加州隱私權法案 (CPRA):您準備好迎接 CCPA 2.0 了嗎?
已發表: 2020-12-01
2020 年 5 月,隱私權倡導組織 Californians for Consumer Privacy 宣布,他們已收集 900,000 個簽名,以將《加州隱私權法案》(也稱為 CPRA、CCPA 2.0、第 24 號提案或第 24 號提案)添加到 2020 年 11 月的投票中。
11 月 3 日,56% 的加州人在大選中投票支持 CPRA。 該法案旨在修訂並繼承加州消費者隱私法案 (CCPA),一旦該法案於 2023 年 1 月 1 日生效。
簡而言之,該法律擴大了用戶隱私權以與 GDPR 保持一致,對企業施加了額外的職責,並建立了美國第一個致力於隱私實施和執法的政府機構——加州隱私保護局 (CPPA) 。
CCPA 已經在加利福尼亞以外產生了重大影響,成為整個美國的數據隱私標準。 這就是為什麼需要密切關注該法案的原因——它可能會影響企業,即使它們不在加利福尼亞州。 下面我們概述了營銷人員在開始為新的合規要求做準備時需要了解的關鍵點。
新的隱私執法機構
當通用數據保護條例 (GDPR) 生效時,歐盟任命數據保護機構來執行法律。 美國沒有類似的權力來實施新的消費者隱私權。
這就是加州隱私保護署 (CPPA) 的用武之地。它的作用是闡明新的指導方針、處以罰款,並就侵犯隱私的行為舉行聽證會。
新的消費者權利和 PII 概念
CPRA 將新概念(由於 GDPR 在歐盟中已經存在)引入了加利福尼亞的數據隱私環境。
以下是其中一些,解釋:
- 糾正權——授予消費者糾正不准確個人信息的權利。
- 限制權——授予消費者限制敏感個人信息的使用和披露的權利。
- “敏感”個人身份信息——根據新法律,某些類型的信息,如社會安全號碼、護照號碼、精確地理位置、生物特徵信息等,將被標記為“敏感”。
有什麼改變?
CCPA 2020
- 知情權
- 刪除權
- 選擇退出第三方銷售的權利
- 不受歧視的權利
將敏感 PI 隱含在更廣泛的受監管數據集中,但不對敏感 PI 施加單獨的要求和禁止(除了增加的驗證要求)。
CPRA 2023
- 知情權
- 刪除權
- 選擇退出第三方銷售和分享的權利
- 限制使用和披露敏感 PI 的權利
- 糾正權
- 訪問有關自動決策的信息的權利
- 選擇退出自動決策技術的權利
- 限制敏感 PI 的權利
- 審計義務
- 不受歧視的權利
對敏感 PI 施加單獨的要求和限制:
- 披露要求
- 使用和披露的退出要求
- 使用和披露的選擇同意標準
- 目的限制要求
個人信息出售的新定義
CPRA 將以一種新的方式定義公司可以如何處理從加州居民那裡收集的個人信息。 根據 CCPA,銷售被定義為“為某種類型的財務考慮交換數據”,許多人認為這個定義過於模糊。 CPRA 通過將共享和出售人們的個人信息分為兩個不同的類別來解決這個問題。
有什麼改變?
CCPA 2020
- 年收入超過 25 萬美元;
- 為企業的商業目的購買或出售、或接收或分享 50,000 多名消費者、家庭或設備的 PI; 或者
- 至少 50% 的年收入來自銷售消費者 PI。
CPRA 2023
- 年收入超過 25 萬美元;
- 購買、出售或分享 100,000 多個消費者或家庭的 PI; 或者
- 至少 50% 的年收入來自銷售或分享消費者 PI。
16 歲以下兒童的更多權利
- 增加非法共享兒童個人信息的行政罰款:任何涉及 16 歲以下兒童個人信息的違規行為,每次違規將被處以 7,500 美元的罰款。 根據現行法案,該處罰僅適用於故意違規。 涉及 16 歲以上人士的所有其他非故意行為的最高罰款 2,500 美元保持不變。
- 共享 16 歲以下兒童個人信息的選擇同意要求:根據 CPRA,消費者不僅可以選擇不出售他們的 PI,還可以選擇不專門將其出售給第三方。 同樣,CCRA 解決了企業收集肯定的選擇同意以共享或出售 16 歲以下兒童的個人信息的需求。CPRA 還要求制定新的規則,以“建立選擇退出偏好信號的技術規範,允許消費者或消費者的父母或監護人,以指明消費者未滿 13 歲或至少 13 歲且未滿 16 歲。”
承包商有什麼新鮮事? 服務提供商的合同義務
CPRA 引入術語“承包商”來描述企業根據書面合同出於商業目的向其提供消費者個人信息的人員(類似於 CCPA 的“服務提供商”,其中指的是處理個人信息的人員“代表”一家企業)。
雖然 CCPA 對服務提供商和子服務提供商的定義模棱兩可,但 CPRA 非常明確地制定了新規則。 任何承包商或服務提供商都受書面合同的約束,必須對與其他分處理器的任何合作保持透明。 服務提供商不得添加或保留任何其他消費者數據,從而賦予企業“採取合理和適當措施”以確保不會以不道德的方式獲取或使用個人信息的權利。
營銷人員需要了解的有關 CPRA 的內容
到 2023 年,營銷人員需要更加關注他們為接觸消費者而收集和使用的數據,無論是第一方數據還是第三方數據,例如廣告商使用的受眾構建和定位信息。 任何數據收集,無論是直接收集還是通過其他服務提供商或承包商收集,都需要明確的消費者同意。 任何後續使用、共享或出售個人信息的行為也需要披露。
以下是營銷人員為 CPRA 做好準備需要做的事情:
1. 優先考慮貴公司的透明度
CPRA 明確指出,企業需要對其收集的數據保持透明。 如果您已經在關注如何收集數據、存儲數據的位置、保留數據的時間以及在整個生命週期中如何管理數據,那麼現在是時候與您的用戶分享所有這些措施了。 同樣,根據 CPRA,企業將在如何使用同意結構來推動用戶採取某些行動方面受到限制。 如果這是您的營銷部門所做的事情,請開始分析您如何收集同意以避免任何黑暗模式和隱含同意。
2. 查看 Cookie 和更新政策
與 GDPR 類似,CPRA 限制某些數據共享功能,包括使用 cookie。 開始清點您網站上存在的 cookie 並更新您的政策,以確保它們符合最新法規。 確保更新你的措辭以包括 CPRA 的所有新條款——你是否收集任何“敏感”的 PI? 用戶如何選擇退出自動決策技術? 確保消費者清楚這些注意事項。
3. 審查與合作夥伴(包括出版商)的所有合同
作為受 CPRA 約束的企業,您必須確保您的合作夥伴提供與您一樣的隱私法合規性。 徹底審查您的所有合同(必要時涉及法律),以確保所有用戶數據均通過明確同意獲得併以合乎道德的方式進行管理。
CPRA 限制了數據銷售實踐,尤其是在受眾和行為定位方面。 確保您檢查與發布者的合作夥伴關係,並偏愛那些使用第一方數據池並獲得遵守這些隱私法規的數據的發布者。
4. 與隱私專家合作
無論您是聘請某人還是與外部顧問或代理機構合作,您都需要一位專家來幫助您了解最新的法規。 CPRA 可能不是影響您業務的最後一部數據隱私法。 事實上,該法律正在製定新的標準,未來可能會在全國范圍內採用。
你準備好了嗎?
既然法案通過了,企業需要熟悉新的合規要求。 該法律於 2023 年 1 月 1 日生效,並於 2023 年 7 月 1 日生效,但它最早可能在 2022 年 1 月 1 日適用於公司收集的個人信息。
如此長的通知以適應新的隱私法規可能聽起來有些過分,但在大型組織中,事情可能會很快變得複雜,特別是如果您與很多合作夥伴一起工作。 這就是為什麼我們建議立即開始。
有任何問題嗎? Convert 是市場上最符合隱私要求的 A/B 測試工具。 我們的專家了解隱私法規的所有細節以及完全合規所需的條件 - 在此處向我們發送您的問題。
