美国加利福尼亚州（下称“加州”）总检察长罗伯·邦塔（Rob Bonta）在发布会上表示，著名化妆品品牌丝芙兰（SEPHORA）就其侵犯消费者隐私一事与加州居民达成和解协议，决定支付120万美元的罚款，并在隐私政策中披露其向第三方出售消费者个人信息的事实，为消费者提供个人信息出售的退出机制。

据了解，去年6月，邦塔所在部门针对各大在线零售商开展执法检查，其后发现丝芙兰存在多项违规问题。首先，丝芙兰未能在隐私政策中向消费者披露其向第三方出售个人信息的事实，允许不具备“服务提供商”资格的第三方广告和分析提供商通过cookies和其他追踪技术追踪丝芙兰官网和应用程序上的消费者行为。

其次，丝芙兰未能向消费者提供退出个人信息出售的相关渠道，未以显著的方式提供“不要出售我的个人信息”的选项。此外，Mozilla去年推出的全球隐私控制（Global Privacy Control，GPC）功能一旦启用，浏览器将通知每个网站不要出售或共享用户个人信息——但丝芙兰对收到的这类信号视而不见，拒绝回应用户不愿出售个人信息的诉求。

诉状显示，邦塔部门在去年6月通知丝芙兰其可能违反了《加州消费者隐私法案》（CCPA）的相关条款，要求其在30天内采取补救措施。然而，丝芙兰并未采取任何行动，邦塔及所在部门以加州居民的名义将丝芙兰告上加州高级法院。

近日，邦塔在一场新闻发布会上披露了该事件的最新进展。丝芙兰同意以支付120万美元的罚款为代价与加州居民达成和解协议，并作出四项承诺：

在隐私政策中向消费者披露其向第三方出售个人信息的事实；为消费者提供包括GPC功能在内的退出个人信息出售的有效渠道；与丝芙兰合作的服务提供商需符合法律的相关要求；向司法部长提供有关其出售个人信息、其与服务提供商的关系状态以及其遵守GPC要求等情况的报告。

【来源：安全内参】