它還活著! 為 CPRA 法規和新的數據隱私立法做好準備
已發表: 2023-02-23數據隱私立法正在蓄勢待發:州一級提出並通過的隱私法案比以往任何時候都更加全面。 但沒有一個像加利福尼亞州即將發生的事情那樣廣泛。
加州隱私權法案 (CPRA) 於 2023 年 1 月 1 日生效,並將於 2023 年 7 月 1 日開始執行。CPRA 代表了對原始加州消費者隱私法案 (CCPA) 的澄清和擴大; 它們將共同構成該國最嚴格的隱私法。
那麼這對您的業務意味著什麼? 其一,如果您的營銷策略有不合規的危險,並且您在加利福尼亞州開展任何業務(包括在線銷售),則需要將隱私移至優先列表的首位。
概述:CPRA 與 CCPA 和其他將於 2023 年生效的數據隱私法
您可能知道 2022 年底宣布的一系列 CPRA 截止日期變更和時間表調整,但它們並沒有改變之前製定的執行日曆。 因此,讓我們言歸正傳。
CPRA 是一項投票措施,因為最初的 CCPA 中存在灰色區域,許多問題沒有得到解答,特別是關於定義個人身份信息 (PII) 和不同類型的數據收集。
線輪
加州以外的其他州隱私法將於 2023 年生效:
- 科羅拉多隱私法 (CPA):2023 年 7 月 1 日生效
- 康涅狄格州個人數據隱私和在線監控法案 (CTDPA):2023 年 7 月 1 日生效
- 猶他州消費者隱私法 (UCPA):2023 年 12 月 31 日生效
- 弗吉尼亞消費者數據保護法 (CDPA):2023 年 1 月 1 日生效
與 CPRA 一樣,所有這些州法律都有關於消費者權利的規定,以及他們自己對敏感個人信息構成的解釋。 但重要的是要知道它們都是不同的。 對於各州的隱私合規性,沒有一種放之四海而皆準的解決方案。
這就是您的法律部門的用武之地。您需要與您的法律團隊建立定期溝通,以便在今年和未來可能影響您的業務的新規則和法規方面保持領先地位。
變化:CPRA 修改了有關 PII 和數據共享的規定
雖然 CPRA 已經生效,但在加州隱私保護局 (CPPA) 短暫延遲後,基於修改後的法規的最終規則要到 2023 年 4 月的某個時候才會發布。
CPRA 的一些變化包括加強對數據共享的限制,並就營銷人員如何使用法律定義為“潛在敏感”的個人信息提供更明確的指導,包括:
- 社會安全號碼或駕照號碼
- 國家身份證或護照號碼
- 消費者的登錄詳細信息
- 地理定位
- 金融賬戶,包括借記卡/信用卡號碼以及與該賬戶相關的任何驗證或密碼
- 種族
- 種族
- 宗教
- 遺傳數據
- 生物特徵數據
- 私人通訊
- 性取向
- 健康資訊
導致 CPRA 的最大爭論之一是 CCPA 的“禁止銷售”要求的含糊語言。 根據新法律,企業現在必須讓消費者在其網站上通過強制性的“不出售或共享我的信息”選項來選擇不出售和共享他們的信息。
如果您與最初未經授權的第三方共享數據,法律要求您允許用戶選擇退出。 有兩個部分需要考慮:
- 真實身份:在現場捕獲的用戶個人身份信息 (PII)
- 被動身份:cookie 和瀏覽器標識符,或任何自動跟踪用戶的東西
雖然當前的法規正在最終確定中,但您可以期待將來會有更多法規。 CPRA 第 1798.185 節授權 CPPA“徵求廣泛的公眾參與並通過法規以進一步實現本篇(CPRA)的目的。” 這為額外的規則和限制提供了廣泛的餘地,從添加與數據隱私相關的新類別的個人信息到建立與共享個人信息相關的新程序以及選擇退出個人數據的銷售。
與其他四個州生效的法律相比,加利福尼亞州為消費者數據隱私提供了迄今為止最多的法律保護。 但請記住:加利福尼亞州的合規並不自動意味著其他地方的合規。
一個信託
效果:對 CPRA 執法的期望
在 CCPA 下,執法仍然是一個大問號,但預計加州將通過 CPRA 加大力度。 絲芙蘭因在 2022 年違反 CCPA 而被處以 120 萬美元的罰款,這應該是對那些認為自己可以溜走的品牌的警告。
如果您不確定加州是否認真,CPPA 的成立應該是一個明確的標誌; 他們將接替加州總檢察長 (AG),監督合規性、未來規則以及對違法行為的處罰。 CPRA 還取消了因違規而被罰款前的 30 天“補救”期,而是讓 AG 和/或 CPPA 根據組織的違法意圖(或無意圖)自行決定。
一個信託
在立法首次生效的四個州,執法將如何發揮作用還不太確定; 我們所知道的是,每個州的執法和處罰都會有所不同。 無論是在加利福尼亞州還是其他地方,違規行為都會對您的企業造成財務損失並危及您在客戶心目中的聲譽。
CPRA 合規:如何與您的法律團隊合作
品牌現在可以做的就是像最終法規和執法已經到位一樣行事。 如果您不確定這意味著什麼,請聯繫您的法律團隊並尋找可以合作的方式來確保您的企業合規。
您可以通過多種方式與您的法律團隊開始這項工作:
- 映射您的數據孤島:即使是具有精細數據管理和存儲流程的組織也可能會發現一些數據在其組織內是孤立的。 開發一個全面的地圖來定義正在存儲的數據、存儲的位置以及筒倉的用途是至關重要的。 理想情況下,您會希望打破這些孤島,但第一步是弄清楚數據在哪裡。
- 提供全面的用例信息:如果數據流會給組織帶來風險,法律團隊通常會尋求完全阻止數據流。 例如,在沒有上下文的情況下,法律團隊可能會建議他們的團隊在 Google Ads 帳戶中啟用受限數據處理。 這實際上適用於所有受區域數據法約束的居民,而不僅僅是那些行使選擇退出權的人。 雖然這種方法可能提供絕對的法律保護,但它也會影響營銷效果(品牌需要了解這一點,以便確定這些權衡之間的正確平衡。)對於法律團隊來說,保持一個完整的視線,以便他們能夠在您的網站上維護全面且最新的隱私政策,以反映當今數據使用方式的性質(幾個月內可能會發生很多變化!)
- 計算合規措施的估計影響:如果您要阻止對給定區域內消費者的所有跟踪,請計算估計的覆蓋範圍並提供各種效率損失場景。 例如,如果您每年有 100,000 名客戶,其中 12% 位於加利福尼亞,您可以使用現有的每次轉化費用 (CPA) 數據來展示媒體效率下降 10% 或 20%(或更多)的影響). 這可能是因為每次轉化費用增加或客戶獲取量下降。 您可以利用您的工作幫助您的團隊了解實施普遍選擇退出時的財政影響規模。 因為很難提前實際估計這種影響,這些規模化的例子將使其他組織領導者更有可能關注並與您和您的法律團隊合作,以找到可行的解決方案,確保消費者能夠在減輕財政風險的同時行使其權利到品牌的底線。
- 討論同意管理平台 (CMP) 的作用和用途:消費者行使選擇退出數據共享或清除數據的權利的方式至關重要。 並非所有 CMP 解決方案都是生而平等的。 有些,如 CookieBot,只是為了阻止 cookie(因此也阻止廣告跟踪)而設計的,而另一些,如 OneTrust,則更全面。 您需要為您的業務找到合適的解決方案,以確保您的合規性和營銷功能。
- 調整您用於教育消費者的語言:與您的法律團隊討論就數據使用對消費者進行教育的不同方法。 如果沒有上下文,許多消費者可能會假設最壞的情況。 但是,如果您提供清楚的示例說明您如何使用他們的數據以及您設置的限制,您可能會發現消費者更願意分享他們的數據。 提供激勵措施阻止消費者行使他們的權利是不合適的,但您的法律團隊可以提供具體指導,說明當消費者計劃選擇退出時您可以和不能對他們說什麼。
請記住:合規性不是可有可無的。 現在就與您的法務部門合作,尋找最佳的前進道路,迎接未來的挑戰。