营销人员的CCPA的快速指南
问:《加州消费者隐私法》(CCPA)的重点是防止在消费者不知情或未经其许可的情况下收集和共享消费者数据。对于营销人员来说,CCPA的一个大问题是,我们是否仍然能够收集必要的数据来创建有针对性的广告活动?
A:这在很大程度上取决于营销公司采取必要措施,确保他们或他们的数据提供商在其网站上拥有所有ccpa要求的披露和退出选项,并确保他们不仅发布而且遵守ccpa要求的隐私通知。
从本质上讲,CCPA要求企业在收集时披露它们正在收集的个人数据以及收集这些数据的目的。它还要求公司给予加州消费者选择不出售他们的信息和要求删除他们的信息的权利。考虑到这些规则和CCPA中个人数据的扩展定义,目前针对目标广告活动的数据收集不太可能符合规定。
采用“设计隐私”的方法——营销者在隐私问题上变得主动而不是被动——不仅可以使CCPA的遵守变得更简单,而且可以降低未来营销者在隐私遵守方面的成本。营销人员应该开始考虑如何在创建和部署有针对性的活动中收集和共享数据——根据CCPA,消费者与网站、应用程序和广告的互动被视为受保护的个人信息。在CCPA和欧洲GDPR之后,这似乎是其他州(可能是联邦)法律的方向。如果一家公司把营销策略放在首位,而把消费者隐私放在第二位,那么它将发现自己无法适应不断变化的隐私环境。
问:我理解,即使在请求下也可能有跳过删除某些数据的选项。这是一个准确的索赔,它是否能够推动数据收集和/或共享的界限?
A:没错,公司不一定必须在要求时删除所有消费者信息。事实上,一些评论人士表示,豁免可能会吞下规则,使其成为数据使用限制规则,而不是数据删除规则。
CCPA下的一些删除豁免例子包括所需的数据:
- 要完成收集数据的交易,
- 提供由消费者提供或执行合同的服务,以及
- 履行法律义务(例如,当企业需要维持某些记录时
- 当收到删除请求时尚未过期的法定期限)。
对于处理第三方或非客户数据的营销人员来说,适用这些豁免的情况将更加难以确定。与营销公司最相关的删除豁免之一可能是维护信息,以检测安全事件或防止欺诈或非法活动。
虽然公司不需要根据适用的例外情况删除每个请求的所有数据,但任何考虑“突破界限”的公司都应该谨慎。违规者后果严重,如属故意,后果加重。有关资料删除要求豁免的更完整描述,点击这里。
问:CCPA的哪些方面特别适用于营销公司?
A:由于营销公司可能会在收集,存储,加工和使用的每个阶段与消费者数据互动,他们可能正在参与这些活动,这些活动将使他们不仅适用于企业,也可以作为服务提供商,并且可能是CCPA下的第三方。
例如,直接收集消费者信息并决定如何处理或以其他方式使用它的营销公司是CCPA下的业务,如果它满足其他阈值(见免费测试要了解您是否需要遵守CCPA下的业务。作为CCPA下的业务,其CCPA负担的最高符合性。
仅代表客户收集信息的公司只有在签订书面合同禁止其处理或以其他方式将数据用于特定合同用途以外的任何目的时才有资格成为服务提供商。根据CCPA的规定,服务提供商并没有被要求遵守法律的所有方面(例如,他们不需要在其网站上提供消费者选择退出按钮)。然而,他们被要求签订合同,在合同中,他们约束自己坚持删除,并且不出售他们服务的公司发送给他们的请求。
Finally, marketing companies may be treated as pure third parties if they do not have CCPA-compliant service provider contracts in place and are buying consumer personal information (keep in mind that the CCPA’s definition of “selling” is very broad.) If a marketing company has or uses data that was sold to it, the company cannot resell that information unless the consumer has received explicit notice and the opportunity to opt-out of that resell.
问:有可能因不合规的罚款或处罚的潜力,是否可以说,通过避免此类费用将超过年度收入中的任何小凹痕?
A:遵守肯定是更聪明的选择,尽管年度收入可能不会对其他人的一些公司的凹痕不大。这些公司主要收入来源是消费者数据肯定会变得最严重,因为如果加利福尼亚州的一部分是加州消费者(大人物)开始请求数据删除,并且他们的合作伙伴公司必须进入新的合规制度占CCPA要求。
不合规的潜在罚款是可能面临的一些最高营销公司。公司拥有的数据越多,潜在的损害赔偿越高可能是公司的成本不是公司应该法庭的成本,特别是由于任何被视为故意的任何违规行为每次违规行为的最高刑罚,这可以按照消费者计算。对于与安全违规有关的CCPA违规,消费者也有权追求实际或法定损害,以较大者为准。法定损害赔偿的范围从每次事件每次消费者100美元至750美元。例如,Facebook估计有2460万加利福尼亚州用户。AG的办公室的故意违反CCPA的违反最高刑罚为1847亿美元(每个用户7,500美元),而CCPA安全违规可能导致24亿美元的最低限度罚款(每个用户100美元)。
对于一些人来说,如果营销公司不符合要求,对收入的最大威胁将以客户选择进入其他地方。符合要求的业务将毫不犹豫地与一个可能威胁其柔顺地位的不合规的营销公司合作。如果营销公司不符合CCPA,他们本身就是他们自己收集或作为服务提供商或第三方的能力,他们可能会在业务中看到其客户在客户中寻找将在其内部运营的其他公司CCPA的狭窄。
问:说中国注册会计师是一个反垃圾邮件法?如果不是,有什么区别?
A:CCPA不是反垃圾邮件法,尽管有一些相似之处。与反垃圾邮件规则不同,CCPA关注的是消费者对其所有数据的控制,而不仅仅是选择不发送邮件的能力。根据这两项法律,公司都必须遵守消费者的选择退出要求。反垃圾邮件立法要求电子邮件的标题、发件人和主题行信息透明,并在电子邮件页脚明确取消订阅选项。CCPA将要求被覆盖企业在其主页上设置退出销售按钮,并向消费者提供有关收集何种类别的个人信息、如何使用个人信息及其商业目的的信息。根据CCPA规定,一旦消费者要求不共享他们的数据,公司在一年之后才能再次请求共享数据。
问:那么,我们如何在保持CCPA合规和仍然为我们的活动收集必要数据之间保持平衡?
A:每一家处理消费者数据的公司都需要一份隐私计划,而随着其他州(可能还有联邦政府)通过各自版本的CCPA,这种需求只会增加。如果一家营销公司没有这样的系统,它应该做一个评估然后开始。要做的第一件事是确定数据收集的目标。在过去,对许多公司来说,“越多越好”一直是数据收集的经验法则。这是行不通的。公司需要为他们收集的数据找到一个理由。
大规模的、无目的的收集和存储在ccpa下是行不通的——它使合规变得复杂,并使公司更难使用它确实需要收集的数据。一旦公司确定了收集的目的,它应该通过创建数据地图来开始遵守CCPA。当这项工作完成后,公司可能想要考虑结束一些带来额外信息的收集工作。拥有一个精益的、有目的的收集实践将简化法规遵循并降低法规遵循成本。增值业务,它还将帮助公司寻找更多的故意和有效地利用这些信息确实有(一个令人震惊的公司数量甚至不知道的类型的信息收集、存储、和从不使用,直到他们从事数据映射运动)。点击这里看看SixFifty如何帮助你进行数据映射。
鉴于有一些建议,许多其他国家最终将引入类似的账单 - 以及类似的隐私法(GDPR)已经在欧洲到位 - 它似乎是一个好主意,无论是否或你不是在加利福尼亚州做生意。真的吗?
现在变得顺从可以在几个方面帮助公司。尤其是营销公司,他们处理数据。一家目前还没有达到5万名消费者或家庭的门槛的公司,可以在接近2500万美元的营收大关之前很容易达到这个数字。目前,还没有关于公司在达到CCPA适用性门槛后需要多长时间才能达到合规性的指导。现在就为未来的合规需求做准备是一种安全的方法,公司也可以将其作为一种积极的客户营销技巧。知识营销公司是兼容可以帮助潜在客户更有信心知道他们想要的消费者数据,需要收集阶段将受到保护,即使你的公司有足够小的年收入和/或加州足迹如果希望避免合规。
在法律完全生效之前,它似乎有很多事情要做?现实情况下,在那之前有足够的时间才能让一切顺序吗?
这就是six50的作用所在。使用我们工具的公司可以在一天内浏览文档和消费者请求管理门户。CCPA要求的培训可以在第二天通过我们的门户向他们的员工展开,我们的数据映射工具可以快速地将您的数据组织成与CCPA披露、选择退出和删除要求相关联的信息。点击这里查阅更多有关SixFifty如何帮助您遵守CCPA的信息。
