加州隱私權法案 (CPRA):如何準備您的業務

已發表: 2022-07-14

你是加州居民嗎? 如果是,那麼 CPRA 是您應該關注的問題。 特別是如果您想在那裡開展業務並從消費者那裡收集敏感信息。

與 GDPR 一樣,CPRA 的創建旨在為美國製定標準,並避免對消費者個人數據的誤解和濫用。 此外,即使 CPRA 直到 2023 年初才能執行,但在 2022 年 1 月 1 日之後收集的任何類型的數據都受 CPRA 的約束。

關於 CPRA,有很多東西要學習,我們還有更多要告訴您。 所以不要去任何地方,因為在本文中,我們將深入討論 CPRA。

如何為您的企業準備 CPRA

CPRA 合規性

在加利福尼亞州經營或從加利福尼亞州居民那裡收集個人信息的公司,無論是否出於營銷目的,在以下情況下均受 CPRA 約束:

  • 每年的收入超過2500 萬美元
  • 設法通過出售和共享加州居民的個人信息獲得超過 50% 的收入
  • 購買、分享和出售超過 100,000 個加利福尼亞家庭的個人信息

從 CCPA 到 CPRA 的一項重大變化是取消了僅將個人信息用於營銷目的的要求。 所以現在,即使公司沒有從消費者的個人信息中獲利,你仍然需要遵守法律。

CPRA 合規性非常有趣,因為如果您是中小型企業,您可能不必遵守 CPRA,而是遵守 CCPA。 最初,您必須確定您的企業是否應遵守 CCPA 或 CPRA。 許多人認為它們是相同的,但事實是它們存在一些關鍵差異。 相比之下,CPRA 放寬了 CCPA 的許多限制,而一些中小型企業則不受 CPRA 的約束。 然而,與此同時,它也加強了 CCPA 的許多弱點。

注意:如果您有興趣了解 CPRA,可以在 Osano 的網站上閱讀更多信息

CCPA和CPRA有什麼區別?

CPRA 通過提供 GDPR 方法、擴大個人權利等,被視為 CCPA 的修正案。 以下是兩者之間的兩個主要區別:

  • 遵守 CCPA 意味著您出於商業營銷目的購買、出售或接收股票。 如果您從大約 50,000 名消費者和家庭的個人信息中購買、出售或接收股票,它也適用。 但是,CPRA 需要超過 100,000 名消費者和家庭。
  • 遵守 CCPA 意味著您至少 50% 的年收入來自出售消費者的個人信息。 對於 CPRA,它來自銷售和共享個人信息。 當您與網站共享個人信息時,需要有 SSL 證書。 因此,從提供相同加密級別的經過身份驗證的 SSL 證書的知名 SSL 提供商(如 ClickSSL購買 SSL 證書非常重要。

CPRA 還包括創建加州隱私保護機構 (CaIPPA),這是一個由五名董事會成員管理的專門隱私機構。 這些成員必須是隱私、消費者權利和技術方面的專家。 否則,他們無法獲得資格。 此外,他們在隱私機構內的任期不得超過八年。

修正

根據 CCPA,個人只能在存儲和收集個人數據後的一年內請求訪問他們的個人數據。 但是,有了 CPRA,您有權隨時這樣做。

此外,當 CCPA 定義“銷售”時,它並不完全意味著分享。 另一方面,CPRA 包括“賣出”和“分享”。 此外,CPRA 明確了阻止(選擇退出)企業向其他方分享和出售其個人信息的權利。

最後,我們不要忘記 CCPA 和 CPRA 都允許公司被起訴。 如果公司未經授權公開敏感信息,並導致洩露密碼和用戶名的數據洩露,消費者可以這樣做。

CPRA 有哪些新功能,它對您的業務有何影響?

對 CPRA 和 CCPA 進行了新的修訂,以包括企業有義務遵守的新權利。 為什麼這樣? 據 SalesForce 稱,大約46% 的消費者認為他們對自己的私人數據沒有足夠的控制權。 可悲的是,只有10%的人認為他們對自己的個人數據有足夠的控制權。

儘管如此,違反這些法律的企業將面臨數千美元的巨額罰款,並因故意違反隱私數據而被起訴。

現在,讓我們在這裡澄清一些重要的事情。 首先,當您是一家企業時,根據 CPRA,您有義務解釋您收集個人信息的原因以及您與誰共享信息。 但是,根據 CCPA,您有權詢問為什麼要收集您的個人數據。 此外,人們有權告知企業不准確的信息或是否需要進行任何修改。

根據CPRA,消費者擁有更多權利。 這包括了解他們的信息在哪裡使用,以及如何更正他們可能看到的不准確信息。

以下是您的企業可以採取的一些措施來適應這些法規:

  • 定義收集數據的目的
  • 應用安全措施以保護個人信息
  • 顯示正在與之共享數據的實體列表以及您的企業為何與他們共享數據以收集個人信息
  • 提供您的企業正在使用和收集的所有信息來源
  • 不斷更新您的隱私信息,並表明您的業務始終遵守最新法律。 不要忘記通過電子郵件、網站、電話和社交媒體提供更新。
  • 實施確保您正在處理和審查數據的真實性的程序。 此外,添加“選擇退出”功能,以便用戶可以停止共享他們的個人信息,如果他們願意的話。

一種新的受保護數據類別

CPRA 引入了敏感個人信息 (SPI) 的概念。 這迫使收集此類信息的企業提供更強大的數據保護。 SPI 包括以下類型的個人信息:

  • 健康數據
  • 遺傳數據
  • 宗教資料
  • 種族出身
  • 地理位置
  • 有關個人性取向的數據
  • 身份證、駕駛執照、社會安全號碼等
  • 民族和種族出身

CPRA 對新的數據類別進行了限制。 它還為收集 SPI 的公司增加了新的要求,包括更新的目的和披露、退出要求等。

數據最小化和存儲限制

企業必須盡可能減少或限制個人信息的保留、使用和共享。 總體而言,CPRA 阻止企業保留個人信息的時間超過要求的時間。 此外,公司必須告知 CPRA 他們收集的每個個人數據的保留期限。

那麼,你有什麼辦法呢? 首先,您的企業應說明將保留個人數據的時間以及是否會超出必要的時間。 這應在公司政策中註明,包括數據刪除,並確保遵守所有法律。

不允許報復

重要的是要知道 CPRA 不接受對選擇退出其信息的消費者的歧視。 這包括以下內容:

  • 拒絕向消費者提供商品和服務的類型
  • 向消費者提供不同水平或質量的商品和服務
  • 為您的商品或服務收取不同的價格,包括折扣或任何其他優惠
  • 反對團隊成員、已向貴公司申請的候選人,甚至是獨立承包商,因為他們譴責選擇退出權

使用隱私友好的工具進行營銷

當您在營銷和廣告上投入大量預算時,您必須確保您的投資真正得到回報。 為此,您需要一個營銷分析平台,該平台將從您的所有營銷渠道收集數據,並為您提供有價值的報告,以做出進一步的數據決策。

RedTrack 是您的隱私友好型解決方案(符合 GDPR、CCPA、CCPR 等),但仍可通過分析您的營銷工作並向您顯示有關您的績效的真實數據提供結果。

考慮使用同意管理平台 (CMP)

CMP 是幫助您的企業在收集、存儲甚至共享數據之前合法管理任何公司文件和用戶同意的絕佳方式。 他們確保您遵守隱私法,甚至在進行更改時通知您。 此外,CMP 可以管理您對數據信息的請求並監控所有第三方供應商。

以下是您可以考慮使用的一些 CMP,以幫助您及時了解隱私法和管理數據請求:

  • 一個信託
  • 量播
  • 信任弧
  • 餅乾機器人
  • 冠峰

把它包起來

這就是本文的全部內容。 這些是對 CPRA 所做的新修訂。 但是,不要認為這些將是唯一的,CPRA 不斷變化!

CPRA 的總體目標是確保消費者對其數據有足夠的控制權,並且不會對數據洩露或失去對其個人數據的控制感到不安全。 畢竟,數據屬於消費者,他們可以決定如何使用他們的數據。