• โฮมเพจ
  • บทความ
  • การตลาด
  • มันยังมีชีวิตอยู่! เตรียมพร้อมสำหรับข้อบังคับ CPRA และกฎหมายความเป็นส่วนตัวของข้อมูลใหม่

มันยังมีชีวิตอยู่! เตรียมพร้อมสำหรับข้อบังคับ CPRA และกฎหมายความเป็นส่วนตัวของข้อมูลใหม่

เผยแพร่แล้ว: 2023-02-23

กฎหมายความเป็นส่วนตัวของข้อมูลกำลังสร้างโมเมนตัม: ร่างกฎหมายความเป็นส่วนตัวที่ครอบคลุมมากขึ้นซึ่งได้รับการเสนอและส่งผ่านในระดับรัฐมากกว่าที่เคยเป็นมา แต่ไม่มีสิ่งใดที่กว้างขวางเท่ากับสิ่งที่เกิดขึ้นในรัฐแคลิฟอร์เนีย

California Privacy Rights Act (CPRA) มีผลบังคับใช้ในวันที่ 1 มกราคม 2023 และการบังคับใช้จะเริ่มในวันที่ 1 กรกฎาคม 2023 CPRA เป็นตัวแทนทั้งความชัดเจนและการขยายขอบเขตของ California Consumer Privacy Act (CCPA) เดิม เมื่อรวมกันแล้วจะถือเป็นกฎหมายความเป็นส่วนตัวที่เข้มงวดที่สุดในประเทศ

นั่นหมายถึงอะไรสำหรับธุรกิจของคุณ ประการแรก หากกลยุทธ์ทางการตลาดของคุณตกอยู่ในอันตรายจากการไม่ปฏิบัติตาม และคุณทำธุรกิจใดๆ (รวมถึงการขายของออนไลน์) ในรัฐแคลิฟอร์เนีย คุณต้องย้ายความเป็นส่วนตัวไปไว้ด้านบนสุดของรายการลำดับความสำคัญ

ก่อนที่เราจะไปต่อ โปรดทราบว่าเนื้อหาในบล็อกนี้ควรได้รับการพิจารณาว่าเป็นการรายงานและ/หรือความคิดเห็น ไม่ใช่คำแนะนำทางกฎหมาย ปรึกษาฝ่ายกฎหมายของคุณเกี่ยวกับการตัดสินใจทั้งหมดเกี่ยวกับการปฏิบัติตาม

ภาพรวม: CPRA เทียบกับ CCPA และกฎหมายความเป็นส่วนตัวของข้อมูลอื่น ๆ ที่มีผลบังคับใช้ในปี 2566

คุณอาจทราบดีถึงการเปลี่ยนแปลงกำหนดเวลาและกำหนดการที่ปรับเปลี่ยนเกี่ยวกับ CPRA ที่ประกาศเมื่อปลายปี 2022 แต่จะไม่เปลี่ยนปฏิทินที่กำหนดไว้ก่อนหน้านี้สำหรับการบังคับใช้ มาลงมือทำธุรกิจกันเถอะ

CPRA เป็นมาตรการลงคะแนนที่เกิดขึ้นเนื่องจากมีพื้นที่สีเทาใน CCPA เดิมที่ทำให้คำถามมากมายไม่ได้รับคำตอบ โดยเฉพาะอย่างยิ่งเกี่ยวกับการกำหนดข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) และการรวบรวมข้อมูลประเภทต่างๆ

ลำดับเวลาของกฎหมายความเป็นส่วนตัวของรัฐแคลิฟอร์เนีย: CCPA ถึง CPRA

ลวดล้อ

กฎหมายความเป็นส่วนตัวของรัฐอื่นๆ นอกรัฐแคลิฟอร์เนียจะมีผลบังคับใช้ในปี 2023 ได้แก่:

  • Colorado Privacy Act (CPA): มีผลบังคับใช้วันที่ 1 กรกฎาคม 2023
  • พระราชบัญญัติคอนเนตทิคัตเกี่ยวกับความเป็นส่วนตัวของข้อมูลส่วนบุคคลและการตรวจสอบออนไลน์ (CTDPA): มีผลบังคับใช้ในวันที่ 1 กรกฎาคม 2023
  • พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคในยูทาห์ (UCPA): มีผลบังคับใช้ในวันที่ 31 ธันวาคม 2023
  • พระราชบัญญัติคุ้มครองข้อมูลผู้บริโภคแห่งเวอร์จิเนีย (CDPA): มีผลตั้งแต่วันที่ 1 มกราคม 2023

เช่นเดียวกับ CPRA กฎหมายของรัฐเหล่านี้ทั้งหมดมีบทบัญญัติเกี่ยวกับสิทธิของผู้บริโภค เช่นเดียวกับการตีความของตนเองเกี่ยวกับสิ่งที่ถือเป็นข้อมูลส่วนบุคคลที่ละเอียดอ่อน แต่สิ่งสำคัญคือต้องรู้ว่าพวกมันต่างกัน ไม่มีวิธีใดที่เหมาะกับทุกขนาดสำหรับการปฏิบัติตามความเป็นส่วนตัวทั่วทั้งรัฐ

นั่นคือสิ่งที่แผนกกฎหมายของคุณเข้ามา คุณต้องตั้งค่าการสื่อสารเป็นประจำกับทีมกฎหมายของคุณเพื่อให้ทราบล่วงหน้าเกี่ยวกับกฎและข้อบังคับใหม่ๆ ที่อาจส่งผลกระทบต่อธุรกิจของคุณในปีนี้และในอนาคต

การเปลี่ยนแปลง: CPRA แก้ไขกฎระเบียบเกี่ยวกับ PII และการแบ่งปันข้อมูล

แม้ว่า CPRA จะมีผลบังคับใช้แล้ว แต่กฎขั้นสุดท้ายตามข้อบังคับที่แก้ไขแล้วจะไม่เผยแพร่จนกว่าจะถึงช่วงเดือนเมษายน 2023 หลังจากที่หน่วยงานคุ้มครองความเป็นส่วนตัวแห่งแคลิฟอร์เนีย (CPPA) ล่าช้าไปชั่วขณะ

การเปลี่ยนแปลงบางอย่างภายใต้ CPRA รวมถึงการจำกัดการแบ่งปันข้อมูลให้มากขึ้นและการให้คำแนะนำที่ชัดเจนยิ่งขึ้นเกี่ยวกับวิธีที่นักการตลาดสามารถใช้สิ่งที่กฎหมายกำหนดว่าเป็นข้อมูลส่วนบุคคลที่ "อาจมีความละเอียดอ่อน" รวมถึง:

  • หมายเลขประกันสังคมหรือใบขับขี่
  • บัตรประจำตัวประชาชนหรือหมายเลขหนังสือเดินทาง
  • รายละเอียดการเข้าสู่ระบบของผู้บริโภค
  • ตำแหน่งทางภูมิศาสตร์
  • บัญชีการเงิน รวมถึงหมายเลขบัตรเดบิต/เครดิต พร้อมด้วยการยืนยันหรือรหัสผ่านที่เชื่อมโยงกับบัญชี
  • แข่ง
  • เชื้อชาติ
  • ศาสนา
  • ข้อมูลทางพันธุกรรม
  • ข้อมูลไบโอเมตริกซ์
  • การสื่อสารส่วนตัว
  • รสนิยมทางเพศ
  • ข้อมูลสุขภาพ

หนึ่งในข้อถกเถียงที่ใหญ่ที่สุดที่นำไปสู่ ​​CPRA คือภาษากำกวมของข้อกำหนด “ห้ามขาย” ของ CCPA ภายใต้กฎหมายใหม่ ธุรกิจต่าง ๆ ต้องอนุญาตให้ผู้บริโภคเลือกไม่ขายและแบ่งปันข้อมูลของตนด้วยตัวเลือกบังคับ “ห้ามขายหรือแบ่งปันข้อมูลของฉัน” บนเว็บไซต์ของตน

หากคุณกำลังแบ่งปันข้อมูลกับบุคคลที่สามที่ไม่ได้รับอนุญาตตั้งแต่แรก คุณต้องปฏิบัติตามกฎหมายเพื่อให้ผู้ใช้สามารถเลือกไม่ใช้ได้ มีสองส่วนที่ต้องพิจารณา:

  • ข้อมูลระบุตัวตนจริง: ข้อมูลที่ระบุตัวบุคคลได้ (PII) ของผู้ใช้ซึ่งถูกบันทึกไว้ในสถานที่
  • ข้อมูลประจำตัวแบบพาสซีฟ: คุกกี้และตัวระบุเบราว์เซอร์ หรือสิ่งใดก็ตามที่ติดตามผู้ใช้โดยอัตโนมัติ

ในขณะที่กฎระเบียบปัจจุบันกำลังได้รับการสรุป คุณสามารถคาดหวังกฎระเบียบเพิ่มเติมได้ในอนาคต มาตรา 1798.185 ของ CPRA อนุญาตให้ CPPA "เรียกร้องการมีส่วนร่วมของประชาชนอย่างกว้างขวางและนำกฎระเบียบมาใช้เพื่อวัตถุประสงค์ของชื่อนี้ (CPRA)" ซึ่งช่วยให้มีกฎและข้อจำกัดเพิ่มเติมมากมาย ตั้งแต่การเพิ่มหมวดหมู่ใหม่ของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับความเป็นส่วนตัวของข้อมูล ไปจนถึงการกำหนดขั้นตอนใหม่ที่เกี่ยวข้องกับการแบ่งปันข้อมูลส่วนบุคคลและการยกเลิกการขายข้อมูลส่วนบุคคล

เมื่อเปรียบเทียบกับกฎหมายที่มีผลบังคับใช้ในอีกสี่รัฐ แคลิฟอร์เนียให้ความคุ้มครองทางกฎหมายสูงสุดสำหรับความเป็นส่วนตัวของข้อมูลผู้บริโภค แต่จำไว้ว่า: การปฏิบัติตามในแคลิฟอร์เนียไม่ได้หมายถึงการปฏิบัติตามที่อื่นโดยอัตโนมัติ

สิทธิความเป็นส่วนตัวของผู้บริโภคภายใต้กฎหมายของรัฐต่างๆ

วันทรัสต์

ผลกระทบ: สิ่งที่คาดหวังจากการบังคับใช้ CPRA

ภายใต้ CCPA การบังคับใช้ยังคงเป็นเครื่องหมายคำถามใหญ่ แต่คาดว่าแคลิฟอร์เนียจะเร่งร้อนด้วย CPRA ค่าปรับ 1.2 ล้านดอลลาร์ที่ Sephora ละเมิด CCPA ในปี 2565 ควรทำหน้าที่เป็นคำเตือนสำหรับแบรนด์ที่คิดว่าพวกเขาสามารถเล่นสเก็ตได้

ในกรณีที่คุณไม่แน่ใจว่า California จริงจังหรือไม่ การจัดตั้ง CPPA ควรเป็นสัญญาณที่ชัดเจน พวกเขาจะได้รับช่วงต่อจากอัยการสูงสุดแห่งแคลิฟอร์เนีย (AG) เพื่อดูแลการปฏิบัติตามกฎระเบียบ กฎในอนาคต และบทลงโทษสำหรับการละเมิดกฎหมาย CPRA ยังลดระยะเวลา “เยียวยา” 30 วันก่อนที่จะถูกปรับสำหรับการละเมิด แทนที่จะปล่อยให้เป็นดุลยพินิจของ AG และ/หรือ CPPA ตามเจตนาขององค์กร (หรือขาดสิ่งนี้) ในการทำลายกฎหมาย

CPRA กับการบังคับใช้ CCPA

วันทรัสต์

ไม่แน่นอนว่าการบังคับใช้จะมีผลอย่างไรในสี่รัฐที่กฎหมายมีผลบังคับใช้เป็นครั้งแรก สิ่งที่เรารู้ก็คือทั้งการบังคับใช้และบทลงโทษจะแตกต่างกันไปในแต่ละรัฐ ไม่ว่าจะในแคลิฟอร์เนียหรือที่อื่นๆ การละเมิดจะมีผลที่ตามมาซึ่งอาจส่งผลเสียต่อธุรกิจของคุณทางการเงิน และทำให้ชื่อเสียงของคุณกับลูกค้าของคุณตกอยู่ในความเสี่ยง

การปฏิบัติตาม CPRA: วิธีทำงานร่วมกับทีมกฎหมายของคุณ

สิ่งที่แบรนด์สามารถทำได้ในตอนนี้คือทำราวกับว่ากฎระเบียบขั้นสุดท้ายและการบังคับใช้มีผลบังคับใช้แล้ว หากคุณไม่แน่ใจว่าหมายความว่าอย่างไร โปรดติดต่อทีมกฎหมายและหาวิธีทำงานร่วมกันเพื่อให้แน่ใจว่าธุรกิจของคุณปฏิบัติตามข้อกำหนด

มีสองวิธีที่คุณสามารถเริ่มต้นทำงานกับทีมกฎหมายของคุณ:

  • แมปไซโลข้อมูลของคุณ: แม้แต่องค์กรที่มีการจัดการข้อมูลและกระบวนการจัดเก็บที่ดีก็อาจพบว่าข้อมูลบางอย่างถูกแยกไว้ภายในองค์กรของตน จำเป็นอย่างยิ่งที่จะต้องพัฒนาแผนที่ที่ครอบคลุมซึ่งระบุข้อมูลที่ถูกจัดเก็บ สถานที่จัดเก็บ และวัตถุประสงค์ของไซโล ตามหลักการแล้ว คุณจะต้องทำลายไซโลเหล่านี้ แต่ขั้นตอนแรกคือการค้นหาว่าข้อมูลอยู่ที่ไหน
  • ให้ข้อมูลกรณีการใช้งานที่ครอบคลุม: ทีมกฎหมายมักจะพยายามบล็อกกระแสข้อมูลทั้งหมดหากสามารถสร้างความเสี่ยงให้กับองค์กรได้ ตัวอย่างเช่น ในกรณีที่ไม่มีบริบท ทีมกฎหมายอาจแนะนำให้ทีมเปิดใช้การประมวลผลข้อมูลแบบจำกัดในบัญชี Google Ads ซึ่งจะนำไปใช้จริงกับผู้อยู่อาศัยทุกคนที่อยู่ภายใต้กฎหมายข้อมูลภูมิภาค ไม่ใช่แค่ผู้ที่ใช้สิทธิ์ในการไม่เข้าร่วม แม้ว่าแนวทางนี้อาจให้ความคุ้มครองทางกฎหมายอย่างสมบูรณ์ แต่ก็จะส่งผลต่อประสิทธิภาพทางการตลาดด้วย (และนี่คือสิ่งที่แบรนด์ต่างๆ จะต้องเข้าใจเพื่อกำหนดความสมดุลที่เหมาะสมระหว่างการแลกเปลี่ยนเหล่านี้) นอกจากนี้ยังมีความสำคัญสำหรับทีมกฎหมายในการรักษาความสมบูรณ์ สายตาเพื่อให้พวกเขาสามารถรักษานโยบายความเป็นส่วนตัวที่ครอบคลุมและเป็นปัจจุบันบนเว็บไซต์ของคุณ ซึ่งสะท้อนถึงลักษณะการใช้ข้อมูลนี้ในปัจจุบัน (หลายอย่างสามารถเปลี่ยนแปลงได้ในเวลาเพียงไม่กี่เดือน!)
  • คำนวณผลกระทบโดยประมาณของมาตรการปฏิบัติตามข้อกำหนด: หากคุณบล็อกการติดตามทั้งหมดสำหรับผู้บริโภคในภูมิภาคที่กำหนด ให้คำนวณขอบเขตความครอบคลุมโดยประมาณและระบุสถานการณ์ต่างๆ ของการสูญเสียประสิทธิภาพ ตัวอย่างเช่น หากคุณมีลูกค้า 100,000 รายต่อปี และ 12% ในจำนวนนี้อยู่ในแคลิฟอร์เนีย คุณสามารถใช้ข้อมูลราคาต่อหนึ่งการกระทำ (CPA) ที่มีอยู่เพื่อแสดงผลกระทบของประสิทธิภาพของสื่อที่ลดลง 10% หรือ 20% (หรือมากกว่านั้น ). ซึ่งอาจเกิดขึ้นเนื่องจาก CPA เพิ่มขึ้นหรือการได้ลูกค้าใหม่ลดลง คุณสามารถใช้งานของคุณเพื่อช่วยให้ทีมของคุณเข้าใจขนาดของผลกระทบทางการเงินเมื่อดำเนินการเลือกไม่ใช้สากล เนื่องจากเป็นการยากที่จะประเมินผลกระทบดังกล่าวล่วงหน้า ตัวอย่างที่ปรับขนาดเหล่านี้จะทำให้ผู้นำองค์กรรายอื่น ๆ มีแนวโน้มที่จะให้ความสนใจและทำงานร่วมกับคุณและทีมกฎหมายของคุณเพื่อค้นหาวิธีแก้ปัญหาที่ได้ผลซึ่งช่วยให้ผู้บริโภคสามารถใช้สิทธิ์ของตนได้ในขณะที่ลดความเสี่ยงทางการเงิน ถึงบรรทัดล่างสุดของแบรนด์
  • อภิปรายเกี่ยวกับบทบาทและการใช้แพลตฟอร์มการจัดการความยินยอม (CMP): วิธีที่ผู้บริโภคใช้สิทธิ์ของตนเพื่อยกเลิกการแบ่งปันข้อมูลหรือลบข้อมูลของตนออกเป็นสิ่งสำคัญอย่างยิ่ง โซลูชัน CMP ทั้งหมดไม่ได้สร้างขึ้นเท่ากัน บางอย่างเช่น CookieBot ได้รับการออกแบบมาเพื่อบล็อกคุกกี้ (และดังนั้นการติดตามโฆษณา) ในขณะที่อื่น ๆ เช่น OneTrust นั้นครอบคลุมมากกว่า คุณจะต้องค้นหาโซลูชันที่เหมาะสมสำหรับธุรกิจของคุณ ซึ่งช่วยให้คุณปฏิบัติตามข้อกำหนดและทำงานด้านการตลาดได้
  • สอดคล้องกับภาษาที่คุณใช้เพื่อให้ความรู้แก่ผู้บริโภค: หารือเกี่ยวกับวิธีต่างๆ เพื่อให้ความรู้แก่ผู้บริโภคเกี่ยวกับการใช้ข้อมูลกับทีมกฎหมายของคุณ หากไม่มีบริบท ผู้บริโภคจำนวนมากอาจถือว่าสถานการณ์เลวร้ายที่สุด แต่ถ้าคุณให้ตัวอย่างที่ชัดเจนว่าคุณใช้ข้อมูลของพวกเขาอย่างไรและคุณตั้งค่าขีดจำกัดใดไว้ คุณอาจพบว่าผู้บริโภคเปิดกว้างมากขึ้นในการแบ่งปันข้อมูลของพวกเขา การให้สิ่งจูงใจเพื่อหยุดผู้บริโภคจากการใช้สิทธิ์นั้นไม่เหมาะสม แต่ทีมกฎหมายของคุณสามารถให้คำแนะนำเฉพาะเจาะจงเกี่ยวกับสิ่งที่คุณทำได้และไม่สามารถพูดกับผู้บริโภคเมื่อพวกเขาวางแผนที่จะยกเลิก

ข้อควรจำ: การปฏิบัติตามข้อกำหนดไม่ใช่ทางเลือก ก้าวนำหน้าความท้าทายในอนาคตโดยร่วมมือกับฝ่ายกฎหมายของคุณและค้นหาเส้นทางที่ดีที่สุดเท่าที่จะเป็นไปได้

ดาวน์โหลด State of the Data 2023: The Path to Profitability Needs Privacy Compliance เพื่อเรียนรู้เกี่ยวกับกฎหมายที่กำลังจะมาถึงและข้อกำหนดการปฏิบัติตามข้อกำหนดที่จะส่งผลกระทบต่อธุรกิจของคุณ

ข้อมูล ความเป็นส่วนตัวของข้อมูล Digital Intelligence