加州隐私权法案 (CPRA):如何准备您的业务

已发表: 2022-07-14

你是加州居民吗? 如果是,那么 CPRA 是您应该关注的问题。 特别是如果您想在那里开展业务并从消费者那里收集敏感信息。

与 GDPR 一样,CPRA 的创建旨在为美国制定标准,并避免对消费者个人数据的误解和滥用。 此外,即使 CPRA 直到 2023 年初才能执行,但在 2022 年 1 月 1 日之后收集的任何类型的数据都受 CPRA 的约束。

关于 CPRA,有很多东西要学习,我们还有更多要告诉您。 所以不要去任何地方,因为在本文中,我们将深入讨论 CPRA。

如何为您的企业准备 CPRA

CPRA 合规性

在加利福尼亚州经营或从加利福尼亚州居民那里收集个人信息的公司,无论是否出于营销目的,在以下情况下均受 CPRA 约束:

  • 每年的收入超过2500 万美元
  • 设法通过出售和共享加州居民的个人信息获得超过 50% 的收入
  • 购买、分享和出售超过 100,000 个加利福尼亚家庭的个人信息

从 CCPA 到 CPRA 的一项重大变化是取消了仅将个人信息用于营销目的的要求。 所以现在,即使公司没有从消费者的个人信息中获利,你仍然需要遵守法律。

CPRA 合规性非常有趣,因为如果您是中小型企业,您可能不必遵守 CPRA,而是遵守 CCPA。 最初,您必须确定您的企业是否应遵守 CCPA 或 CPRA。 许多人认为它们是相同的,但事实是它们存在一些关键差异。 相比之下,CPRA 放宽了 CCPA 的许多限制,而一些中小型企业则不受 CPRA 的约束。 然而,与此同时,它也加强了 CCPA 的许多弱点。

注意:如果您有兴趣了解 CPRA,可以在 Osano 的网站上阅读更多信息

CCPA和CPRA有什么区别?

CPRA 通过提供 GDPR 方法、扩大个人权利等,被视为 CCPA 的修正案。 以下是两者之间的两个主要区别:

  • 遵守 CCPA 意味着您出于商业营销目的购买、出售或接收股票。 如果您从大约 50,000 名消费者和家庭的个人信息中购买、出售或接收股票,它也适用。 但是,CPRA 需要超过 100,000 名消费者和家庭。
  • 遵守 CCPA 意味着您至少 50% 的年收入来自出售消费者的个人信息。 对于 CPRA,它来自销售和共享个人信息。 当您与网站共享个人信息时,需要有 SSL 证书。 因此,从提供相同加密级别的经过身份验证的 SSL 证书的知名 SSL 提供商(如 ClickSSL购买 SSL 证书非常重要。

CPRA 还包括创建加州隐私保护机构 (CaIPPA),这是一个由五名董事会成员管理的专门隐私机构。 这些成员必须是隐私、消费者权利和技术方面的专家。 否则,他们无法获得资格。 此外,他们在隐私机构内的任期不得超过八年。

修正

根据 CCPA,个人只能在存储和收集个人数据后的一年内请求访问他们的个人数据。 但是,有了 CPRA,您有权随时这样做。

此外,当 CCPA 定义“销售”时,它并不完全意味着分享。 另一方面,CPRA 包括“卖出”和“分享”。 此外,CPRA 明确了阻止(选择退出)企业向其他方分享和出售其个人信息的权利。

最后,我们不要忘记 CCPA 和 CPRA 都允许公司被起诉。 如果公司未经授权公开敏感信息,并导致泄露密码和用户名的数据泄露,消费者可以这样做。

CPRA 有哪些新功能,它对您的业务有何影响?

对 CPRA 和 CCPA 进行了新的修订,以包括企业有义务遵守的新权利。 为什么这样? 据 SalesForce 称,大约46% 的消费者认为他们对自己的私人数据没有足够的控制权。 可悲的是,只有10%的人认为他们对自己的个人数据有足够的控制权。

尽管如此,违反这些法律的企业将面临数千美元的巨额罚款,并因故意违反隐私数据而被起诉。

现在,让我们在这里澄清一些重要的事情。 首先,当您是一家企业时,根据 CPRA,您有义务解释您收集个人信息的原因以及您与谁共享信息。 但是,根据 CCPA,您有权询问为什么要收集您的个人数据。 此外,人们有权告知企业不准确的信息或是否需要进行任何修改。

根据CPRA,消费者拥有更多权利。 这包括了解他们的信息在哪里使用,以及如何更正他们可能看到的不准确信息。

以下是您的企业可以采取的一些措施来适应这些法规:

  • 定义收集数据的目的
  • 应用安全措施以保护个人信息
  • 显示正在与之共享数据的实体列表以及您的企业为何与他们共享数据以收集个人信息
  • 提供您的企业正在使用和收集的所有信息来源
  • 不断更新您的隐私信息,并表明您的业务始终遵守最新法律。 不要忘记通过电子邮件、网站、电话和社交媒体提供更新。
  • 实施确保您正在处理和审查数据的真实性的程序。 此外,添加“选择退出”功能,以便用户可以停止共享他们的个人信息,如果他们愿意的话。

一种新的受保护数据类别

CPRA 引入了敏感个人信息 (SPI) 的概念。 这迫使收集此类信息的企业提供更强大的数据保护。 SPI 包括以下类型的个人信息:

  • 健康数据
  • 遗传数据
  • 宗教资料
  • 种族出身
  • 地理位置
  • 有关个人性取向的数据
  • 身份证、驾驶执照、社会安全号码等
  • 民族和种族出身

CPRA 对新的数据类别进行了限制。 它还为收集 SPI 的公司增加了新的要求,包括更新的目的和披露、退出要求等。

数据最小化和存储限制

企业必须尽可能减少或限制个人信息的保留、使用和共享。 总体而言,CPRA 阻止企业保留个人信息的时间超过要求的时间。 此外,公司必须告知 CPRA 他们收集的每个个人数据的保留期限。

那么,你有什么办法呢? 首先,您的企业应说明将保留个人数据的时间以及是否会超出必要的时间。 这应在公司政策中注明,包括数据删除,并确保遵守所有法律。

不允许报复

重要的是要知道 CPRA 不接受对选择退出其信息的消费者的歧视。 这包括以下内容:

  • 拒绝向消费者提供商品和服务的类型
  • 向消费者提供不同水平或质量的商品和服务
  • 为您的商品或服务收取不同的价格,包括折扣或任何其他优惠
  • 反对团队成员、已向贵公司申请的候选人,甚至是独立承包商,因为他们谴责选择退出权

使用隐私友好的工具进行营销

当您在营销和广告上投入大量预算时,您必须确保您的投资真正得到回报。 为此,您需要一个营销分析平台,该平台将从您的所有营销渠道收集数据,并为您提供有价值的报告,以做出进一步的数据决策。

RedTrack 是您的隐私友好型解决方案(符合 GDPR、CCPA、CCPR 等),但仍可通过分析您的营销工作并向您显示有关您的绩效的真实数据提供结果。

考虑使用同意管理平台 (CMP)

CMP 是帮助您的企业在收集、存储甚至共享数据之前合法管理任何公司文件和用户同意的绝佳方式。 他们确保您遵守隐私法,甚至在进行更改时通知您。 此外,CMP 可以管理您对数据信息的请求并监控所有第三方供应商。

以下是您可以考虑使用的一些 CMP,以帮助您及时了解隐私法和管理数据请求:

  • 一个信托
  • 量播
  • 信任弧
  • 饼干机器人
  • 冠峰

把它包起来

这就是本文的全部内容。 这些是对 CPRA 所做的新修订。 但是,不要认为这些将是唯一的,CPRA 不断变化!

CPRA 的总体目标是确保消费者对其数据有足够的控制权,并且不会对数据泄露或失去对其个人数据的控制感到不安全。 毕竟,数据属于消费者,他们可以决定如何使用他们的数据。