden kallas budgivning i realtid:bakom varje annons på en webbsida (inklusive den här), det pågår en nästan omedelbar serie transaktioner.

Själva sidan, genom användning av digitala spårare, samlar in data om läsaren. Sedan, sidan skickar denna användarinformation upp i pipelinen tillsammans med en viss uppsättning regler, till exempel vilken typ av annonser den är villig att visa, och till vilket pris. Ett annonsutbyte ordnar sedan omedelbart en auktion för utrymmet och användaren, söker ofta det högsta budet bland annonsköpare som också har angett sina önskade mål i förväg, priser och hur deras annonser ser ut. När hela denna process äger rum - inom några sekunder - visas annonsen.

I dag, varje enhet längs vägen sparar vanligtvis vilken data den kan för senare. Ju mer information en sida vet om en användare, ju högre pris det kan ta ut för en annons - och varje liten bit information kan läggas till i en konsumentprofil, som kan säljas till andra företag i linje med att leta efter en mer riktad publik.

Denna praxis har gjort det möjligt för ad tech -industrin att samla konsumentprofiler på miljontals människor. Den nya lagen ger kalifornierna möjlighet att stoppa övervakningen i sina spår.

CCPA bryter inte budgivningskedjan i realtid för dataöverföring och annonsvisning-och McTaggart har varit tydlig med att det aldrig var avsikten-men det gör det möjligt för användare att välja bort den andra fasen av processen, där deras data lagras och förpackas för att säljas i framtiden.

De som väljer bort kommer sannolikt att se färre hyperinriktade annonser, de typer som visar användarna en annons för en produkt som de lämnade inköpta halvvägs i kassan, eller som verkar kusligt visa en annons för en butik som de besökte några dagar tidigare. Kombinerat med flera raderingsbegäranden, användare kunde så småningom bara se annonser som är relaterade till sidan de besöker - bilannonser i en artikel om bilar, eller måltidsleveransannonser på en livsmedelswebbplats.

Interactive Advertising Bureau, ett konsortium som innehåller de flesta större utgivare annonsörer, och ad tech -företag i USA, tillbringade stora delar av 2019 med att sammankalla möten för att ta reda på hur tusentals företag längs pipelinen skulle kunna tillgodose användarnas önskemål om att välja bort att få sina data sålda. Den kom med ett komplext ramverk av kontrakt och digitala taggar som funktionellt häftade en användares önskan att inte få sin data såld till själva datan, som en bläcklapp på en vara.

Google loggade på detta system i december, och gav sina kunder-som inkluderar de flesta av webbplatserna på internet-en verktygslåda för att bygga detta opt-out-system till sina egna webbplatser.

Facebook, i synnerhet, förklarade i ett blogginlägg att det inte behövde ändra sina metoder för att följa lagen. Företagets argument beror på definitionerna av försäljning och tredje parter, arbetar utifrån att Facebook är den enda enheten som samlar in och tjänar pengar på personuppgifter inom sitt system, det bedriver inte försäljning av användardata till tredje part.

Om tillräckligt många väljer bort och ber att deras data ska raderas, Detta kan leda till att reklamintäkterna skärs över hela linjen. Annonsörer är villiga att betala en premie för ett mål av högre kvalitet:blöjföretag, till exempel, vill visa sina annonser specifikt för nya mammor, inte en slumpmässig webbplatsbesökare. Så här gör Google, som bygger profiler baserat på användarnas sökningar, appanvändning, och all annan information den kan få från enheter, har blivit ett företag på 930 miljarder dollar. Och Facebook har skördat liknande belöningar från sin användargenererade mängd beteendemässiga data.

Men de flesta branschexperter tycks tro att den nya lagen sannolikt inte kommer att påverka slutresultatet för datadrivna företag (utöver kostnaden för grundläggande efterlevnad), helt enkelt för att det är osannolikt att de flesta användare väljer att välja bort dem.

"Folk säger ja, säger Ben Barokas, vd för compliance management -företaget SourcePoint. "Även om det finns möjlighet att säga nej, kanske 10% av folket säger nej "till att få sina data sålda för att visa mer riktad reklam.

Europas allmänna dataskyddsförordning, eller GDPR, är en användbar jämförelsepunkt. Under den regimen, användarna var tvungna att aktivt välja att spåras online och få sina data sålda - en bestämmelse som vissa aktivister pressade för att inkluderas i Kaliforniens lag. Men ändå, det finns inga tydliga uppgifter om att de totala annonsintäkterna drabbades av långsiktiga nedgångar efter att lagen startade i maj 2018, och vissa rapporter visar att 95% av användarna väljer att spåras i utbyte mot åtkomst till webbplatser och tjänster.

Även när företagen strävar efter att uppfylla kraven, personerna bakom CCPA förbereder sig för att införa en ny omgång av sekretessbestämmelser i form av en omröstning 2020. De stora förändringarna inkluderar skapandet av en särskild myndighet för att tillämpa lagarna, i stället för att lämna det till AG:s kansli, skapa ett opt-in-system för användare under 16 år, och ytterligare begränsa användningen av vad initiativet kallar "känslig personlig information, "som inkluderar data som plats, hälsostatus och sexuell läggning.

McTaggart hoppas att nästa omgång, med en finansierad och bemannad integritetsbyrå, kan sätta en ny standard för internet som helhet.

"Vi tror att det kommer att göra för integriteten vad California Air Resources Board gjorde för luftkvaliteten rikstäckande, "Sa McTaggart.

Han sa att avsikten inte var att förstöra några företag, men för att se till att företag använde konsumentdata på ett säkert sätt. Eller för att utvidga bilanalogin till dataekonomins digitala smog:"Vi tycker att bilar är bra, och vi förstår att LA har många bilar, men det skulle bara vara trevligt att se över LA på en klar dag. "

© 2019 Los Angeles Times
Distribueras av Tribune Content Agency, LLC.