欧洲GDPR之后,美国CCPA也来了,营销人员该如何应对?

发布日期 2019-06-17


1972年,加利福尼亚选民修改了“加利福尼亚州宪法”,其中包括一项重要原则,这一原则在之前的国家宪法或权利法案显然都没有提及, 美国宪法第四修正案规定:“人人享有其居所及其财产的安全权利,并有权利拒绝不合理的搜查和扣押,除非有合法的搜查和逮捕令,否则,任何人不得进入其居所并对其进行人身搜查或者财产扣押。


根据哈佛商学院教授John Deighton的说法,虽然这一修正案从未使用“隐私”这个词,也无法想象“隐私”在2016年互联网环境下靠数据驱动的经济占到GDP6%的时代到底意味着什么,但它仍然是 处理数据,窃听,电话,信息收集等大量其他法律问题的基础。


然而,在1972年,加利福尼亚选民决定在数字时代的萌芽阶段保障隐私权作为一项基本权利的主张至关重要。事实上,它是加利福尼亚州宪法第二条的一部分,规定了加州所有居民的基本人权:“所有人生来都是自由和独立的,并拥有不可剥夺的权利。其中包括享受和捍卫生命和自由,获取,拥有和保护财产的权利,追求和获得安全,幸福和公民隐私得到保护的权利。


在这个虽然微小但是重要的变化之后的几十年里,加利福尼亚已经成为互联网的中心,催生了Facebook和Google等公司,并改变了我们线上和线下的生活结构。 2018年,加州人通过了加利福尼亚州消费者隐私法案(CCPA),这是一套限制加州居民数据收集,储存和销售的全面法律。


伴随着立法者、说客和私营部门之间各种唇枪舌剑,各方都希望赶在2020年7月1日,也就是该法案最终开始执行之前,进行最终的磋商并积极讨论和修订该法。如果最终修订的法案于2020年1月1日公布,则法案从2020年7月1日起执行。值得注意的是,六个月的窗口期并不是宽限期; 如果法案通过,从2020年1月1日起,加州可以对违反规定的行为采取强制措施。


该法案的起因


加利福尼亚州房地产开发商Alastair Mactaggart发起了“加利福尼亚2018年消费者隐私权法案”投票倡议。作为对投票倡议的回应,加利福尼亚州立法机构通过了CCPA,希望制定一项既强大又能适应不断变化和需求的隐私法。在此之前,美国没有全面的联邦隐私保护措施。多年来,美国的数据隐私一直是行业的,主要基于特定行业和公司的自我监管原则。联邦立法主要涵盖特定的隐私保护,如健康保险流通与责任法案(HIPAA),儿童在线隐私保护规则(COPPA)和其他部门的保护形式,但没有类似通用数据保护法规(GDPR)或加拿大的个人信息保护和电子文件法案(PIPEDA)这样强大的法律存在。在美国,仅仅是广泛定义与数据收集,存储,使用,转移,数据主体访问,销售,违规通知等相关的一些限制和规定,并没有明确的法律条文。


Mactaggart希望制定一项法律,使信息数据收集的过程对加州公民完全透明,并控制和停止销售各种收集的信息,以及强制公司在其权力范围内尽一切努力保证数据安全的责任。


法律影响到的群体


CCPA旨在监管对客户数据的购买和销售有重大利益关系的大型企业,或者可能通过其规模获得大量客户数据的企业。与GDPR不同,GDPR监管范围涵盖欧盟境内的所有人或者企业,即使他们不是欧盟公民。CCPA则专注于企业如何使用和销售客户数据。必须遵守CCPA的企业包括:


年总收入超过2500万美元的企业;或者每年出于商业目的购买,分享或出售超过50,000个加利福尼亚州消费者,家庭或设备的个人信息的企业;或者通过销售加州消费者的个人信息获得50%或以上的年收入的企业。


即便该公司没有从出售加利福尼亚州消费者数据中获得任何利润,但基于公司的规模和收入,根据CCPA的规定,也可能需要承担责任或者接受违规后严厉的处罚。


CCPA与GDPR的区别


CCPA赋予消费者的权利与GDPR向欧盟居民提供的关于信息收集的知情权方面没有什么不同。两者都明确了消费者在了解公司收集的有关他们的数据种类,收集的数据类别,防止或选择不销售该数据的权利以及不保留(或删除)数据等各项基本权利。总的来说,消费者可以将这些权利视为一套透明度原则 - 消费者希望知道在数据收集处理,分析和转移的漫长链条中自己的信息被如何使用。


从GDPR的实施情况来看,各大公司都表现出了极大的配合度,毕竟在欧洲还是有一大批不可忽视的消费者。从这一点来看,CCPA在执行上,应该不存在重大障碍。另一方面,加利福尼亚州的消费者也需要尽快适应新的法律将如何作用在自己的身上,尤其是在信息的披露和收集过程中的新选择。我们可以认为这是一个好消息 ,享有知情权的消费者在数据收集的细微差别中,通过学习新的法律,会更加懂得如何保护自己的信息安全,而不是像之前那样交由商家随意处置,尤其是碰上一些心术不正的商家。


CCPA的处罚


由于法律尚未生效,Sacramento通过公共论坛围绕新法律下对违法企业的处罚问题展开了争论。随着时间的推进,之前颇具争议的消费者个人的诉讼权利或许不久后成为现实,消费者可以针对违法企业提起个人或者集体诉讼 。 目前,加利福尼亚州总检察长可以根据违法者不同的动机(包括故意)对每次违法行为处以2,500美元至7,500美元不等的罚款。 如果加利福尼亚州的消费者可以根据CCPA提起个人诉讼,指控违法企业未能合法保障自己的信息安全,考虑到加利福尼亚州的人口大约是3900万人,占到了全国10%的人口,这可能会使违法者付出沉重的代价。 


这仅仅是个开始


加州并不是唯一一个有隐私立法的州。纽约州和其他州也正通过立法机构制定新的法案,所有这些法案都有相似但又略微不同的条款和保护措施,而且在很多情况下都并没有尽到告知义务。越来越多的州都在积极出台新的举措以保护居民的隐私安全,这个初衷是好的;然而,结果是企业要遵守50套不同的消费者知情权政策和50套不同的隐私法——更不用说国际准则、如何证明信息收集的合法性、如何征得消费者同意的信息披露请求等等一系列错综复杂的问题。


合理的数据隐私的原则之一是数据收集最小化:不收集不需要的数据,仅仅关注那些需要用到的收据。这可以有效防止非法入侵时信息过分泄漏的问题。这一依靠各方意见拼凑而成的隐私法所面临的挑战是,企业在收集各种数据时,将面临超出自身需要或者希望遵守的各种隐私条款和法律框架,这实际上违背了法律最初制定的精神。不幸的是,在美国国内出台一套普遍适用的数据隐私法之前,我们将不得不继续面临各州法律不断演变带来的不同挑战。


新隐私时代的营销人员


对于营销人员而言,最好的建议是好好研究新隐私法案下最严格的法律框架并牢记于心,同时也要明白,理解并遵守GDPR并不能保证符合CCPA标准,反之亦然。 CCPA并没有GDPR中关于“数据处理”与“数据控制”的特定概念。但是,对新的法案表达自己的善意,并致力于实现跨司法管辖区的合规操作,将是新法案下营销人员的一项重要素质。以下几点是需要注意的:


▲进行内部审核明确自己的企业收集了哪些消费者个人信息。


如果这些信息已经被出售或分享给第三方,它的动机是什么。


在必要时,应审查公司的在线隐私政策,以符合披露要求。


删除不再需要的消费者信息 - 在推出新产品和服务时,使用信息收集最小化原则。


确保公司及时回应消费者要求访问或删除与之前销售行为相关的信息披露请求。


培训员工,了解相关概念并知道如何处理消费者个人信息及可能产生的责任。


重新审查公司与第三方和服务提供商签订的关于消费者信息披露部分的合同。


对可以访问公司消费者个人信息的服务提供商进行第三方审核,以确保合规性。


准备如何应对消费者隐私泄露的方案和办法,以及在此类事件中公司需要向监管机构,消费者和员工提供的数据类型。


所有这些规定都在强调数据安全的重要性,因此消费者对于他们选择的任何一家公司是如何收集和处理数据的知情权也显得更加重要。这会是新的常态,简单来说,以后我们都是客户数据的管家。


来源:Marketingland

编译:Vivy

作者:Len Shneyder

本文来源:成功营销