它还活着! 为 CPRA 法规和新的数据隐私立法做好准备
已发表: 2023-02-23数据隐私立法正在蓄势待发:州一级提出并通过的隐私法案比以往任何时候都更加全面。 但没有一个像加利福尼亚州即将发生的事情那样广泛。
加州隐私权法案 (CPRA) 于 2023 年 1 月 1 日生效,并将于 2023 年 7 月 1 日开始执行。CPRA 代表了对原始加州消费者隐私法案 (CCPA) 的澄清和扩大; 它们将共同构成该国最严格的隐私法。
那么这对您的业务意味着什么? 其一,如果您的营销策略有不合规的危险,并且您在加利福尼亚州开展任何业务(包括在线销售),则需要将隐私移至优先列表的首位。
概述:CPRA 与 CCPA 和其他将于 2023 年生效的数据隐私法
您可能知道 2022 年底宣布的一系列 CPRA 截止日期变更和时间表调整,但它们并没有改变之前制定的执行日历。 因此,让我们言归正传。
CPRA 是一项投票措施,因为最初的 CCPA 中存在灰色区域,许多问题没有得到解答,特别是关于定义个人身份信息 (PII) 和不同类型的数据收集。
线轮
加州以外的其他州隐私法将于 2023 年生效:
- 科罗拉多隐私法 (CPA):2023 年 7 月 1 日生效
- 康涅狄格州个人数据隐私和在线监控法案 (CTDPA):2023 年 7 月 1 日生效
- 犹他州消费者隐私法 (UCPA):2023 年 12 月 31 日生效
- 弗吉尼亚消费者数据保护法 (CDPA):2023 年 1 月 1 日生效
与 CPRA 一样,所有这些州法律都有关于消费者权利的规定,以及他们自己对敏感个人信息构成的解释。 但重要的是要知道它们都是不同的。 对于各州的隐私合规性,没有一种放之四海而皆准的解决方案。
这就是您的法律部门的用武之地。您需要与您的法律团队建立定期沟通,以便在今年和未来可能影响您的业务的新规则和法规方面保持领先地位。
变化:CPRA 修改了有关 PII 和数据共享的规定
虽然 CPRA 已经生效,但在加州隐私保护局 (CPPA) 短暂延迟后,基于修改后的法规的最终规则要到 2023 年 4 月的某个时候才会发布。
CPRA 的一些变化包括加强对数据共享的限制,并就营销人员如何使用法律定义为“潜在敏感”的个人信息提供更明确的指导,包括:
- 社会安全号码或驾照号码
- 国家身份证或护照号码
- 消费者的登录详细信息
- 地理定位
- 金融账户,包括借记卡/信用卡号码以及与该账户相关的任何验证或密码
- 种族
- 种族
- 宗教
- 遗传数据
- 生物特征数据
- 私人通讯
- 性取向
- 健康资讯
导致 CPRA 的最大争论之一是 CCPA 的“禁止销售”要求的含糊语言。 根据新法律,企业现在必须让消费者在其网站上通过强制性的“不出售或共享我的信息”选项来选择不出售和共享他们的信息。
如果您与最初未经授权的第三方共享数据,法律要求您允许用户选择退出。 有两个部分需要考虑:
- 真实身份:在现场捕获的用户个人身份信息 (PII)
- 被动身份:cookie 和浏览器标识符,或任何自动跟踪用户的东西
虽然当前的法规正在最终确定中,但您可以期待将来会有更多法规。 CPRA 第 1798.185 节授权 CPPA“征求广泛的公众参与并通过法规以进一步实现本篇(CPRA)的目的。” 这为额外的规则和限制提供了广泛的余地,从添加与数据隐私相关的新类别的个人信息到建立与共享个人信息相关的新程序以及选择退出个人数据的销售。
与其他四个州生效的法律相比,加利福尼亚州为消费者数据隐私提供了迄今为止最多的法律保护。 但请记住:加利福尼亚州的合规并不自动意味着其他地方的合规。
一个信托
效果:对 CPRA 执法的期望
在 CCPA 下,执法仍然是一个大问号,但预计加州将通过 CPRA 加大力度。 丝芙兰因在 2022 年违反 CCPA 而被处以 120 万美元的罚款,这应该是对那些认为自己可以溜走的品牌的警告。
如果您不确定加州是否认真,CPPA 的成立应该是一个明确的标志; 他们将接替加州总检察长 (AG),监督合规性、未来规则以及对违法行为的处罚。 CPRA 还取消了因违规而被罚款前的 30 天“补救”期,而是让 AG 和/或 CPPA 根据组织的违法意图(或无意图)自行决定。
一个信托
在立法首次生效的四个州,执法将如何发挥作用还不太确定; 我们所知道的是,每个州的执法和处罚都会有所不同。 无论是在加利福尼亚州还是其他地方,违规行为都会对您的企业造成财务损失并危及您在客户心目中的声誉。
CPRA 合规:如何与您的法律团队合作
品牌现在可以做的就是像最终法规和执法已经到位一样行事。 如果您不确定这意味着什么,请联系您的法律团队并寻找可以合作的方式来确保您的企业合规。
您可以通过多种方式与您的法律团队开始这项工作:
- 映射您的数据孤岛:即使是具有精细数据管理和存储流程的组织也可能会发现一些数据在其组织内是孤立的。 开发一个全面的地图来定义正在存储的数据、存储的位置以及筒仓的用途是至关重要的。 理想情况下,您会希望打破这些孤岛,但第一步是弄清楚数据在哪里。
- 提供全面的用例信息:如果数据流会给组织带来风险,法律团队通常会寻求完全阻止数据流。 例如,在没有上下文的情况下,法律团队可能会建议他们的团队在 Google Ads 帐户中启用受限数据处理。 这实际上适用于所有受区域数据法约束的居民,而不仅仅是那些行使选择退出权的人。 虽然这种方法可能提供绝对的法律保护,但它也会影响营销效果(品牌需要了解这一点,以便确定这些权衡之间的正确平衡。)对于法律团队来说,保持一个完整的视线,以便他们能够在您的网站上维护全面且最新的隐私政策,以反映当今数据使用方式的性质(几个月内可能会发生很多变化!)
- 计算合规措施的估计影响:如果您要阻止对给定区域内消费者的所有跟踪,请计算估计的覆盖范围并提供各种效率损失场景。 例如,如果您每年有 100,000 名客户,其中 12% 位于加利福尼亚,您可以使用现有的每次转化费用 (CPA) 数据来展示媒体效率下降 10% 或 20%(或更多)的影响). 这可能是因为每次转化费用增加或客户获取量下降。 您可以利用您的工作帮助您的团队了解实施普遍选择退出时的财政影响规模。 因为很难提前实际估计这种影响,这些规模化的例子将使其他组织领导者更有可能关注并与您和您的法律团队合作,以找到可行的解决方案,确保消费者能够在减轻财政风险的同时行使其权利到品牌的底线。
- 讨论同意管理平台 (CMP) 的作用和用途:消费者行使选择退出数据共享或清除数据的权利的方式至关重要。 并非所有 CMP 解决方案都是生而平等的。 有些,如 CookieBot,只是为了阻止 cookie(因此也阻止广告跟踪)而设计的,而另一些,如 OneTrust,则更全面。 您需要为您的业务找到合适的解决方案,以确保您的合规性和营销功能。
- 调整您用于教育消费者的语言:与您的法律团队讨论就数据使用对消费者进行教育的不同方法。 如果没有上下文,许多消费者可能会假设最坏的情况。 但是,如果您提供清楚的示例说明您如何使用他们的数据以及您设置的限制,您可能会发现消费者更愿意分享他们的数据。 提供激励措施阻止消费者行使他们的权利是不合适的,但您的法律团队可以提供具体指导,说明当消费者计划选择退出时您可以和不能对他们说什么。
请记住:合规性不是可有可无的。 现在就与您的法务部门合作,寻找最佳的前进道路,迎接未来的挑战。