2020年CCPA生效在即,你准备好吗

加州消费者隐私法案(California Consumer Privacy Act,缩写作CCPA),是一项旨在加强美国加利福尼亚州居民隐私权和消费者保护的法案,预计于2020年1月1日生效。

身为应用营销商的您想必关心以下议题:该法案将带来哪些具体影响?您的用户就其个人数据层面上拥有哪些权利,而您在数据处理上有何责任?Adjust又将如何帮助您遵守该项法律?

CCPA针对的对象是谁?

在我们继续探讨之前,让我们先来回答一个您已经在担心的问题:这项法律会影响到我吗?

首先,您可以通过CCPA 所提供的简易检查表,来确定自身是否属于“企业”的定义范围,若是,则必须遵守该法律。

●        运营以获得利润

●       在加利福尼亚州开展业务

●       符合以下一项或多项特征:

●       每年总收入超过2500万美元

●       每年购买/出售/接收/分享超过50,000个消费者/家庭/设备中的个人信息

●       每年通过出售个人信息赚取一半或更多的收入

您可能已经猜到了,正是由于“每年接收超过50,000名消费者的个人信息”这一要素,大多数应用营销商都受到CCPA规范。

也许您会想:“但是在加利福尼亚,只有少数人使用我的应用。”

那我们来细究消费者的定义:

●       位于加利福尼亚州,出于临时过渡目的以外之任何其他目的的人

●       定居在加利福尼亚州,且出于临时过渡目的而位于加州之外的任何个人

这意味着,除非您能以某种方式确保您的用户中没有人位于加利福尼亚州,或加利福尼亚州以外的用户中,没有一个人在加州内拥有居住地址,否则CCPA很可能是您需要应对的问题。

“借鉴 GDPR”?

要了解CCPA,一种简单方法是将其与“通用数据保护条例(GeneralData Protection Regulation,缩写作 GDPR)”对比。大多数营销商已经熟悉后者的内容规范。

这两项法律在根本上非常相似。两者皆旨在赋予消费者权利,让消费者得以控制、了解其个人数据如何被收集,而数据又会与谁分享。不出所料,两项法律明确的个人数据定义颇为雷同。

另一个相似的重要概念,是拥有用户个人数据的实体与为其处理数据的实体之间的关系。GDPR的用词相对简单:“数据控制者(Data Controller)”和“数据处理者(Data Processor)”,两者的定义正如其名所示。CCPA使用的则是“企业(Business)”和“服务提供商(Service Provider)”,但本质而言它们与GDPR对应的含义无异。

简而言之,“企业”需要一份包含“服务提供商”的数据处理附录,以便他们处理用户数据。

这可能听起来简单,但是上述定义为使用某些服务提供商的营销商,带来了不可轻忽的变化。

出售数据

如同GDPR框架下的数据处理者, CCPA定义服务提供商得以在不拥有数据所有权的情况下处理企业的个人数据。 基于此定义,公司能使用移动归因提供商或分析工具等来改善其业务。 实际上,Adjust已经开始着手更新所有客户协议,从而在遵守 CCPA的前提下进行数据处理。

另一方面,这两项法律皆就企业或服务提供商对个人数据之处理方式做了规范。 如果服务提供商为企业收集数据并将数据出售给其他客户,则此举违反 CCPA。

第 1798.140 (t)条

(1)“出售”、“正在出售”、“销售”或“被出售”是指企业出于金钱或其他有价值的考虑,出售、出租、发布、披露、传播、提供(……)消费者的个人信息给另一家企业或第三方。

(……)

(2) 就本标题而言,在以下情况下,企业不得出售个人信息:

(……)

(C) 如果满足以下两个条件,则企业使用或与服务提供商分享为达到企业目的所必需的消费者个人信息:服务提供商代表企业执行服务,前提是服务提供商也不会出售个人信息。

出售此类个人数据的显例之一,是“基于用户的归因(people-based attribution)”,出于法律和道德原因,Adjust坚决不提供此类归因服务。

对于营销商来说,这意味着在处理个人数据时,他们需要审查任何服务提供商及其做法。

选择加入与选择退出

CCPA与GDPR之间的最大区别在于获得用户的同意——具体来说,是在用户采取任何措施之前关于同意的假设。

GDPR要求所有个人数据处理均为“选择加入”,这在业内掀起了波澜。 相关例外情况只有在序言部分就“合法权益”做了说明,使数字营销能够采取过往的方式开展行动。

CCPA对此则未有明文规定,而是专注于确定用户权利和企业的职责。

另一个区别是立法者对GDPR的其他澄清和解释的数量。 GDPR中后来又增加了许多原始法律中未列出的细节,例如,GDPR有170多条序言,以实际条款阐述其法律意图。

目前,CCPA仍有许多解释和说明不齐全。然而随着2020年的临近,我们可以期待司法部长发布更多信息。

那么关键问题来了,您需要为CCPA做哪些准备呢?

用户权利

CCPA的核心内容是尊重消费者的权利。 我们来看一下这些权利的实质意涵:   

●       消费者有权了解将收集哪些有关他们的个人信息

●       消费者有权了解其个人信息是否将被出售或披露,以及向谁出售或披露

●       消费者有权拒绝出售个人信息

●       消费者有权访问自己的个人信息

●       消费者有权享受平等的服务和价格,即使他们行使其隐私权

基于前两项权利,您需要在应用中添加免责声明,以告知用户您收集了哪些个人数据、与谁共享数据以及将如何处理。

这些工作应交由法律顾问处理,并且应该与您现有的数据隐私免责声明同步。

承上,您应该在您应用内部为用户提供选择“不”出售个人信息的权利,其中包括删除已经收集的数据。 要想有效地因应此规范,您可以为自身数据库和与之共享数据的服务提供商构建编程接口,从而轻松传输用户的决定。

引用法律:

第1798.135条。 (a) 对于需遵守第1798.120条之规定的企业,应以消费者可以合理获取的形式:

在企业的互联网主页上提供清晰明了的链接,标题为“不出售我的个人信息”,该链接指向互联网页面,使消费者(……)可以选择不出售消费者的个人信息。 企业不得要求消费者创建账户以指示企业不要出售消费者的个人信息。

Adjust提供SDK与S2S(服务器对服务器)的API,您能使用API删除用户的数据并把用户排除在数据收集范围之外。目前该API是以相应的GDPR命名,但是将来我们可能会将其更新为更中性的名称。

用户若要访问个人数据,可以通过您按规范要求所提供的流程或界面与您联系。Adjust 的数据将成为您响应消费者需求的一部分,并可轻松地经由客户管理团队进行访问。

设计应用时,也别忘记清晰阐明用户享有平等价格和服务的权利。

总结

对于Adjust以及大多数客户而言,遵守CCPA将是件轻松的任务。这是因为我们早已符合GDPR的要求,并对于收集的所有个人数据以及用户权利给予同等的尊重。

这意味着,Adjust将遵守CCPA及其所有要求。

对于首次应对隐私权问题的客户来说,这是个绝佳的好消息。因为Adjust早已准备好了所有必要相应的流程和界面,合规将是轻而易举。

最重要的是,Adjust不仅会履行作为服务提供商的职责,同时将依循最严格的法条解释。我们是移动广告行业中,唯一可以符合这些条件的监测合作伙伴。Adjust只在您的应用范围内处理用户个人数据,绝不分享或出售任何信息。

我们深信我们走在正确的道路上。新的加州法律CCPA的颁布,仅象征了美国市场出台消费者隐私法规的开端。很快地,其他州将随之效仿。

关于CCPA以及Adjust如何确保您的用户权利,如果您有任何疑问,请与我们联系。

关于Adjust

Adjust是行业领先的移动数据监测、防欺诈和网络安全平台。满怀对经济和技术发展的热情,Adjust希望能帮助广告主达成品牌成长的终极目标,现如今Adjust在全球已有15个办公室。

旨在让营销变得更简单、更智能和更加安全,Adjust希望助力广告主构建更加成功的应用程序。Adjust是全球主要平台的营销合作伙伴,总计已有30,000余个应用选择了Adjust的解决方案以优化其市场表现,其中包括全球领先的品牌NBC Universal、Procter &Gamble、腾讯游戏、LINE Corporation、Rocket Internet与N26。

Adjust近期收购了数据聚合平台Acquired.io和网络安全与人工智能初创公司Unbotify。2019年6月成功获得新一轮融资达2.27亿美金,成为欧洲年度融资项目之一。

上一篇: 阿里巴巴今日香港挂牌 成港股第一大市值公司

下一篇: 暴风影音“猝死”!官网、APP全挂了,老板被捕,高管全辞职…

我来评几句
登录后评论

已发表评论数()

相关站点

+订阅
热门文章