• 主頁
  • 文章
  • 營銷學
  • 在為加州消費者隱私法做準備時,品牌可以從 GDPR 的一年中學到什麼

在為加州消費者隱私法做準備時,品牌可以從 GDPR 的一年中學到什麼

已發表: 2022-05-22

以下是Qubit 總法律顧問Jack Carvel 的客座帖子。

2019 年 5 月是《通用數據保護條例》(GDPR) 實施一周年,這是幾十年來數據隱私條例的最重大變化。 雖然 GDPR 在提高個人對數據權利的認識方面做得非常好,但執法的故事卻完全不同。

在過去的一年中,令人驚訝的是沒有大額罰款和第三方數據的持續濫用,許多人認為這些數據將完全不復存在。 然而,隨著新立法的實施,這種情況仍可能發生變化,例如預期的電子隱私部分——預計很快將生效的歐盟數據保護製度的下一個元素——以及 1 月份在美國推出的一項重大數據隱私發展2020 年:加州消費者隱私法 (CCPA)。 在這篇文章中,我將討論一年後從 GDPR 中吸取的經驗教訓,以及如何為 CCPA 和其他預計在不久的將來更嚴格的立法做好準備的技巧。

GDPR:“A+”表示意識,“D”表示執行

首先,讓我們在應有的地方給予讚揚:GDPR 對於認真對待它的企業來說非常好。 它帶來了更健康的客戶數據庫,更清楚地了解客戶並更好地洞察他們的行為。

去年春天有點像對數據應用 Kondo 方法或大掃除,因為世界各地的企業都在經歷了解他們的數據存儲在哪里以及發生了什麼的過程。 每個人都專注於數據保護短短幾個月,讓網絡世界更加安全。 而且,審查已經大大改善。 已經有幾筆罰款,其中對谷歌的罰款高達 5000 萬歐元。 一開始,許多業內人士認為這樣的罰款將成為常態,但我們還沒有看到。

GDPR 特別乏善可陳的一個領域是與第三方數據經紀人的交易。 對於整個商業模式依賴於銷售二手或三手數據的公司來說,有很多不好的做法。 這些數據可以在消費者不知道的情況下輕鬆複製、披露和提供給各方——並且可能是在未經同意或不了解正在收集哪些數據以及為什麼收集的情況下獲得的。 有了 GDPR,許多人預計這種情況會結束,但監管機構並沒有追查這些濫用數據的做法。

美國(以及歐盟以外的其他司法管轄區)也有一些較小的公司不遵守這些標準。 他們沒有資源來遵守不同的數據制度,也沒有內部顧問來監控合規性,所以他們只是承擔風險。 對於這些公司,當出現違規行為時,透明度非常低,因為監管機構無法驗證聲明的準確性。 然而,不合規是一種非常冒險的策略。 消費者越來越意識到他們的數據權利和數據的價值,因此雖然公司可以避免罰款,但如果他們遇到數據洩露,他們會冒著品牌資產和聲譽的風險——這可能比罰款更糟糕。

更嚴格的執法可能即將到來

預計有數據隱私法規可能會通過執法改變遊戲規則。 即將到來的一項重大發展是電子隱私法規,該法規定義了有關 cookie 的政策、需要哪些同意、公司可以發送電子郵件以及出於什麼原因、跟踪等,為更廣泛的個人數據概念增加了一個更明確的層面。 這可能會引發更多的執法,因為監管機構將同時使用 GDPR 和 ePrivacy 監管,儘管這還有幾個月的時間。

即將改變企業運營方式的另一項法律是 CCPA。 這裡的關鍵是,這是植根於美國的此類立法中的第一個我們可能不會看到圍繞這項即將出台的法規的嗡嗡聲,也許是因為它不是聯邦法律,但沒有為此做好準備的公司可能會對罰款感到非常不愉快,例如每次違反 CCPA 最高 7,500 美元和每條被洩露記錄最高 750 美元——這可能是一筆可觀的數額,對小型企業來說可能是毀滅性的。

給零售商的一些建議

零售商,尤其是那些沒有像全球公司一樣經歷過嚴格的 GDPR 準備過程的美國零售商,必須考慮遵守即將出台的政策所需的大量提前準備。 與我們在 GDPR 中觀察到的相比,加州在處以高額違規罰款方面可能會更加嚴格。 大型全球品牌可能已經為 CCPA 做好了準備,部分原因是它們為 GDPR 做準備以及歐洲已經存在一段時間的艱苦數據審查。 然而,小型企業可能會對即將到來的嚴格數據隱私和合規調查措手不及。 以下是一些可能對美國公司有所幫助的提示,那些希望繼續在加利福尼亞開展業務的公司有助於為即將出台的立法做準備:

  1. 儘管這不是 CCPA 的嚴格要求,但創建“處理記錄”應該是第一步:確定您正在收集哪些數據以及您正在使用它做什麼。 通過這個過程,您將了解您屬於 CCPA 的範圍。 您必須在徹底了解所有這些的情況下進入該過程。
  2. 當然數據是有價值的,但更多的數據並不一定意味著更多的價值。 如果您不知道為什麼要收集它,請擺脫它。 對您的公司無用的數據只會讓您在存儲成本方面付出金錢,並增加您面臨數據洩露的風險。 刪除數據可能會讓人感到害怕,但這是一個令人難以置信的授權步驟,最終將使您的數據驅動決策更加高效。 在使用乾淨的數據集時,許多公司已經看到了更高的轉化率和更有效的定位。
  3. 根據 GDPR,在某些情況下需要數據保護官。 總的來說,這是一個好主意:讓某人對數據隱私負責,並讓公司準備好履行適用法律制度下的義務。 此外,請確保此人具有較高的知名度。 在 CCPA 中,並不要求此人向高級管理層報告,如 GDPR 中那樣; 但是,確保高級管理層充分了解內部審計師的發現是一個非常好的主意。
  4. 主動聯繫您的供應商和合作夥伴,了解在特定情況下會發生什麼; 他們能否在特定時間範圍內幫助您滿足要求? 談談過程。 當您開始與與您的業務合作的其他方進行對話時,很快就會清楚他們是否能夠提供幫助和遵守。
  5. 了解數據隱私法對您的業務的積極好處。 這些政策使公司能夠使他們的客戶數據庫更健康、更活躍,降低與數據存儲相關的成本,並為那些想要接收它們的個人開發更多的個人通信。
  6. 讓它變得有趣。 如果您使用簡單明了的語言,最終用戶更有可能理解並同意您的數據處理做法,並向他們展示您所做的事情的好處。 如果您無法證明收藏的合理性,也許值得重新考慮您是否真的需要它!

制定和執行合規流程可能並不容易,但一旦完成,世界就會變得更美好。 對於準備充分的公司來說,這甚至可能意味著他們的業務得到提振。