新年决心是用来打破的,但不包括遵守隐私。
美国5项新的隐私法律将于2023年生效,其中包括1月1日生效的《弗吉尼亚州消费者数据保护法》和《加利福尼亚州隐私权法》。
(对于任何在日历上做标记的人来说,科罗拉多州和康涅狄格州各自的隐私法将于2023年7月1日生效,犹他州的法律将于12月31日生效。)
尽管有不同法律之间重要的细微差别在美国,一直致力于遵守CCPA和CPRA的企业在遵守其他州隐私法规方面处于有利地位。
但CPRA有几项独特的条款,使其成为独属于自己的野兽。
CPRA上的DL
CPRA是对自2020年起生效的《加州消费者隐私法》(CCPA)进行扩展和更新的修正案,对数据安全、消费者隐私权和执法机制提出了新的要求。这部法律旨在与CCPA协同工作,取代某些规定,并加强其他规定。
CPRA传递此前他获得了足够的签名,可以在2020年大选期间出现在加州的选票上。CCPA最初的支持者推动了投票倡议,因为他们认为CCPA在立法过程中被科技行业的说客削弱了。
CPRA的民粹主义渊源应该给广告技术行业敲响了警钟。
出版商行业组织Digital Content Next的首席执行官杰森·金特说:“这证明了公民有意愿和真正的愿望来推动隐私保护。”
有什么新鲜事吗?
可以说,隐私法不应该有TL;DR这样的东西,因为细节才是魔鬼。(也就是说,和你的律师谈谈!)
简而言之,以下是CCPA和CPRA之间的一些主要区别:
- CPRA从欧洲的GDPR法律中获得灵感,创建了一个新的“敏感个人信息”类别,包括性取向、种族或民族出身、生物特征、精确地理位置、社会安全号码、健康信息——你可以理解。
- CPRA还赋予加州人选择不与第三方共享个人信息的权利,以实现“跨背景行为广告”的目的。(这个棘手的小术语稍后再讲。)
- 根据CCPA,企业已经被要求履行消费者数据删除请求。根据CPRA,这些企业的任何第三方合作伙伴也必须履行删除请求。
- CPRA还赋予了一些全新的消费者权利,包括要求企业更正不准确的个人信息的权利,以及限制使用和共享敏感个人信息的权利。加州人还可以选择不使用自动决策技术或CPRA称为“分析”的其他技术。
除了这些新的消费者权利外,CPRA还为企业引入了新的要求,例如数据最小化(只收集需要的数据)、目的限制(仅为单一规定的目的处理数据)以及数据保留条款,要求公司不要将数据保存太长时间,并定期清除他们没有用途的数据。
尽管这些概念在欧洲是众所周知的,但在美国却相对较新。
里德史密斯律师事务所(Reed Smith)合伙人莎拉·布鲁诺(Sarah Bruno)说:“我们都谈了很多关于退出和数据流动的问题,但现在广告技术公司也需要考虑这些数据管理问题。”“它们在论坛上没有那么多的吸引力,但随着CPRA的实施,它们最终可能会变得重要。”
真正的牙齿
如果有一件事每个公司都应该意识到,那就是CPRA要求更严格的执法,包括通过创建加州隐私保护局(CPPA),这是美国第一个也是唯一一个专门致力于隐私执法的执法机构。
最终,CPPA将从加州总检察长办公室接手CCPA和CPRA的大部分执行和规则制定职责。
“这些是具有真正效力的法律,”归属和测量提供商OptiMine的首席执行官马特·沃达(Matt Voda)说。“看看丝芙兰案.这是一个很大的警告,当CPRA开始实施时,我们应该期待更多。”
但是,有六个月的宽限期。CPPA要到2023年7月1日才会采取执法行动。
但如果你到夏天还没有保护好自己的隐私,那将是一个艰难的海滩季节,因为CPRA还包括扩大公民对企业提起诉讼的私人行动权。CCPA已经允许个人起诉公司,如果他们的个人信息在数据泄露中暴露,但CPRA对个人信息的定义更窄。
根据CPRA,如果消费者的电子邮件地址和密码或安全问题被用于未经授权的访问他们的帐户,消费者可以向企业提出索赔。
omnicom旗下Hearts & Science的营销技术高级总监萨拉•波利(Sarah Polli)表示:“消费者自己将开始提出诉讼,我们必须准备好应对这一情况,尽管资源已经全面受限。”“我不知道是否有足够多的人意识到这一点。”
说到意外,CPRA有12个月的回顾期,这意味着企业必须回应消费者关于自2022年1月1日起收集的任何个人信息的要求。
CPRA还取消了CCPA规定的30天治愈期。公司只有在加州隐私保护机构的自由裁量权下才有机会纠正错误或投诉。
定义术语
然而,尽管时间已经很晚了,一些公司仍然对CPRA中引用的某些术语的定义有点模糊(可能是故意的)。
例如,“分享”和“销售”之间的区别。
根据CCPA的定义,销售是指任何时候消费者的个人信息被披露给第三方以换取金钱或“其他有价值的对价”。但CPRA引入了一个新概念,即“共享”,其定义为向第三方披露跨背景行为广告(CCBA)的数据,而不管是否有资金转手。
(“跨上下文行为广告”是CPRA的一种方式,指的是根据在网站上收集的个人信息来重新定位某人的做法。)
尽管共享和销售在CPRA下受到同样的监管——消费者有权选择不参与这两项监管——但解决方案的希望永远存在。
IAB高管Michael Hahn和Tony Ficarrotta在IAPP最近的一篇专栏文章中指出在美国,一种新的“短视”的法律理论开始扎根,即“出版商和广告商可以告诉消费者,他们‘分享’了个人信息,但不能‘出售’他们的个人信息。”
但是,假装CPRA以某种方式为共享数据创造了一个空间,以支持跨语境的行为广告,这是一种神奇的思维。
那么,人们可能会想,为什么立法者甚至要费心在CPRA中区分“分享”和“出售”。
CPRA的起草者可能并没有打算引入一个漏洞,而是通过确保企业意识到他们也需要给消费者选择不分享的机会,而不仅仅是销售来填补这个漏洞。
然而,关于CPRA的合规性仍然存在一些悬而未决的问题,包括如何实施全球隐私控制(GPC)。
GPC是一种基于浏览器的通用机制,允许用户选择不让他们的信息在各网站之间共享或出售,并将这一信号发送给数字媒体供应链上的出版商、广告商和第三方公司。
这就像一个简单的按钮来传播消费者的隐私偏好——嗯,从消费者的角度来看很简单。
尽管最新的CPRA草案明确规定,企业必须识别GPC信号,但实施GPC则是另一回事。
法兰克福Kurnit Klein & Selz律师事务所合伙人、该公司隐私和数据安全小组主席丹尼尔·戈德堡(Daniel Goldberg)表示:“公司正在努力实施。”
这就是为什么一些公司希望遵守GPC最终将是自由裁量的,因为CCPA和CPRA在谈论选择退出偏好信号时都使用了模糊的语言。
但否认现实没有意义。看看最近在CCPA下针对丝芙兰的执法行动就知道了。今年夏天,加州AG Rob Bonta起诉该化妆品品牌与第三方共享消费者信息,以创建定向广告的档案(并忽视披露这一事实),以及未能尊重GPC作为选择退出。
丝芙兰支付了120万美元和解诉讼,现在它获得了第一家因违反《加州消费者隐私法》(California Consumer Privacy Act)而被罚款的荣誉。
“我们只能等着看市场走向,”戈德伯格说。“但是,现在很明显,GPC是事实上公认的信号,需要加以解决。”