살아있어! CPRA 규정 및 새로운 데이터 개인 정보 보호법에 대비

게시 됨: 2023-02-23

데이터 개인 정보 보호법은 탄력을 받고 있습니다. 그 어느 때보다 주 차원에서 제안되고 통과된 보다 포괄적인 개인 정보 보호 법안입니다. 그러나 캘리포니아 주에서 일어날 일만큼 광범위한 것은 없습니다.

캘리포니아 개인정보 보호법(CPRA)은 2023년 1월 1일에 발효되었으며 2023년 7월 1일부터 시행됩니다. CPRA는 원래 캘리포니아 소비자 개인정보 보호법(CCPA)을 명확히 하고 확대한 것입니다. 함께, 그들은 미국에서 가장 엄격한 개인 정보 보호법을 구성할 것입니다.

이것이 귀하의 비즈니스에 의미하는 바는 무엇입니까? 우선, 마케팅 전략이 규정을 준수하지 않을 위험에 처해 있고 캘리포니아 주에서 비즈니스(온라인 판매 포함)를 수행하는 경우 개인 정보 보호를 우선 순위 목록의 맨 위로 이동해야 합니다.

계속 진행하기 전에 이 블로그의 콘텐츠는 법적 조언이 아닌 보고 및/또는 의견으로 간주되어야 합니다. 규정 준수와 관련된 모든 결정에 대해 법무 부서에 문의하십시오.

개요: 2023년에 발효되는 CPRA 대 CCPA 및 기타 데이터 개인 정보 보호법

2022년 말에 발표된 CPRA 주변의 변경된 기한과 조정된 일정에 대해 알고 계실 것입니다. 하지만 이전에 설정된 시행 일정을 변경하지는 않습니다. 이제 사업을 시작합시다.

CPRA는 특히 개인 식별 정보(PII) 및 다양한 유형의 데이터 수집 정의와 관련하여 많은 질문에 답하지 않은 회색 영역이 원래 CCPA에 있었기 때문에 탄생한 투표 법안이었습니다.

캘리포니아 개인 정보 보호법 일정: CCPA에서 CPRA로

와이어휠

2023년에 발효되는 캘리포니아 외부의 다른 주 개인정보 보호법은 다음과 같습니다.

  • 콜로라도 개인 정보 보호법(CPA): 2023년 7월 1일 발효
  • 개인 데이터 보호 및 온라인 모니터링에 관한 코네티컷법(CTDPA): 2023년 7월 1일 발효
  • 유타 소비자 개인 정보 보호법(UCPA): 2023년 12월 31일 발효
  • 버지니아 소비자 데이터 보호법(CDPA): 2023년 1월 1일 발효

CPRA와 마찬가지로 이러한 모든 주법에는 민감한 개인 정보를 구성하는 항목에 대한 고유한 해석뿐만 아니라 소비자 권리에 대한 조항이 있습니다. 그러나 그것들이 모두 다르다는 것을 아는 것이 매우 중요합니다. 주 전체의 개인정보 보호 규정 준수에 대한 만병통치약 솔루션은 없습니다.

법무 부서가 필요한 곳입니다. 올해와 미래에 귀하의 비즈니스에 영향을 미칠 수 있는 새로운 규칙 및 규정보다 앞서 나가기 위해 법무 팀과 정기적인 커뮤니케이션을 설정해야 합니다.

변경 사항: PII 및 데이터 공유에 관한 CPRA 수정 규정

CPRA가 이미 시행 중이지만 수정된 규정에 기반한 최종 규칙은 캘리포니아 개인 정보 보호국(CPPA)의 짧은 지연 후 2023년 4월까지 공개되지 않을 것입니다.

CPRA에 따른 일부 변경 사항에는 데이터 공유에 대한 제한 강화와 마케터가 다음을 포함하여 법률에서 "잠재적으로 민감한" 개인 정보로 정의하는 것을 사용할 수 있는 방법에 대한 명확한 지침 제공이 포함됩니다.

  • 주민등록번호 또는 운전면허증 번호
  • 국가 신분증 또는 여권 번호
  • 소비자 로그인 정보
  • 지리적 위치
  • 직불/신용 카드 번호와 계정에 연결된 인증 또는 암호를 포함한 금융 계정
  • 경주
  • 민족성
  • 종교
  • 유전 데이터
  • 생체 데이터
  • 개인 통신
  • 성적 취향
  • 건강 정보

CPRA로 이끈 가장 큰 논쟁 중 하나는 CCPA의 "판매 금지" 요건의 모호한 표현이었습니다. 새로운 법에 따라 기업은 이제 소비자가 자신의 웹사이트에서 의무적으로 "내 정보를 판매하거나 공유하지 마십시오" 옵션을 통해 자신의 정보를 판매하고 공유하는 것을 모두 거부할 수 있도록 해야 합니다.

원래 승인되지 않은 제3자와 데이터를 공유하는 경우 법적으로 사용자가 옵트아웃할 수 있도록 허용해야 합니다. 고려해야 할 두 부분이 있습니다.

  • 실제 신원: 현장에서 캡처되는 사용자의 개인 식별 정보(PII)
  • 수동적 신원: 쿠키 및 브라우저 식별자 또는 자동으로 사용자를 추적하는 모든 것

현재 규정이 마무리되는 동안 향후 추가 규정을 기대할 수 있습니다. CPRA의 섹션 1798.185는 CPPA가 "광범위한 대중 참여를 요청하고 이 제목(CPRA)의 목적을 추진하기 위한 규정을 채택"할 수 있는 권한을 부여합니다. 이는 데이터 프라이버시와 관련된 새로운 범주의 개인 정보 추가에서 개인 정보 공유 및 개인 데이터 판매 거부와 관련된 새로운 절차 수립에 이르기까지 추가 규칙 및 제한에 대한 광범위한 재량을 제공합니다.

다른 4개 주에서 시행되는 법률과 비교할 때 캘리포니아는 소비자 데이터 프라이버시에 대해 가장 법적 보호를 제공합니다. 그러나 기억하십시오: 캘리포니아에서의 준수가 자동적으로 다른 곳에서의 준수를 의미하지는 않습니다.

다른 주의 법률에 따른 소비자 개인 정보 보호 권리

원트러스트

효과: CPRA 집행에서 기대할 수 있는 것

CCPA 하에서 시행은 큰 물음표로 남아 있지만 캘리포니아가 CPRA로 열을 올릴 것으로 기대합니다. 2022년 CCPA 위반으로 Sephora에 부과된 120만 달러의 벌금은 스케이트보드를 탈 수 있다고 생각한 브랜드에 대한 경고가 되어야 합니다.

캘리포니아가 심각한지 확신이 서지 않는 경우 CPPA의 수립은 명확한 신호여야 합니다. 그들은 규정 준수, 향후 규칙 및 법률 위반에 대한 처벌을 감독하기 위해 캘리포니아 법무 장관(AG)을 인계받을 것입니다. CPRA는 또한 위반에 대한 벌금을 부과하기 전에 30일의 "치료" 기간을 없애고 대신 법을 위반하려는 조직의 의도(또는 부족)에 따라 AG 및/또는 CPPA의 재량에 맡깁니다.

CPRA 대 CCPA 집행

원트러스트

법안이 처음으로 시행되는 4개 주에서 집행이 어떻게 진행될지는 확실하지 않습니다. 우리가 알고 있는 것은 집행과 처벌이 각 주마다 다르다는 것입니다. 캘리포니아에서든 다른 곳에서든, 위반에 대한 결과는 비즈니스에 재정적 피해를 주고 고객과의 평판을 위험에 빠뜨릴 수 있습니다.

CPRA 규정 준수: 법무팀과 협력하는 방법

이제 브랜드가 할 수 있는 일은 최종 규제와 시행이 이미 시행된 것처럼 행동하는 것입니다. 이것이 무엇을 의미하는지 확실하지 않은 경우 법무팀에 연락하여 비즈니스가 규정을 준수하도록 협력할 수 있는 방법을 찾으십시오.

법무팀과 함께 해당 작업을 시작할 수 있는 몇 가지 방법이 있습니다.

  • 데이터 사일로 매핑: 정교한 데이터 관리 및 저장 프로세스를 갖춘 조직에서도 조직 내에서 일부 데이터가 사일로에 있음을 알 수 있습니다. 저장되는 데이터, 저장되는 위치 및 사일로의 목적을 정의하는 포괄적인 맵을 개발하는 것이 중요합니다. 이상적으로는 이러한 사일로를 무너뜨리려고 하지만 첫 번째 단계는 데이터가 어디에 있는지 파악하는 것입니다.
  • 포괄적인 사용 사례 정보 제공: 법률 팀은 조직에 위험을 초래할 수 있는 경우 데이터 흐름을 완전히 차단하는 경우가 많습니다. 예를 들어 맥락이 없는 경우 법무팀은 Google Ads 계정에서 제한된 데이터 처리를 활성화하도록 팀에 조언할 수 있습니다. 이는 실제로 거부할 권리를 행사한 사람뿐만 아니라 지역 데이터 법률의 적용을 받는 모든 거주자에게 적용됩니다. 이 접근 방식은 절대적인 법적 보호를 제공할 수 있지만 마케팅 효과에도 영향을 미칠 수 있습니다(이러한 균형 사이의 올바른 균형을 결정하기 위해 브랜드가 이해해야 하는 것입니다). 오늘날 이 데이터가 사용되는 방식을 반영하는 포괄적이고 최신 개인 정보 보호 정책을 웹 사이트에서 유지할 수 있습니다(단 몇 개월 만에 많은 것이 바뀔 수 있습니다!).
  • 규정 준수 조치의 예상 영향 계산: 특정 지역의 소비자에 대한 모든 추적을 차단하는 경우 예상 적용 범위를 계산하고 다양한 효율성 손실 시나리오를 제공합니다. 예를 들어 연간 100,000명의 고객이 있고 그 중 12%가 캘리포니아에 있는 경우 기존 CPA(전환당 비용) 데이터를 사용하여 미디어 효율성이 10% 또는 20%(또는 그 이상) 감소하는 영향을 보여줄 수 있습니다. ). 이는 CPA가 증가하거나 고객 획득이 감소하기 때문에 발생할 수 있습니다. 귀하의 작업을 사용하여 팀이 범용 옵트아웃을 구현할 때 재정적 영향의 규모를 이해하도록 도울 수 있습니다. 실제로 그 영향을 미리 예측하기 어렵기 때문에 이러한 확장된 예를 통해 다른 조직 리더가 관심을 기울이고 귀하 및 귀하의 법무팀과 협력하여 소비자가 재정 위험을 완화하면서 권리를 행사할 수 있도록 보장하는 실행 가능한 솔루션을 찾을 수 있습니다. 브랜드의 최종선까지.
  • 동의 관리 플랫폼(CMP)의 역할 및 사용에 대해 논의: 소비자가 데이터 공유를 거부하거나 데이터를 삭제할 수 있는 권리를 행사하는 방식은 매우 중요합니다. 모든 CMP 솔루션이 동일하게 생성되는 것은 아닙니다. CookieBot과 같은 일부는 쿠키(따라서 광고 추적)를 차단하도록 설계되었지만 OneTrust와 같은 일부는 더 포괄적입니다. 규정 준수 및 마케팅 기능을 유지하는 비즈니스에 적합한 솔루션을 찾아야 합니다.
  • 소비자 교육에 사용하는 언어 조정: 데이터 사용에 대해 소비자를 교육하는 다양한 방법을 법무팀과 논의하십시오. 컨텍스트가 없으면 많은 소비자가 최악의 시나리오를 가정할 수 있습니다. 그러나 데이터를 사용하는 방법과 설정한 제한에 대한 명확한 예를 제공하면 소비자가 데이터 공유에 더 개방적이라는 것을 알 수 있습니다. 소비자가 자신의 권리를 행사하지 못하도록 인센티브를 제공하는 것은 결코 적절하지 않지만 법무팀은 소비자가 옵트아웃할 계획일 때 말할 수 있는 것과 말할 수 없는 것에 대한 구체적인 지침을 제공할 수 있습니다.

기억하세요: 규정 준수는 선택 사항이 아닙니다. 법무 부서와 협력하고 가능한 최선의 경로를 찾아 미래의 도전에 앞서 나가십시오.

2023년 데이터 상태: 수익성을 향한 길을 다운로드하여 비즈니스에 영향을 미칠 예정인 법률 및 규정 준수 요구 사항에 대해 알아보십시오.

데이터 데이터 프라이버시 디지털 인텔리전스