• 主页
  • 文章
  • 营销学
  • 在为加州消费者隐私法做准备时,品牌可以从 GDPR 的一年中学到什么

在为加州消费者隐私法做准备时,品牌可以从 GDPR 的一年中学到什么

已发表: 2022-05-22

以下是Qubit 总法律顾问Jack Carvel 的客座文章。

2019 年 5 月是《通用数据保护条例》(GDPR) 实施一周年,这是几十年来数据隐私条例的最重大变化。 虽然 GDPR 在提高个人对数据权利的认识方面做得非常好,但执法的故事却完全不同。

在过去的一年中,令人惊讶的是没有大额罚款和第三方数据的持续滥用,许多人认为这些数据将完全不复存在。 然而,随着新立法的实施,这种情况仍可能发生变化,例如预期的电子隐私部分——预计将很快生效的欧盟数据保护制度的下一个元素——以及 1 月份在美国推出的一项重大数据隐私发展2020 年:加州消费者隐私法 (CCPA)。 在这篇文章中,我将讨论一年后从 GDPR 中吸取的经验教训,以及如何为 CCPA 和其他预计在不久的将来更严格的立法做好准备的技巧。

GDPR:“A+”表示意识,“D”表示执行

首先,让我们在应有的地方给予赞扬:GDPR 对于认真对待它的企业来说非常好。 它带来了更健康的客户数据库,更清楚地了解客户并更好地洞察他们的行为。

去年春天有点像对数据应用 Kondo 方法或大扫除,因为世界各地的企业都在经历了解他们的数据存储在哪里以及数据发生了什么的过程。 每个人都专注于数据保护短短几个月,让网络世界更加安全。 而且,审查已经大大改善。 已经有几笔罚款,其中对谷歌的罚款高达 5000 万欧元。 一开始,许多业内人士认为这样的罚款将成为常态,但我们还没有看到。

GDPR 特别乏善可陈的一个领域是与第三方数据经纪人的交易。 对于整个商业模式依赖于销售二手或三手数据的公司来说,有很多不好的做法。 这些数据可以在消费者不知道的情况下轻松复制、披露和提供给各方——并且可能是在未经同意或不了解正在收集哪些数据以及为什么收集的情况下获得的。 有了 GDPR,许多人预计这种情况会结束,但监管机构并没有追查这些滥用数据的做法。

美国(以及欧盟以外的其他司法管辖区)也有一些较小的公司不遵守这些标准。 他们没有资源来遵守不同的数据制度,也没有内部顾问来监控合规性,所以他们只是承担风险。 对于这些公司,当出现违规行为时,透明度非常低,因为监管机构无法验证声明的准确性。 然而,不合规是一种非常冒险的策略。 消费者越来越意识到他们的数据权利和数据的价值,因此虽然公司可以避免罚款,但如果他们遇到数据泄露,他们会冒着品牌资产和声誉的风险——这可能比罚款更糟糕。

更严格的执法可能即将到来

预计有数据隐私法规可能会通过执法改变游戏规则。 即将到来的一项重大发展是电子隐私法规,该法规定义了有关 cookie 的政策、需要哪些同意、公司可以发送电子邮件以及出于什么原因、跟踪等,为更广泛的个人数据概念增加了一个更明确的层面。 这可能会引发更多的执法,因为监管机构将同时使用 GDPR 和 ePrivacy 监管,尽管这还有几个月的时间。

即将改变企业运营方式的另一项法律是 CCPA。 这里的关键是,这是植根于美国的此类立法中的第一个。我们可能不会看到围绕这项即将出台的法规的嗡嗡声,也许是因为它不是联邦法律,但没有为此做好准备的公司可能会对罚款感到非常不愉快,例如每次违反 CCPA 最高 7,500 美元和每条被泄露记录最高 750 美元——这可能是一笔可观的数额,对小型企业来说可能是毁灭性的。

给零售商的一些建议

零售商,尤其是那些没有像全球公司一样经历过严格的 GDPR 准备过程的美国零售商,必须考虑为遵守即将出台的政策而进行的重大提前准备。 与我们在 GDPR 中观察到的相比,加州在处以高额违规罚款方面可能会更加严格。 大型全球品牌可能已经为 CCPA 做好了准备,部分原因是它们为 GDPR 做准备以及欧洲已经存在一段时间的艰苦数据审查。 然而,小型企业可能会对即将到来的严格数据隐私和合规调查措手不及。 以下是一些可能对美国公司有所帮助的提示,那些希望继续在加利福尼亚开展业务的公司有助于为即将出台的立法做准备:

  1. 尽管这不是 CCPA 的严格要求,但创建“处理记录”应该是第一步:确定您正在收集哪些数据以及您正在使用它做什么。 通过这个过程,您将了解您属于 CCPA 的范围。 您必须在彻底了解所有这些的情况下进入该过程。
  2. 当然数据是有价值的,但更多的数据并不一定意味着更多的价值。 如果您不知道为什么要收集它,请摆脱它。 对您的公司无用的数据只会让您在存储成本方面付出金钱,并增加您面临数据泄露的风险。 删除数据可能会让人感到害怕,但这是一个令人难以置信的授权步骤,最终将使您的数据驱动决策更加高效。 在使用干净的数据集时,许多公司已经看到了更高的转化率和更有效的定位。
  3. 根据 GDPR,在某些情况下需要数据保护官。 总的来说,这是一个好主意:让某人对数据隐私负责,并让公司准备好履行适用法律制度下的义务。 此外,请确保此人具有较高的知名度。 在 CCPA 中,并不要求此人向高级管理层报告,如 GDPR 中那样; 但是,确保高级管理层充分了解内部审计师的发现是一个非常好的主意。
  4. 主动联系您的供应商和合作伙伴,了解在特定情况下会发生什么; 他们能否在特定时间范围内帮助您满足要求? 谈谈过程。 当您开始与与您的业务合作的其他方进行对话时,很快就会清楚他们是否能够提供帮助和遵守。
  5. 了解数据隐私法对您的业务的积极好处。 这些政策使公司能够使他们的客户数据库更健康、更活跃,降低与数据存储相关的成本,并为那些想要接收它们的个人开发更多的个人通信。
  6. 让它变得有趣。 如果您使用简单明了的语言,最终用户更有可能理解并同意您的数据处理做法,并向他们展示您所做的事情的好处。 如果您无法证明收藏的合理性,也许值得重新考虑您是否真的需要它!

制定和执行合规流程可能并不容易,但一旦完成,世界就会变得更美好。 对于准备充分的公司来说,这甚至可能意味着他们的业务得到提振。