加州隐私权法案 (CPRA):您准备好迎接 CCPA 2.0 了吗?
已发表: 2020-12-01
2020 年 5 月,隐私权倡导组织 Californians for Consumer Privacy 宣布,他们已收集 900,000 个签名,以将《加州隐私权法案》(也称为 CPRA、CCPA 2.0、第 24 号提案或第 24 号提案)添加到 2020 年 11 月的投票中。
11 月 3 日,56% 的加州人在大选中投票支持 CPRA。 该法案旨在修订并继承加州消费者隐私法案 (CCPA),一旦该法案于 2023 年 1 月 1 日生效。
简而言之,该法律扩大了用户隐私权以与 GDPR 保持一致,对企业施加了额外的职责,并建立了美国第一个致力于隐私实施和执法的政府机构——加州隐私保护局 (CPPA) 。
CCPA 已经在加利福尼亚以外产生了重大影响,成为整个美国的数据隐私标准。 这就是为什么需要密切关注该法案的原因——它可能会影响企业,即使它们不在加利福尼亚州。 下面我们概述了营销人员在开始为新的合规要求做准备时需要了解的关键点。
新的隐私执法机构
当通用数据保护条例 (GDPR) 生效时,欧盟任命数据保护机构来执行法律。 美国没有类似的权力来实施新的消费者隐私权。
这就是加州隐私保护署 (CPPA) 的用武之地。它的作用是阐明新的指导方针、处以罚款,并就侵犯隐私的行为举行听证会。
新的消费者权利和 PII 概念
CPRA 将新概念(由于 GDPR 在欧盟中已经存在)引入了加利福尼亚的数据隐私环境。
以下是其中一些,解释:
- 纠正权——授予消费者纠正不准确个人信息的权利。
- 限制权——授予消费者限制敏感个人信息的使用和披露的权利。
- “敏感”个人身份信息——根据新法律,某些类型的信息,如社会安全号码、护照号码、精确地理位置、生物特征信息等,将被标记为“敏感”。
有什么改变?
CCPA 2020
- 知情权
- 删除权
- 选择退出第三方销售的权利
- 不受歧视的权利
将敏感 PI 隐含在更广泛的受监管数据集中,但不对敏感 PI 施加单独的要求和禁止(除了增加的验证要求)。
CPRA 2023
- 知情权
- 删除权
- 选择退出第三方销售和分享的权利
- 限制使用和披露敏感 PI 的权利
- 纠正权
- 访问有关自动决策的信息的权利
- 选择退出自动决策技术的权利
- 限制敏感 PI 的权利
- 审计义务
- 不受歧视的权利
对敏感 PI 施加单独的要求和限制:
- 披露要求
- 使用和披露的退出要求
- 使用和披露的选择同意标准
- 目的限制要求
个人信息出售的新定义
CPRA 将以一种新的方式定义公司可以如何处理从加州居民那里收集的个人信息。 根据 CCPA,销售被定义为“为某种类型的财务考虑交换数据”,许多人认为这个定义过于模糊。 CPRA 通过将共享和出售人们的个人信息分为两个不同的类别来解决这个问题。
有什么改变?
CCPA 2020
- 年收入超过 25 万美元;
- 为企业的商业目的购买或出售、或接收或分享 50,000 多名消费者、家庭或设备的 PI; 或者
- 至少 50% 的年收入来自销售消费者 PI。
CPRA 2023
- 年收入超过 25 万美元;
- 购买、出售或分享 100,000 多个消费者或家庭的 PI; 或者
- 至少 50% 的年收入来自销售或分享消费者 PI。
16 岁以下儿童的更多权利
- 增加非法共享儿童个人信息的行政罚款:任何涉及 16 岁以下儿童个人信息的违规行为,每次违规将被处以 7,500 美元的罚款。 根据现行法案,该处罚仅适用于故意违规。 涉及 16 岁以上人士的所有其他非故意行为的最高罚款 2,500 美元保持不变。
- 共享 16 岁以下儿童个人信息的选择同意要求:根据 CPRA,消费者不仅可以选择不出售他们的 PI,还可以选择不专门将其出售给第三方。 同样,CCRA 解决了企业收集肯定的选择同意以共享或出售 16 岁以下儿童的个人信息的需求。CPRA 还要求制定新的规则,以“建立选择退出偏好信号的技术规范,允许消费者或消费者的父母或监护人,以指明消费者未满 13 岁或至少 13 岁且未满 16 岁。”
承包商有什么新鲜事? 服务提供商的合同义务
CPRA 引入术语“承包商”来描述企业根据书面合同出于商业目的向其提供消费者个人信息的人员(类似于 CCPA 的“服务提供商”,其中指的是处理个人信息的人员“代表”一家企业)。
虽然 CCPA 对服务提供商和子服务提供商的定义模棱两可,但 CPRA 非常明确地制定了新规则。 任何承包商或服务提供商都受书面合同的约束,必须对与其他分处理器的任何合作保持透明。 服务提供商不得添加或保留任何其他消费者数据,从而赋予企业“采取合理和适当措施”以确保不会以不道德的方式获取或使用个人信息的权利。
营销人员需要了解的有关 CPRA 的内容
到 2023 年,营销人员需要更加关注他们为接触消费者而收集和使用的数据,无论是第一方数据还是第三方数据,例如广告商使用的受众构建和定位信息。 任何数据收集,无论是直接收集还是通过其他服务提供商或承包商收集,都需要明确的消费者同意。 任何后续使用、共享或出售个人信息的行为也需要披露。
以下是营销人员为 CPRA 做好准备需要做的事情:
1. 优先考虑贵公司的透明度
CPRA 明确指出,企业需要对其收集的数据保持透明。 如果您已经在关注如何收集数据、存储数据的位置、保留数据的时间以及在整个生命周期中如何管理数据,那么现在是时候与您的用户分享所有这些措施了。 同样,根据 CPRA,企业将在如何使用同意结构来推动用户采取某些行动方面受到限制。 如果这是您的营销部门所做的事情,请开始分析您如何收集同意以避免任何黑暗模式和隐含同意。
2. 查看 Cookie 和更新政策
与 GDPR 类似,CPRA 限制某些数据共享功能,包括使用 cookie。 开始清点您网站上存在的 cookie 并更新您的政策,以确保它们符合最新法规。 确保更新你的措辞以包括 CPRA 的所有新条款——你是否收集任何“敏感”的 PI? 用户如何选择退出自动决策技术? 确保消费者清楚这些注意事项。
3. 审查与合作伙伴(包括出版商)的所有合同
作为受 CPRA 约束的企业,您必须确保您的合作伙伴提供与您一样的隐私法合规性。 彻底审查您的所有合同(必要时涉及法律),以确保所有用户数据均通过明确同意获得并以合乎道德的方式进行管理。
CPRA 限制了数据销售实践,尤其是在受众和行为定位方面。 确保您检查与发布者的合作伙伴关系,并偏爱那些使用第一方数据池并获得遵守这些隐私法规的数据的发布者。
4. 与隐私专家合作
无论您是聘请某人还是与外部顾问或代理机构合作,您都需要一位专家来帮助您了解最新的法规。 CPRA 可能不是影响您业务的最后一部数据隐私法。 事实上,该法律正在制定新的标准,未来可能会在全国范围内采用。
你准备好了吗?
既然法案通过了,企业需要熟悉新的合规要求。 该法律于 2023 年 1 月 1 日生效,并于 2023 年 7 月 1 日生效,但它最早可能在 2022 年 1 月 1 日适用于公司收集的个人信息。
如此长的通知以适应新的隐私法规可能听起来有些过分,但在大型组织中,事情可能会很快变得复杂,特别是如果您与很多合作伙伴一起工作。 这就是为什么我们建议立即开始。
有任何问题吗? Convert 是市场上最符合隐私要求的 A/B 测试工具。 我们的专家了解隐私法规的所有细节以及完全合规所需的条件 - 在此处向我们发送您的问题。
