”数据驱动的思考”是由媒体社区的成员,包含新鲜想法在媒体的数字革命。

今天的专栏写的是理查德•Eisert伙伴和共同主持的广告,和扎卡里·克莱恩,在联系戴维斯+吉尔伯特。

作为加州隐私权利法案的生效日期(CPRA)方法1月1日,2023年,球员广告业正试图找出这个返工的加州消费者隐私法案》(CCPA)可能会影响他们。

目前,CCPA为公司提供了一种安全港成为“服务提供商”,使他们免于许多需求。例如,尽管CCPA要求企业为消费者提供一个通知的权利,“不卖我的个人信息”链接和其他法律披露,“服务提供者”不受相同的规则。

但随着CPRA收紧CCPA的限制,公司这一过程数据在线行为广告仍然被认为是“服务提供者”新的定义和参数是基于CPRA ?

什么是“商业目的”?

CPRA定义了一个服务提供者处理个人信息作为一个整体代表的业务“商业目的。”

强调的重要性“商业目的”,服务提供者的CPRA州限制“保留、使用或披露的个人信息为任何目的除了在合同中指定的商业目的。”

结论是如果一个公司不处理数据为“商业目的”,它不是一个服务提供者。

虽然这似乎是无害的,但CPRA也改变了“商业目的”的定义排除“cross-context行为广告。“这是一个新的术语定义为:

“…广告的目标消费者基于消费者的个人信息在企业获得消费者的活动,distinctly-branded网站、应用程序、或服务,除了业务,distinctly-branded网站应用程序,或服务的消费者故意相互作用。”

这些变化提出重要的问题。如果业务打算使用个人信息“cross-context行为广告”,依赖于一个供应商来处理数据,这是否超出允许的范围“商业目的”?然后,供应商不再成为“服务提供者”?

这些修改也强调CPRA之间的重大突破和其他框架,区分“数据控制器”和“数据处理器。欧洲GDPR”,例如,不知道是控制器的处理目的和评估处理器基于是否代理范围内为自己的独立控制器的指令或目的。

相比之下,CPRA列出具体的活动,可以认为是一个“商业目的。“这些包括审计、数据安全、调试、内部研究和维护质量和安全,以及“广告和营销服务”,不构成“cross-context行为广告。”

广告技术的灰色区域

通过明确排除“cross-context行为广告”作为一种商业目的,供应商和分包商的CPRA产生歧义,协助企业行为广告。

考虑一下这个例子:如果供应商给出的数据来分析和投入部分将用于广告行为,构成“cross-context行为广告”——或者是CPRA限制局限于实体目标和交付广告?

答案会有所不同,如果卖方实际交付部分的实体目标和交付广告?如上所述,CPRA商业目的的定义还包括“广告和营销服务,”除了cross-context行为广告。

额外的规定或解释指导来自加州隐私保护机构在这方面可能会提供一些急需的澄清。

在那之前,供应商,目前是在CCPA服务提供者的“安全港”,公司希望参与他们应该密切关注这些变化和即将到来的规定。

遵循戴维斯+吉尔伯特(@dglaw)和AdEx爱游戏体育骗子changer (@爱游戏体育骗子adexchanger)在Twitter上。