【美国隐私执法】CCPA执行案例示例 -2022年8月24日更新

总检察长办公室（OAG）负责执行CCPA。OAG于2020年7月1日（CCPA执法开始的第一天）开始向公司发送涉嫌违规的通知。一旦公司被通知涉嫌违规，它有30天的时间来纠正违规行为。这可能需要的不仅仅是开始遵守法律。总体而言，补救措施加强了消费者的隐私保护。

作为一个执法机构，OAG一般不会向公众发布有关其调查的信息。OAG提供以下信息，作为其发出涉嫌违规通知的情况的示例，以及各公司采取的应对措施。请注意，以下信息不包括每种情况的所有事实，也不构成法律建议。

2022年8月24日更新

在线零售商实施了退出程序，包括GPC

• 行业：消费品零售
• 问题：未能兑现消费者选择退出销售的承诺

在一次执法扫描中，发现多家在线零售商使用网络跟踪技术向第三方提供消费者的个人信息，以换取广告或分析等服务，但没有提供退出机制或确保第三方是符合CCPA的服务提供商。具体而言，这些零售商没有按照CCPA法规的要求，通过用户启用的全球隐私控制处理消费者的退出请求。在接到涉嫌违规的通知后，这些企业审查并更新了服务提供商合同，实施了向个人信息的第三方接收者传达“限制使用”信号的技术，并在检测到全球隐私控制（GPC）后阻止了一些个人信息的传输。

忠诚度计划发布财务激励通知，披露重要条款并获得选择同意

• 所属行业：零售，包括服装、家居用品和家用必需品；食品和饮料；好客以及家居装饰。
• 问题：财务激励不合规通知

在一次执法扫描中，发现多家企业正在运营忠诚度计划，该计划为收集消费者的个人信息提供财务奖励（包括产品折扣、服务差异和/或降价），而没有发布合规的财务奖励通知。通知了企业。针对指称的违规行为，企业分别：

• 在收银机张贴财务激励通知，消费者在自愿加入忠诚度计划之前会合理地遇到这些条款；
• 修改了在线界面，通过适当标题的“深度链接”明确引导消费者阅读《财务激励通知》；
• 重新设计了忠诚度计划的注册方法，以获得明确的选择加入同意，并有意义地为消费者提供随时退出计划的权利；和/或
• 修订了财务激励通知，向消费者提供财务激励的实质条款。重要条款包括企业使用作为财务激励的一部分收集的消费者个人信息，例如用于销售、消费者分析或个性化报价和其他营销。

Weblink Shorter更新了隐私政策并添加了请求方法

• 行业：技术
• 问题：不符合隐私政策和无请求方法

提供网络链接缩写工具的企业没有提供所需CCPA消费者权利的通知，包括知情权、删除权和不受歧视权，也没有披露为消费者行使其CCPA权利而制定的请求方法。该公司也没有明确说明是否出售了个人信息，也没有提供清晰显眼的“请勿出售我的个人信息”链接。在接到涉嫌违规的通知后，该公司更新了其隐私政策，以包括所需的CCPA权利，实施了两种请求方法，并添加了合规的选择退出链接。

医疗保健服务公司改革了请求流程

• 行业：医疗保健
• 问题：错误处理知情要求

一家将预约预约与寻求新冠肺炎疫苗接种的患者进行匹配的公司错误地将一些消费者的知情请求视为删除和永久删除消费者个人信息的请求。一些受影响的消费者在社交媒体上发帖。该业务部门对员工进行了培训，并改进了请求响应流程，以准确、适当地响应知情权和删除请求。

医疗器械制造商更新的隐私政策

• 所属行业：医疗器械
• 问题：不符合隐私政策；要求消费者放弃/限制CCPA权利；有限数量的知情要求；个人信息销售

医疗器械制造商和销售商在其网站上收集消费者的个人信息。该企业要求消费者接受该企业的隐私政策和服务条款，以行使其在CCPA项下的权利，从而限制消费者在CCPA下的权利。该公司的隐私政策规定，消费者每12个月只能提出一次请求。该公司对其数据销售的披露也令人困惑，而且该公司没有为消费者提供一个选择不出售其个人信息的机制。这项业务还让消费者采取额外的步骤，通过引导消费者使用第三方行业协会的工具来管理在线广告，从而选择退出。在接到涉嫌违规的通知后，该公司取消了消费者行使其CCPA权利的条件，添加了“请勿出售我的个人信息”链接，并更新了其选择退出网络表单，允许消费者完全选择退出个人信息的销售，包括用于目标广告的个人信息。

Telehealth门户网站更新了收款通知链接和更新的隐私政策

• 行业：远程医疗技术
• 问题：不符合隐私政策；不合规收款通知

一家为虚拟医疗服务提供平台的企业还拥有一个单独的面向公众的网站，该网站收集个人信息，并受CCPA的约束。该公司在收款时通知的链接将消费者发送到其隐私政策的开头，而不是相关部分。该公司的隐私政策也未能描述消费者为了提出可验证的消费者请求而必须提供的信息，列出过去12个月内收集或披露的个人信息类别，并列出为商业目的披露的每类个人信息的第三方类别。在接到涉嫌违规的通知后，该公司通过“深度链接”向消费者发送通知，将其发送到其隐私政策的相关部分，并更新其隐私政策，以包括所需的披露。

健身中心连锁店更新了其网站选择退出和Cookie选项

• 行业：健身行业
• 问题：不合规退出流程

一家经营连锁健身中心的企业在其网站主页上发布了“请勿出售我的个人信息”链接；然而，它包含的选项与不清晰的语言和切换选项相混淆。例如，当消费者将“拒绝出售个人信息”切换为“打开”时，消费者将选择使用第三方cookie并出售其个人信息；消费者需要关闭此开关以选择不出售其个人信息。该公司的隐私政策还引导消费者使用第三方贸易协会的工具，该工具旨在管理在线广告和cookie偏好。在接到涉嫌违规的通知后，该公司简化了选择不出售个人信息的语言和选项，使其更容易理解，避免了双重否定，并删除了一个令人困惑的下拉菜单，改用简单易懂的切换。该公司还更新了其隐私政策，以更明确地解释其如何使用第三方cookie，并允许消费者完全选择不出售个人信息，包括与定向广告相关的信息。

FinTech for未成年人业务更新了隐私政策并添加了必需的链接

• 行业：金融科技
• 问题：不符合隐私政策；不合规退出流程；缺少通知

一家为未成年人（包括13岁至16岁的未成年人）提供金融服务的企业，其运营的移动应用程序未能在收集点或之前通知消费者该企业收集的个人信息类别和用途。它也没有在其隐私政策中明确说明是否出售个人信息。在接到涉嫌违规的通知后，该公司解释说，它隔离了所有18岁以下未成年人的数据，并没有出售这些数据。该公司还更新了隐私政策，明确表示不出售18岁以下未成年人的个人信息。对于18岁以上的消费者，该公司表示可以出售个人信息，并在其主页上添加了“请勿出售我的个人信息”链接。该公司还在其手机应用程序的第一个屏幕上添加了一个链接，用于收集通知，其中包括该公司收集的个人信息类别和使用目的。

人员搜索公司更新了其退出和其他CCPA流程

• 行业：数据代理
• 问题：不合规退出流程和验证程序

一家经营人员搜索网站的企业有一个“请勿出售我的个人信息”链接，该链接仅在某些浏览器上有效，并将消费者引导到一个令人困惑的网页，该网页需要多个步骤才能提交CCPA请求。该业务需要一个繁重的CCPA请求流程（包括验证），只提供一种方法来提交CCPA请求，并要求消费者同意服务条款和隐私政策，以便提交CCPA申请。还不清楚消费者是否需要创建帐户才能完成他们的请求。该业务部门也没有正确披露上一日历年的CCPA指标。

在被告知涉嫌违规后，该公司更新了网站，因此“请勿出售我的个人信息”链接在所有浏览器上都有效，更新了加州隐私页面，以澄清和简化提交CCPA请求的流程，取消了选择退出和删除请求的验证流程，提供了提交CCPA请求的替代方法，包括不要求消费者同意服务条款和隐私政策的简化选项，澄清了消费者无需创建账户，并根据加州法规更新了其披露。，第三部分。11§7102.企业还同意向所有在前两年内提交了CCPA请求但未完成验证的消费者发送电子邮件，并提供了有关其更新、简化的CCPA程序的信息和链接。

服装零售商修正了其退出机制

• 行业：服装零售商
• 问题：不合规退出流程

一家服装零售商有一个不合规的退出流程。它的“请勿出售我的个人信息”链接导致了一个弹出选项，其中只讨论了如何管理cookie和类似技术。它没有提供阻止个人信息销售的机制。在接到涉嫌违规的通知后，该公司更新了其退出页面，向包括非加州人在内的所有消费者提供了一个退出个人信息销售的按钮，该按钮与任何其他cookie偏好选项都是分开的。

技术平台更新的授权代理程序和培训

• 行业：技术
• 问题：不合规选择退出和知情要求流程

一个为企业和消费者提供金融产品的技术平台不允许消费者通过授权代理提交退出请求或知情请求。该平台也未能确保处理消费者查询的人被告知CCPA要求或如何指导消费者行使其CCPA权利。在被告知涉嫌违规行为后，该公司实施了更改，允许消费者通过授权代理提交隐私请求，并更新了隐私政策以反映这些更改。该公司还对其员工进行了一次培训，内容涉及授权代理请求。最后，该公司发起了一项技术解决方案，为使用加利福尼亚互联网协议（IP）地址访问其网站的任何人阻止所有第三方广告cookie。

无线网络提供商更新的信息请求程序

• 行业：电信
• 问题：消费者要求了解和删除；不合规选择退出流程

在社交媒体上，一名消费者通知一家无线网络提供商，其在线CCPA门户不起作用，不接受消费者的知情和删除请求。此外，总检察长发出了一份据称不遵守规定的通知。作为回应，该公司解释了为确保其在线CCPA门户正常运行而采取的措施。它还实现了对其他在线CCPA请求的响应过程，如通过GPC的请求。

在线广告公司更新隐私披露和固定退出销售方法

• 行业：AdTech
• 问题：不符合隐私政策和退出销售流程

提供在线广告工具、技术和服务的企业的隐私披露不易阅读，也不易被普通消费者理解，而且不包含所需信息。该公司选择不出售个人信息的方法也令人困惑，并包含功能失调的联系。在被告知涉嫌违规行为后，该公司修改了隐私政策，以纠正已发现的违规行为，并聘请了一名用户体验设计师来改进其选择退出销售的方法。

2021 7月19日更新

营销公司明确服务提供商身份

• 行业：在线营销服务
• 问题：消费者须知

电子邮件营销公司通过代表客户提交的电子邮件收集消费者的个人信息。该公司没有向消费者提供所需的通知或提交消费者请求的方法。在被告知涉嫌违规后，该公司提供了证据，证明其在处理消费者个人信息时代表客户充当了服务提供商。该公司确认，为一名客户获取和处理的个人信息未用于向另一名客户提供服务。该公司还更新了其服务条款，以明确其作为CCPA下服务提供商的义务。

社交媒体网络更新的服务提供商合同

• 行业：社交媒体网络
• 问题：不合规服务提供商合同

运营社交媒体网络的企业没有合同禁止其服务提供商保留、使用或披露为履行合同中规定的服务以外的任何目的而接收的个人信息。在接到涉嫌违规的通知后，该公司通过添加CCPA特定附录修改了其服务提供商合同。

在线活动销售公司更新了隐私政策并添加了请求方法

• 行业：在线活动销售
• 问题：不符合隐私政策；缺少请求方法

一家出售针对儿童的课程和活动入场券的企业发布了一项隐私政策，该政策未提供所需CCPA消费者权利的通知，包括知情权、删除权和不受歧视权，或披露为消费者行使其CCPA权利而制定的请求方法。该公司也没有明确说明在过去12个月内是否出于商业目的出售了个人信息或转移了个人信息。在接到涉嫌违规的通知后，该公司更新了其隐私政策，以包括所需的CCPA权利，实施了两种请求方法，列出了其出于商业目的传输的个人信息，并明确表示其未出售个人信息。

在线约会平台添加了不出售我的个人信息链接和销售披露

• 行业：在线约会
• 问题：没有“请勿出售我的个人信息”链接；不符合隐私政策

一家提供在线约会平台并出售个人信息的企业在其主页上没有“请勿出售我的个人信息”链接，也没有在其隐私政策中充分披露其出售的个人信息。该公司还披露，用户在创建新帐户时单击“接受共享”按钮，就足以建立销售个人信息的全面同意。在接到涉嫌违规的通知后，该公司添加了一个清晰显眼的“请勿出售我的个人信息”链接，并通过合规的销售披露更新了其隐私政策。

在线AdTech服务提供商/业务纠正隐私政策和CCPA请求方法

• 所属行业：在线广告
• 问题：不符合隐私政策；不符合服务提供商合同

一家公司将流媒体服务和各种有线频道连接到想要在这些渠道上购买目标广告空间的广告商。该公司的隐私政策不符合CCPA，因为尽管它主要是一家服务提供商，但在某些情况下它也是一家企业。此外，它的服务提供商合同没有对使用处理过的个人信息进行必要的限制。在接到涉嫌违规的通知后，该公司修改了其隐私政策，包括澄清其不出售个人信息，并为消费者提交CCPA请求提供一种方便的方式。该公司还完善了其CCPA请求方法说明，并更新了其服务提供商合同，以符合CCPA。

在线社交媒体应用程序实施新系统以及时响应CCPA请求

• 行业：社交媒体
• 问题：对CCPA请求的不及时响应

一家运营社交媒体应用程序的企业没有及时响应CCPA要求了解和删除个人信息的请求，用户抱怨说，他们没有收到通知，说明他们的CCPA请求已经收到或生效。在被告知涉嫌违规后，该公司对未完成的请求做出了回应。该业务部门还更新了其CCPA响应系统，以确保未来的请求得到及时确认和响应。

儿童玩具发行公司更新隐私政策

• 所属行业：儿童玩具分销
• 问题：不符合隐私政策；缺乏请求方法；CCPA请求的收费

一家经销儿童玩具的企业没有提供所需的CCPA消费者权利的通知，没有包括消费者行使其CCPA权利以请求了解和删除的方法，没有列出其披露的个人信息类别，也没有说明其在过去12个月内是否出售了个人信息。该公司还在其隐私政策中声称，处理消费者的知情请求可能会收取费用。在被告知涉嫌违规后，该公司更新了其隐私政策，以解决这些问题。

杂货连锁店的忠诚度计划要求张贴财务激励通知

• 行业：杂货零售商
• 问题：无财务激励通知

一家经营连锁杂货店的企业要求消费者提供个人信息，以换取参与其公司忠诚度计划。该公司没有向参与这些忠诚度计划的消费者提供财务激励通知。在接到涉嫌违规的通知后，该公司修改了其隐私政策，包括财务激励通知。

在线分类广告公司更新的隐私政策

• 行业：在线平台
• 问题：不符合隐私政策

经营在线分类广告平台的企业没有提供所需的CCPA消费者权利通知，包括知情权、删除权和不受歧视权。该公司也没有明确说明在过去12个月内是否出于商业目的出售了个人信息或转移了个人信息。在接到涉嫌违规的通知后，该公司更新了其隐私政策，以包括所需的CCPA权利通知，确定其出于商业目的向他人传输的个人信息类别，并明确表示其未出售个人信息。然而，更新后的隐私政策不易阅读，也不易被普通消费者理解，例如，包含了不必要的法律术语。该公司再次收到通知，称更新后的隐私政策不符合CCPA规定。作为回应，该公司大幅修改了隐私政策，以解决这些担忧。

媒体集团更新的退出流程和通知

• 行业：大众传媒和娱乐
• 问题：不合规退出流程；消费者须知

一家大众媒体和娱乐公司没有向消费者提供任何选择退出该公司出售其个人信息的方法。该公司只将消费者引向第三方行业协会的工具，该工具旨在管理在线广告。该公司的隐私政策和选择退出权通知也没有包含有关消费者或其代理人如何行使选择退出权的必要信息。该公司也没有收到收款通知，并且在其几处数字房产上缺少“请勿出售我的个人信息”链接。在接到涉嫌违规的通知后，该公司更新了其选择退出流程、隐私政策和通知，以解决这些问题，并在其所有数字财产中添加了“请勿出售我的个人信息”链接。

Data Broker更新的退出方法

• 行业：位置数据
• 问题：不合规退出流程

位置数据代理的退出过程将消费者引导到他们的移动设备设置，以实现他们的退出选择。该公司还提供了一个网络表单，允许消费者选择退出该公司的数据收集，但没有说明该网络表单是否也会选择消费者退出其个人信息的销售。在接到涉嫌违规的通知后，该企业更新了其选择退出网页，以更突出地展示网络表单，并澄清其网络表单将允许消费者充分行使其CCPA选择退出权利。该公司还澄清，调整移动设备设置将限制未来的跟踪，但不会实现CCPA选择退出请求。

汽车业务在收款时实施当面通知、更新的隐私政策和修复的缺陷请求方法

• 行业：汽车
• 问题：消费者须知；不符合隐私政策；缺少免费电话号码；提交请求的方法有缺陷

一家汽车公司从在该企业试驾车辆的消费者那里收集了信息，但在收集信息时没有提供通知。该公司的隐私政策也没有包括对CCPA权利的描述或授权代理如何提交请求的说明。该公司也未能为提出CCPA请求的消费者提供免费电话号码，并将消费者引导到一种在线方法，以提交不起作用的了解和删除请求。在接到涉嫌违规的通知后，该公司对收到的与试驾相关的个人信息（无论是在线收集还是亲自收集）发出了收集通知。该公司还更新了其隐私政策，包括有关消费者CCPA权利的必要披露，并列出了免费电话号码，并修复了其提交CCPA请求的缺陷在线方法。

宠物行业网站更新了“选择退出”网页，供消费者选择退出所有个人信息销售

• 所属行业：宠物行业
• 问题：>授权代理人；个人信息销售

一家运营在线宠物收养平台的企业要求消费者的授权代理人在援引CCPA权利时提交公证验证。该公司对其数据销售的披露也令人困惑，而且该公司似乎没有为消费者提供一种选择不出售其个人信息的机制。这项业务还让消费者采取额外的步骤，通过引导消费者使用第三方行业协会的工具来管理在线广告，从而选择退出。在接到涉嫌违规的通知后，该公司取消了对代理商的公证要求，添加了“请勿出售我的个人信息链接”，并更新了其选择退出网页表单，允许消费者完全选择退出个人信息的销售，包括用于目标广告的个人信息。

杂货连锁店更新披露，描述消费者如何通过授权代理提交请求

• 行业：杂货零售商
• 问题：授权代理人；不符合隐私政策

一家经营连锁杂货店的企业，除了其隐私政策中的其他遗漏外，还没有包含授权代理如何代表消费者提交CCPA请求的信息。在收到公众和我们办公室的这些明显违规行为的通知后，该公司更新了其隐私政策，以解释代理商如何代表消费者提交CCPA请求，以及该公司验证此类请求的要求。

移动应用程序游戏停止出售个人信息并更新未成年人保护

• 行业：在线游戏
• 问题：个人信息销售；未成年人个人信息销售

一家运营手机应用游戏的企业，安装了来自第三方移动广告平台的软件，可提供玩家的个人信息，包括13至15岁的未成年人。该公司没有为成年人提供选择退出机制，也没有为未成年人提供选择加入机制。在被告知涉嫌违规后，该公司删除了广告软件，并针对年轻用户实施了其他隐私保护，包括年龄限制和父母验证功能。

社交媒体公司停止出售个人信息并更新隐私政策

• 行业：社交媒体平台
• 问题：消费者须知；个人信息销售

一家推出社交媒体平台并标榜自己支持隐私的企业未能告知消费者其CCPA权利。该公司还与各种第三方分析提供商交换了用户在线活动的个人信息，但没有发布所需的通知，也没有向消费者提供选择退出销售个人信息的方法。在接到涉嫌违规的通知后，该公司更新了隐私政策，并从其应用程序和网站上删除了所有第三方跟踪器。

制造商和零售商停止销售个人信息

• 所属行业：消费电子产品
• 问题：个人信息销售

一家销售电子产品的公司在其零售网站上维护了第三方在线跟踪器，该跟踪器与广告商共享有关消费者在线购物的数据。该业务既没有将服务提供商合同关系强加给这些第三方，也没有处理消费者通过用户启用的全球隐私控制（例如，向GPC发出信号的浏览器扩展）提交的退出请求。在接到涉嫌违规的通知后，该公司与其隐私供应商合作，以实现消费者选择退出请求，并避免在违反CCPA的情况下与第三方共享个人信息。

媒体集团更新了选择退出方法并添加了DNSPI链接

• 行业：数字媒体
• 问题：不合规退出流程；缺少请求方法

一家媒体集团要求消费者提交多个单独的请求，以选择不在其投资组合中的每个网站上出售其个人信息。该公司的一些数字资产上也没有“请勿出售我的个人信息”链接。在接到涉嫌违规的通知后，该公司更新了其退出流程，以简化退出请求，并在其所有数字财产中添加了“请勿出售我的个人信息”链接。

国家杂货连锁店更新了隐私政策并增加了请求方法

• 行业：杂货零售商
• 问题：不符合隐私政策

一家经营连锁杂货店的企业未能在隐私政策中披露其收集和使用消费者个人信息的信息，未能提供消费者CCPA权利的通知，包括知情权、删除权和不受歧视权，也未告知消费者如何提交知情权、删除权、，并选择不出售个人信息。在被告知涉嫌违规后，该公司发布了一份隐私政策，提供了CCPA要求的信息，实施了消费者可以提交CCPA请求的流程，并明确表示其未出售个人信息。

电子邮件新闻稿平台更新了隐私政策并添加了请求方法

• 所属行业：电子邮件订阅平台
• 问题：不符合隐私政策

基于订阅的电子邮件时事通讯平台的隐私政策不合规，因为它没有提供有关CCPA消费者权利（包括知情权、删除权和不受歧视权）的通知，也没有充分告知消费者如何提交知情和删除请求。该公司也没有明确说明在过去12个月内是否出于商业目的出售了个人信息或转移了个人信息。在被告知涉嫌违规后，该公司更新了其隐私政策，以包括所需的CCPA权利，列出了其出于商业目的转移的个人信息，规定了如何提交CCPA请求，并明确表示其未出售个人信息。

在线活动销售公司更新了隐私政策并添加了请求方法

• 行业：在线活动销售
• 问题：不符合隐私政策；缺少请求方法

一家销售活动门票的在线企业有一项不合规的隐私政策，该政策没有提供所需CCPA消费者权利的通知，包括知情权、删除权和不受歧视权。隐私政策也未能告知消费者如何行使其CCPA权利，该公司也未能披露过去12个月内是否出于商业目的出售或披露了个人信息。在被告知涉嫌违规后，该公司更新了其隐私政策，以包含所需信息。它还证实，它没有出售个人信息。

数字合作伙伴明确自己的义务

• 行业：数字体验合作伙伴关系
• 问题：不符合隐私政策；消费者须知；没有“请勿出售我的个人信息”链接

一家在数字战略上与大公司合作的公司没有履行其在CCPA下的义务。该公司的隐私政策没有告知消费者其在CCPA下的权利，也没有就如何收集、使用或出售个人信息提供充分的通知。该公司也没有为消费者提供通过电话或公司网站提出请求的方式。在被告知涉嫌违规后，该公司更新并澄清了其隐私政策，以解决CCPA的特定权利和通知。该公司现在还提供了“请勿出售我的个人信息”链接、电子邮件地址和电话号码，供消费者提交相关请求。

Data Broker更新了DNSPI链接，已停止要求验证的退出请求和验证请求的帐户创建

• 行业：数据代理
• 问题：没有“请勿出售我的个人信息”链接；验证；为验证创建帐户

一位数据经纪人发布了一条“请勿出售我的个人信息”链接，但该链接无效。该公司还要求在接受拒绝出售个人信息的请求之前进行核实——以政府身份证明副本和显示消费者地址的账单的形式。数据代理还要求消费者创建一个帐户，以便发出可验证的消费者请求。在接到涉嫌违规的通知后，该公司更新了“请勿出售我的个人信息”链接，不再要求核实消费者是否选择不出售个人信息，也不再要求客户创建账户以提出CCPA请求。

视频游戏发行公司更新了隐私政策

• 行业：电子游戏发行
• 问题：不符合隐私政策

一家电子游戏发行公司的隐私政策不合规，未提供有关CCPA消费者权利的通知，未列出其披露的个人信息类别，也未说明其在过去12个月内是否出售了个人信息。隐私政策还对消费者如何行使其CCPA权利要求了解和删除给出了不正确的指示。在被告知涉嫌违规后，该公司更新了其隐私政策，以解决这些问题。

教育技术公司更新了隐私政策并添加了DNSPI链接

• 行业：教育技术
• 问题：不符合隐私政策；缺乏请求方法；没有“请勿出售我的个人信息”链接

一家为学校、高等教育和企业提供在线学习平台的教育技术公司，其隐私政策不合规，因为它没有（1）提供所需的CCPA消费者权利的通知，包括知情权、删除权以及在行使CCPA权利时不受歧视的权利；（2） 包括消费者行使其CCPA权利要求了解和删除的方法；以及（3）列出其在过去12个月内披露或出售的个人信息类别。该公司的互联网主页上也没有“请勿出售我的个人信息”链接。在接到涉嫌违规的通知后，该公司更新了其隐私政策，以解决这些问题，并在其主页上添加了“请勿出售我的个人信息”链接。

服装零售商更新了隐私政策并增加了请求方法

• 所属行业：在线服装零售商
• 问题：不符合隐私政策

在线服装零售商的隐私政策不合规，因为它没有提供有关CCPA消费者权利（包括知情权、删除权和不受歧视权）的通知，也没有告知消费者如何提交知情和删除请求。该公司也没有明确说明在过去12个月内是否出于商业目的出售了个人信息或转移了个人信息。在被告知涉嫌违规后，该公司更新了其隐私政策，以包括所需的CCPA权利，列出了其出于商业目的转移的个人信息，规定了如何提交CCPA请求，并明确表示其未出售个人信息。

Data Broker添加了DNSPI链接

• 行业：数据库/目录销售
• 问题：缺少请求方法

一家消费者权益组织发布了一份报告，发现一家销售包括消费者个人信息在内的专业联系人目录的数据经纪人没有在其主页上发布“请勿出售我的个人信息”链接。除了总检察长办公室提供的通知外，报告的发布还提供了CCPA不遵守业务的通知。该公司的回应是在其主页上添加了“请勿出售我的个人信息”链接。