California Privacy Rights Act (CPRA): คุณพร้อมสำหรับ CCPA 2.0 แล้วหรือยัง?

เผยแพร่แล้ว: 2020-12-01
California Privacy Rights Act (CPRA): คุณพร้อมสำหรับ CCPA 2.0 แล้วหรือยัง?

ในเดือนพฤษภาคม 2020 กลุ่มผู้สนับสนุนความเป็นส่วนตัว Californians for Consumer Privacy ประกาศว่าพวกเขาได้รวบรวม 900,000 ลายเซ็นเพื่อเพิ่ม California Privacy Rights Act (หรือที่เรียกว่า CPRA, CCPA 2.0, Proposition 24 หรือ Prop 24) ในการลงคะแนนเสียงในเดือนพฤศจิกายน 2020

เมื่อวันที่ 3 พฤศจิกายน 56% ของชาวแคลิฟอร์เนียลงคะแนนสนับสนุน CPRA ในการเลือกตั้งทั่วไป พระราชบัญญัตินี้มีขึ้นเพื่อแก้ไขและสืบทอดกฎหมายความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (CCPA) เมื่อมีผลบังคับใช้ในวันที่ 1 มกราคม 2023

เมื่อวันที่ 3 พฤศจิกายน 56% ของชาวแคลิฟอร์เนียลงคะแนนสนับสนุน CPRA ในการเลือกตั้งทั่วไป

กล่าวโดยย่อ กฎหมายขยายสิทธิ์ความเป็นส่วนตัวของผู้ใช้ให้สอดคล้องกับ GDPR กำหนดหน้าที่เพิ่มเติมสำหรับธุรกิจ และจัดตั้งหน่วยงานรัฐบาลแห่งแรกที่อุทิศให้กับการดำเนินการและบังคับใช้ความเป็นส่วนตัวในสหรัฐอเมริกา นั่น คือ California Privacy Protection Agency (CPPA)

CCPA ได้ส่งผลกระทบอย่างมีนัยสำคัญนอกแคลิฟอร์เนีย กลายเป็นมาตรฐานสำหรับความเป็นส่วนตัวของข้อมูลทั่วทั้งสหรัฐอเมริกา นั่นคือเหตุผลที่ต้องจับตาดูร่างกฎหมายนี้อย่างใกล้ชิด ซึ่งอาจส่งผลกระทบต่อธุรกิจแม้ว่าจะไม่ได้ตั้งอยู่ในแคลิฟอร์เนียก็ตาม ด้านล่างนี้ เราได้สรุปประเด็นสำคัญที่นักการตลาดจำเป็นต้องรู้เพื่อเริ่มเตรียมรับข้อกำหนดการปฏิบัติตามข้อกำหนดใหม่

หน่วยงานบังคับใช้ความเป็นส่วนตัวใหม่

เมื่อกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) มีผลบังคับใช้ สหภาพยุโรปได้แต่งตั้งหน่วยงานคุ้มครองข้อมูลเพื่อบังคับใช้กฎหมาย สหรัฐอเมริกาไม่มีอำนาจเทียบเท่าในการกำหนดสิทธิ์ความเป็นส่วนตัวของผู้บริโภคใหม่

นี่คือที่มาของหน่วยงานคุ้มครองความเป็นส่วนตัวแห่งแคลิฟอร์เนีย (CPPA) หน้าที่ของหน่วยงานคือการชี้แจงหลักเกณฑ์ใหม่ ปรับใช้ค่าปรับ และจัดให้มีการพิจารณาคดีเกี่ยวกับการละเมิดความเป็นส่วนตัว

สิทธิผู้บริโภคใหม่และแนวคิด PII

CPRA นำเสนอแนวคิดใหม่ (ที่มีอยู่แล้วในสหภาพยุโรปด้วย GDPR) กับภูมิทัศน์ความเป็นส่วนตัวของข้อมูลในแคลิฟอร์เนีย

นี่คือบางส่วนของพวกเขาอธิบาย:

  • สิทธิ์ในการแก้ไข – ให้สิทธิ์ผู้บริโภคในการแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้อง
  • สิทธิ์ในการจำกัด – ให้สิทธิ์ผู้บริโภคในการจำกัดการใช้และการเปิดเผยข้อมูลส่วนบุคคลที่ละเอียดอ่อน
  • ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ “ละเอียดอ่อน” – ภายใต้กฎหมายใหม่ ข้อมูลบางประเภท เช่น หมายเลขประกันสังคม หมายเลขหนังสือเดินทาง ที่ตั้งทางภูมิศาสตร์ที่แม่นยำ ข้อมูลไบโอเมตริกซ์ ฯลฯ จะถูกทำเครื่องหมายเป็น “ละเอียดอ่อน”

มีอะไรเปลี่ยนแปลงบ้าง?

CCPA 2020

  • สิทธิที่จะรู้
  • สิทธิ์ในการลบ
  • สิทธิ์ในการเลือกไม่รับการขายโดยบุคคลที่สาม
  • สิทธิในการไม่เลือกปฏิบัติ

รวม PI ที่มีความละเอียดอ่อนโดยนัยในชุดข้อมูลที่มีการควบคุมที่กว้างขึ้น แต่ไม่ได้กำหนดข้อกำหนดและข้อห้ามแยกต่างหากสำหรับ PI ที่มีความละเอียดอ่อน (นอกเหนือจากข้อกำหนดการตรวจสอบที่เพิ่มขึ้น)

CPRA 2023

  • สิทธิที่จะรู้
  • สิทธิ์ในการลบ
  • สิทธิ์ในการยกเลิกการขายและการแบ่งปันของบุคคลที่สาม
  • สิทธิ์ในการจำกัดการใช้และการเปิดเผย PI . ที่ละเอียดอ่อน
  • สิทธิ์ในการแก้ไข
  • สิทธิ์ในการเข้าถึงข้อมูลเกี่ยวกับการตัดสินใจโดยอัตโนมัติ
  • สิทธิ์ในการเลือกไม่ใช้เทคโนโลยีการตัดสินใจอัตโนมัติ
  • สิทธิ์ในการจำกัด PI . ที่ละเอียดอ่อน
  • ภาระหน้าที่ในการตรวจสอบ
  • สิทธิในการไม่เลือกปฏิบัติ

กำหนดข้อกำหนดและข้อจำกัดแยกต่างหากเกี่ยวกับ PI ที่มีความละเอียดอ่อน:

  • ข้อกำหนดการเปิดเผยข้อมูล
  • ข้อกำหนดการเลือกไม่ใช้สำหรับการใช้และการเปิดเผย
  • เลือกใช้มาตรฐานความยินยอมในการใช้และการเปิดเผย
  • ข้อกำหนดข้อจำกัดวัตถุประสงค์

นิยามใหม่ของการขายข้อมูลส่วนบุคคล

CPRA จะกำหนดสิ่งที่บริษัทสามารถทำได้กับข้อมูลส่วนบุคคลที่พวกเขารวบรวมจากผู้อยู่อาศัยในแคลิฟอร์เนียในรูปแบบใหม่ ภายใต้ CCPA การขายถูกกำหนดให้เป็น "การแลกเปลี่ยนข้อมูลเพื่อการพิจารณาทางการเงินบางประเภท" ซึ่งเป็นคำจำกัดความที่หลายคนมองว่าคลุมเครือเกินไป CPRA จัดการปัญหานี้โดยแบ่งการแบ่งปันและการขายข้อมูลส่วนบุคคลของผู้คนออกเป็นสองประเภทที่แตกต่างกัน

มีอะไรเปลี่ยนแปลงบ้าง?

CCPA 2020

  • มีรายได้ต่อปีมากกว่า 25 ล้านดอลลาร์
  • ซื้อหรือขาย OR รับหรือแบ่งปันเพื่อวัตถุประสงค์ทางการค้าของธุรกิจ PI ของผู้บริโภค ครัวเรือนหรืออุปกรณ์มากกว่า 50,000 ราย หรือ
  • มีรายได้อย่างน้อย 50% ต่อปีจากการขาย PI ของผู้บริโภค

CPRA 2023

  • มีรายได้ต่อปีมากกว่า 25 ล้านดอลลาร์
  • ซื้อ ขาย หรือแบ่งปัน PI ของผู้บริโภคหรือครัวเรือนมากกว่า 100,000 คน หรือ
  • มีรายได้อย่างน้อย 50% ต่อปีจากการขายหรือแบ่งปัน PI ของผู้บริโภค

สิทธิเพิ่มเติมสำหรับเด็กอายุต่ำกว่า 16

  • ค่าปรับทางปกครองที่เพิ่มขึ้นสำหรับการแบ่งปันข้อมูลส่วนบุคคลของเด็กอย่างผิดกฎหมาย : การละเมิดใด ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของเด็กอายุต่ำกว่า 16 ปีจะถูกปรับ 7,500 ดอลลาร์ต่อการละเมิด ภายใต้พระราชบัญญัติปัจจุบัน บทลงโทษนี้สงวนไว้สำหรับการละเมิดโดยเจตนาเท่านั้น ค่าปรับสูงสุด 2,500 ดอลลาร์สำหรับการกระทำที่ไม่ตั้งใจอื่น ๆ ที่เกี่ยวข้องกับผู้ที่มีอายุ 16 ปีขึ้นไปยังคงเหมือนเดิม
  • ข้อกำหนดในการขอความยินยอมในการแบ่งปันข้อมูลส่วนบุคคลของเด็กอายุต่ำกว่า 16 ปี : ภายใต้ CPRA ผู้บริโภคไม่เพียงแต่เลือกที่จะไม่ขาย PI ของตนเท่านั้น แต่ยังเลือกที่จะไม่ขายให้กับบุคคลที่สามโดยเฉพาะอีกด้วย ในทำนองเดียวกัน CCRA ระบุถึงความจำเป็นที่ธุรกิจต้องรวบรวมความยินยอมยืนยันที่จะแบ่งปันหรือขาย PI ของเด็กอายุต่ำกว่า 16 ปี CPRA ยังขอให้สร้างกฎใหม่เพื่อ "กำหนดข้อกำหนดทางเทคนิคสำหรับสัญญาณการตั้งค่าการเลือกไม่รับที่ช่วยให้ ผู้บริโภค หรือบิดามารดาหรือผู้ปกครองของผู้บริโภค โดยให้ระบุว่าผู้บริโภคมีอายุต่ำกว่า 13 ปี หรืออายุไม่ต่ำกว่า 13 ปีบริบูรณ์ และไม่เกิน 16 ปี”

มีอะไรใหม่สำหรับผู้รับเหมา ภาระผูกพันตามสัญญาสำหรับผู้ให้บริการ

CPRA แนะนำคำว่า "ผู้รับเหมา" เพื่ออธิบายผู้ที่ธุรกิจเปิดเผยข้อมูลส่วนบุคคลของผู้บริโภคเพื่อวัตถุประสงค์ทางธุรกิจตามสัญญาที่เป็นลายลักษณ์อักษร (คล้ายกับ "ผู้ให้บริการ" ของ CCPA ซึ่งหมายถึงบุคคลที่ประมวลผลข้อมูลส่วนบุคคล " ในนามของ”ธุรกิจ)

แม้ว่า CCPA จะคลุมเครือในคำจำกัดความของผู้ให้บริการและผู้ให้บริการย่อย แต่ CPRA ได้กำหนดกฎเกณฑ์ใหม่ไว้อย่างชัดเจน ผู้รับเหมาหรือผู้ให้บริการรายใดผูกพันตามสัญญาเป็นลายลักษณ์อักษรเพื่อให้มีความโปร่งใสเกี่ยวกับความร่วมมือใดๆ กับผู้ประมวลผลช่วงรายอื่น ผู้ให้บริการต้องไม่เพิ่มหรือเก็บข้อมูลผู้บริโภคอื่นใด ทำให้ธุรกิจมีสิทธิ์ "ดำเนินการตามสมควรและเหมาะสม" เพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลจะไม่ได้รับหรือใช้อย่างผิดจรรยาบรรณ

สิ่งที่นักการตลาดต้องการทราบเกี่ยวกับ CPRA

ในปี 2023 นักการตลาดจำเป็นต้องใส่ใจมากขึ้นกับข้อมูลที่รวบรวมและใช้เพื่อเข้าถึงผู้บริโภค ไม่ว่าจะเป็นข้อมูลของบุคคลที่หนึ่งหรือบุคคลที่สาม เช่น ข้อมูลการสร้างผู้ชมและการกำหนดเป้าหมายที่ผู้โฆษณาใช้ การรวบรวมข้อมูลใดๆ ไม่ว่าจะโดยตรงหรือผ่านผู้ให้บริการหรือผู้รับเหมารายอื่น จะต้องได้รับ ความยินยอมจากผู้บริโภคอย่างชัดแจ้ง ต้องมีการเปิดเผยการใช้ แบ่งปัน หรือขายข้อมูลส่วนบุคคลในภายหลัง

นี่คือสิ่งที่นักการตลาดต้องทำเพื่อเตรียมพร้อมสำหรับ CPRA:

1. ให้ความสำคัญกับความโปร่งใสในบริษัทของคุณ

CPRA ระบุชัดเจนว่าธุรกิจต่างๆ จำเป็นต้องโปร่งใสเกี่ยวกับข้อมูลที่รวบรวม หากคุณให้ความสนใจกับวิธีการเก็บรวบรวมข้อมูลแล้ว จัดเก็บไว้ที่ไหน เก็บข้อมูลไว้นานเท่าใด และจัดการอย่างไรตลอดวงจรชีวิต ตอนนี้เป็นเวลาที่จะแบ่งปันมาตรการเหล่านี้กับผู้ใช้ของคุณ ในทำนองเดียวกัน ภายใต้ CPRA ธุรกิจจะถูกจำกัดการใช้โครงสร้างความยินยอมเพื่อผลักดันให้ผู้ใช้ดำเนินการบางอย่าง หากนี่คือสิ่งที่ฝ่ายการตลาดของคุณทำ ให้เริ่มวิเคราะห์ว่าคุณรวบรวมความยินยอมอย่างไรเพื่อหลีกเลี่ยงรูปแบบที่มืดมนและความยินยอมโดยนัย

2. ตรวจสอบคุกกี้และนโยบายการอัพเดท

เช่นเดียวกับ GDPR CPRA จะจำกัดฟังก์ชันการแชร์ข้อมูลบางอย่างซึ่งรวมถึงการใช้คุกกี้ เริ่มการจัดเก็บคุกกี้ที่มีอยู่ในเว็บไซต์ของคุณและอัปเดตนโยบายของคุณเพื่อให้แน่ใจว่าสอดคล้องกับระเบียบข้อบังคับล่าสุด ตรวจสอบให้แน่ใจว่าคุณอัปเดตการใช้คำฟุ่มเฟือยเพื่อรวมส่วนคำสั่งใหม่ทั้งหมดของ CPRA — คุณกำลังรวบรวม PI ที่ "ละเอียดอ่อน" หรือไม่ ผู้ใช้จะเลือกไม่ใช้เทคโนโลยีการตัดสินใจอัตโนมัติได้อย่างไร ตรวจสอบให้แน่ใจว่าข้อควรพิจารณาเหล่านี้ชัดเจนสำหรับผู้บริโภค

3. ตรวจสอบสัญญาทั้งหมดกับพันธมิตร (รวมถึงผู้จัดพิมพ์)

ในฐานะธุรกิจที่ผูกมัดกับ CPRA คุณต้องตรวจสอบให้แน่ใจว่าคู่ค้าของคุณปฏิบัติตามกฎหมายความเป็นส่วนตัวในระดับเดียวกับที่คุณทำ ตรวจสอบสัญญาทั้งหมดของคุณอย่างละเอียด (เกี่ยวข้องกับกฎหมายหากจำเป็น) เพื่อให้แน่ใจว่าข้อมูลผู้ใช้ทั้งหมดได้รับมาจากความยินยอมอย่างชัดแจ้งและจัดการอย่างมีจริยธรรม

CPRA จำกัดแนวทางการขายข้อมูล โดยเฉพาะอย่างยิ่งเมื่อพูดถึงกลุ่มเป้าหมายและการกำหนดเป้าหมายตามพฤติกรรม ตรวจสอบให้แน่ใจว่าคุณได้ตรวจสอบความร่วมมือกับผู้เผยแพร่โฆษณาและสนับสนุนผู้ที่ใช้กลุ่มข้อมูลของบุคคลที่หนึ่งและได้รับข้อมูลที่สอดคล้องกับระเบียบข้อบังคับด้านความเป็นส่วนตัวเหล่านี้

4. ทำงานร่วมกับผู้เชี่ยวชาญด้านความเป็นส่วนตัว

ไม่ว่าคุณจะจ้างใครซักคนหรือทำงานกับที่ปรึกษาหรือเอเจนซี่ภายนอก คุณต้องการผู้เชี่ยวชาญที่จะช่วยให้คุณก้าวทันกฎระเบียบล่าสุด CPRA อาจไม่ใช่กฎหมายความเป็นส่วนตัวของข้อมูลฉบับสุดท้ายที่จะส่งผลกระทบต่อธุรกิจของคุณ อันที่จริง กฎหมายกำลังกำหนดมาตรฐานใหม่ที่มีแนวโน้มว่าจะนำมาใช้ทั่วประเทศในอนาคต

คุณพร้อมไหม?

เมื่อการเรียกเก็บเงินผ่าน ธุรกิจต่างๆ จำเป็นต้องทำความคุ้นเคยกับข้อกำหนดการปฏิบัติตามข้อกำหนดใหม่ กฎหมายมีผลบังคับใช้ในวันที่ 1 มกราคม พ.ศ. 2566 และมีผลบังคับใช้ในวันที่ 1 กรกฎาคม พ.ศ. 2566 แต่อาจนำไปใช้กับข้อมูลส่วนบุคคลที่รวบรวมโดยบริษัทต่างๆ ได้ตั้งแต่วันที่ 1 มกราคม พ.ศ. 2565

การแจ้งให้ทราบเป็นเวลานานเพื่อปรับให้เข้ากับกฎระเบียบด้านความเป็นส่วนตัวใหม่อาจฟังดูมากเกินไป แต่สิ่งต่างๆ อาจซับซ้อนได้อย่างรวดเร็วในองค์กรขนาดใหญ่ โดยเฉพาะอย่างยิ่งหากคุณทำงานกับพันธมิตรจำนวนมาก นั่นเป็นเหตุผลที่เราแนะนำให้เริ่มต้นทันที

มีคำถามอะไรไหม? Convert เป็นเครื่องมือทดสอบ A/B ที่สอดคล้องกับความเป็นส่วนตัวมากที่สุดในตลาด ผู้เชี่ยวชาญของเราทราบข้อมูลทั้งหมดเกี่ยวกับกฎระเบียบด้านความเป็นส่วนตัวและข้อมูลที่จำเป็นในการปฏิบัติตามข้อกำหนดโดยสมบูรณ์ ส่งคำถามของคุณมาให้เราที่นี่

สัมผัสกับเครื่องมือทดสอบ A/B ที่คำนึงถึงความเป็นส่วนตัวมากที่สุดตัวหนึ่ง
สัมผัสกับเครื่องมือทดสอบ A/B ที่คำนึงถึงความเป็นส่วนตัวมากที่สุดตัวหนึ่ง