高德納 據估計,到今年年底,全球65%的人的個人數據將受到隱私法規的保護。這對消費者來說是個好消息,但對於試圖使用數據運營的企業來說,這是一個艱巨的挑戰。
目前全球有120多項數據保護和隱私法規。還有更多正在開發中。對於擁有全球業務的公司來說,這可能會非常令人困惑。對於廣告客戶來說,瞭解這些法規至關重要,以確保他們能夠保持合規,並自信地選擇符合隱私保護要求的數據供應商和合作夥伴。
本綜合指南將解釋限制性最嚴格的數據保護法律,以便廣告主更好地了解他們可以和不可以對第一方數據做什麼。
不遵守數據隱私要付出高昂代價
在數據隱私方面有兩個主要風險:
- 失去業務是因為使用者對您處理數據的方式失去了信任。
- 因不合規的數據處理而被監管機構罰款。
這兩種風險都伴隨著可能嚴重損害企業的成本。例如,巴西的數據保護法可以要求公司占巴西收入的2%,歐盟的GDPR可以要求佔全球公司收入的4%。雖然其中許多法律仍然是新的,但有很多 已經被罰款的公司.
關於GDPR巨額罰款的快速事實:
- 迄今為止最大的罰款是 2021 年對亞馬遜的 GDPR 罰款 8.77 億美元。
- Meta(前身為 Facebook)在 2022 年受到打擊,罰款 4.33 億美元。
- The GDPR 最高罰款 還包括谷歌,它已經兩次受到打擊,罰款總額為6500萬美元。
- GDPR 已對 估計有 1,000 家公司 過去兩年累計罰款12.5億元。
對於那些只在美國經營的企業,有各州的法規需要應對。第一個有效的法規是加利福尼亞州的CCPA,該法案對每個侵犯消費者數據隱私的行為處以7,500美元的罰款。迄今為止,已有十家企業被罰款,但總金額尚未披露。顯而易見的是,一旦消費者發現問題,像CCPA這樣的法規可能會導致查詢解決和附加費的噩夢。
公司需要採取預防措施以避免不合規處罰。對於利用大量數據進行廣告宣傳以識別目標受眾並簽訂廣告合同的營銷人員來說尤其如此。因此,廣告主必須清楚地瞭解最嚴格的政策以及內部和外部要提出的重要問題,以確保合規性。
值得注意的數據隱私法規
今天最受關注的法規是那些已經通過的寬限期法規或正在積極發放罰款的法規。歐盟的《通用數據保護條例》(GDPR)是最嚴格和最廣為人知的條例之一。巴西的數據保護法(LGPD)是在GDPR之後出臺的,是南美洲最重要的法規。在美國,加利福尼亞州的《消費者數據隱私法》(CCPA)是第一個通過的法案,科羅拉多州的《隱私法》和弗吉尼亞州的《消費者數據保護法》(CDPA)緊隨其後。以下是這些為世界其他地區開創先例的現行法規的細分。
通用數據保護條例 (通用資料保護條例)
- 法律通過日期: 四月 14, 2016
- 生效日期: 5月25, 2018
- 定義: GDPR 要求公司請求共享數據的某些許可權,並授予個人訪問、刪除或控制該數據使用的權利。GDPR 確實允許使用者通過提供他們的電子郵件地址,有時提供他們的姓名和其他個人資訊來主動訂閱接收電子郵件或新聞通訊的選擇加入許可權。請注意,英國也有自己版本的GDPR: 英國通用數據保護條例
- 執法: 來自 27 個歐盟成員國的個人數據保護機構 (DPA) 執行 GDPR。DPA獨立於政府。他們的職責是調查投訴,就數據保護問題提供建議,並確定何時違反GDPR。
- 處罰: 對於特別嚴重的違規行為,罰款最高可達2000萬歐元,或最高為上一財年全球總收入的4%,以較高者為準。對於不太嚴重的違規行為,罰款最高可達1000萬歐元,或最高為上一財年全球收入的2%,以較高者為準。
- 這對廣告主意味著什麼: GDPR 適用於處理歐盟公民或居民個人數據或向他們提供商品或服務的任何公司。任何符合此描述的公司都需要遵守以下七項原則:
- 合法性、公平性和透明度 — 處理必須對數據主體合法、公平和透明。
- 目的限制 — 您必須出於收集資料時明確向數據主體指定的合法目的處理資料。
- 資料最小化 — 您應該僅收集和處理指定目的絕對必要的資料。
- 準確性 — 您必須保持個人資料的準確性和最新性。
- 儲存限制 — 您只能在指定目的所需的時間內儲存個人身份資料。
- 完整性和機密性 — 處理必須以確保適當的安全性、完整性和機密性(例如使用加密)的方式進行。
- 問責制 — 數據控制者負責證明GDPR符合所有這些原則。
對於廣告商來說,瞭解關於什麼構成的嚴格新規則也很重要 數據主體的同意 處理他們的資訊。
- 同意必須是“自由給予的、具體的、知情的和明確的”。
- 同意請求必須“與其他事項明確區分”,並以“清晰明瞭的語言”提出。
- 數據主體可以隨時撤回先前給予的同意,並且您必須尊重他們的決定。您不能簡單地將處理的法律依據更改為其他理由之一。
- 13歲以下的兒童只有在父母的許可下才能表示同意。
- 您需要保留同意的書面證據。
巴西通用數據保護法 (LGPD)
- 法律通過日期: 八月 14, 2018.
- 生效日期: 九月 18, 2020.
- 定義: LGPD 管理個人數據的處理,目的是保護個人自由和隱私權的基本權利。任何在巴西擁有客戶或客戶的組織,無論其位於何處,都需要遵守 LGPD。這意味著不僅巴西公民的個人資訊受到保護,而且任何在巴西境內收集或處理數據的個人都受到保護。
- 執法: 該法律的一部分包括建立一個聯邦獨立監管機構,即國家保護達多斯汽車管理局(ANPD)。他們的作用是解釋和執行LGPD,並充當國家監督機構。
- 處罰: 如果違反LGPD,當局可以實施行政處罰。在制裁中,有通知和罰款,可能從上一財政年度公司在巴西營業額的 2% 不等,每次違規總額限制為 50,000,000.00(五千萬雷亞爾)。還有可能按日罰款,迫使該實體停止違法行為。
- 這對廣告主意味著什麼: 任何在巴西收集使用者資訊的企業都需要確保遵守這些標準,包括獲得使用其個人數據的明確同意。如果您遵循 GDPR 的選擇加入同意規則,您將遵守 LGPD。
加州消費者隱私法案 (CCPA & CPRA)
- 法律通過日期: 2018 年 6 月 28 日,CCPA 獲得通過。CPRA 是對 CCPA 的修訂,於 2020 年 11 月 3 日通過。
- 生效日期: CCPA於 2020 年 1 月 1 日生效。CPRA修正案於2023年1月1日生效。
- 定義: 這項具有里程碑意義的法律為加州消費者保障了新的隱私權,包括:
- 了解企業收集的有關他們的個人資訊以及如何使用和共用這些信息的權利;
- 刪除從他們那裡收集的個人信息的權利(有一些例外);
- 選擇不出售或共用其個人信息的權利;和
- 行使CCPA權利不受歧視的權利。
2020 年 11 月,加州選民批准 提案24,CPRA,修訂了CCPA並增加了新的額外隱私保護,從2023年1月1日開始。自 2023 年 1 月 1 日起,除上述權利外,消費者還擁有新的權利,例如:
- 更正企業擁有的關於他們的不準確個人信息的權利;和
- 限制使用和披露所收集的有關他們的敏感個人信息的權利。
- 執法: 加州總檢察長擁有執行 CCPA 的完全權力。也就是說,CPRA 修正案授予加州隱私保護局實施和執行CCPA的全部行政權力、許可權和管轄權;總檢察長保留了執法權。
- 處罰: 違反 CCPA 的行為將由加州總檢察長辦公室執行,該辦公室可以在通知和 30 天的補救機會後,對每次違規行為處以 2,500 美元的民事罰款,或對每次故意違規行為處以 7,500 美元的民事罰款。
- 這對廣告主意味著什麼: 受 CCPA 約束的企業有多種責任,包括響應消費者行使這些權利的請求,並賦予消費者某些權利 解釋其隱私慣例的通知.
佛吉尼亞州消費者數據保護法 (中新社)
- 法律通過日期: 3月2, 2021
- 生效日期: 1月1, 2023
- 定義: VCDPA賦予消費者訪問其個人數據並要求企業刪除其個人數據的權利。它還要求公司進行與為有針對性的廣告和銷售目的處理個人數據相關的數據保護評估。該法律甚至包含一些限制使用去識別化的數據,或修改為不再直接識別數據來源的個人的數據。
- 執法: 佛吉尼亞州總檢察長是唯一可以執行VCDPA並尋求損害賠償的實體。
- 處罰: 違規行為可能導致每個消費者違規行為最高7,500美元的民事罰款。此外,企業可以負責報銷辦公室的合理費用,其中包括律師費。
- 這對廣告主意味著什麼: 佛吉尼亞州的法案與CCPA沒有太大區別,但重要的是要注意它沒有指定公司收入。這意味著,這適用於處理數據的任何規模的公司。
可以找到世界各國法規的完整清單 這裡.
2023 年通過的新數據隱私法規
更多的數據隱私法規正在制定中,但這裡有一些在不久的將來生效的大型法規。
科羅拉多州隱私法案 (註冊會計師)
- 法律通過日期: 7月7, 2021
- 生效日期: 7月1, 2023
- 定義: 《科羅拉多州隱私法》規定科羅拉多州居民有權退出退出定向廣告、出售其個人數據以及某些類型的分析。從 2024 年 7 月 1 日開始,控制者將需要尊重用戶選擇的通用退出,以進行有針對性的廣告和銷售。科羅拉多州居民還有權訪問、更正和刪除其個人數據以及數據可移植性的權利。控制者通常有 45 天的時間來回應消費者的請求。
- 執法: 對 CPA 的遵守完全由科羅拉多州總檢察長或地區檢察官執行。
- 處罰: 根據CPA,根據《科羅拉多州消費者保護法》,違規行為將受到民事處罰,該法案規定對個人消費者的每次違規行為處以不超過20,000美元的民事罰款。
- 這對廣告主意味著什麼: 作為另一項消費者保護法,這將是加利福尼亞州和弗吉尼亞州活動的補充。這意味著,如果一家公司被指控在一個州違規,這可能會迅速蔓延到其他有類似法規的州。
康涅狄格州數據隱私法案 (中新社)
- 法律通過日期: 5月10, 2022
- 生效日期: 7月1, 2023
- 定義: CTDPA為康涅狄格州居民提供以下列舉的權利:
- 訪問控制者收集的有關他們的個人數據的權利。
- 更正其個人數據中的不準確之處的權利。
- 刪除其個人數據的權利,包括控制者通過第三方收集的個人數據。
- 以便攜式且易於使用的格式獲取其個人數據副本的權利,使他們能夠輕鬆地將數據傳輸到另一個控制者。
- 退出宣告的權利:
- 出售其個人數據;
- 為定向廣告目的處理個人數據;和
- 可能具有法律或其他重大影響的分析。
- 執法: 康涅狄格州總檢察長擁有執行CTDPA的專屬權力。
- 處罰: 每次違規最高 5,000 美元。除了民事處罰外,總檢察長還可以提起訴訟以獲得額外的損害賠償。
- 這對廣告主意味著什麼: 收集和處理康涅狄格州居民個人數據的公司必須:
- 提供有關他們處理的個人數據類型、處理目的、他們是否以及為何與第三方共用個人數據以及有關消費者如何對其個人數據行使其各種權利(例如訪問、刪除)的資訊的通知。
- 將個人數據的收集限制在處理數據的特定目的的充分、相關和合理必要的範圍內(也稱為“數據最小化”)。
- 在處理消費者的敏感數據之前獲得同意。
- 回應行使CTDPA授予的消費者權利的請求。
- 在處理個人數據之前,以對消費者造成更高傷害風險的方式進行評估(稱為“數據保護評估”)。這包括出於定向廣告、銷售或分析目的處理個人數據,以及處理敏感數據。
猶他州消費者隱私法案 (UCPA)
- 法律通過日期: 3月24, 2022
- 生效日期: 12月31, 2023
- 定義: 根據UCPA,消費者享有四項主要權利:
- 訪問權 – 確認控制者是否正在處理其數據的權利以及訪問該個人數據的權利。
- 刪除權 – 要求公司刪除他們提供給控制者的個人數據的權利。
- 數據可移植性權利 – 以隨時可用的格式獲取其個人數據副本的權利。
- 退出宣告某些處理的權利 – 退出宣告出於定向廣告目的處理其個人數據的權利;或出售個人數據。
- 執法: 猶他州總檢察長擁有執行UCPA的專屬權力。
- 處罰: 接到通知后,公司有 30 天的時間修復違規行為。如果在該時間段內未確定,總檢察長可以對每次違規行為處以高達 7,500 美元的罰款和損害賠償。
- 這對廣告主意味著什麼: 這一行為對企業來說比來自加利福尼亞州、佛吉尼亞州和科羅拉多州的企業更容易。只要企業遵守這些更嚴格的規定,當這項法律生效時,就不會有任何變化。
美國的聯邦數據保護
雖然消費者數據隱私主要在美國的州一級處理,但有許多聯邦級法規適用於某些行業也需要遵守。
兒童線上隱私保護法 (科帕)
COPPA 對面向 13 歲以下兒童的網站或在線服務的運營商,以及實際知道他們正在在線收集 13 歲以下兒童個人資訊的其他網站或在線服務的運營商施加了某些要求。
健康保險流通和會計法 (希帕亞)
1996 年的《健康保險流通與責任法案》(通常稱為 HIPAA)是一系列監管標準,概述了受保護健康資訊 (PHI) 的合法使用和披露。HIPAA 合規性由衛生與公眾服務部 (HHS) 監管,並由民權辦公室 (OCR) 執行。
格拉姆·利奇·比利利法案 (格巴)
《格雷姆-裡奇-比利雷法案》要求金融機構(向消費者提供貸款、金融或投資建議或保險等金融產品或服務的公司)向客戶解釋其資訊共用做法並保護敏感數據。
公平信用報告法 (FCRA)
《公平信用報告法》保護消費者報告機構(如信用局、醫療資訊公司和租戶篩選服務)收集的資訊。消費者報告中的資訊不能提供給任何沒有該法案規定的目的的人。 向消費者報告機構提供資訊的公司也有特定的法律義務,包括調查有爭議信息的義務。此外,出於信貸、保險或就業目的的資訊用戶必須在根據此類報告採取不利行動時通知消費者。
向數據供應商提出的問題,以確保數據隱私合規性
在與數據供應商和合作夥伴合作時,確保他們正確處理個人數據比以往任何時候都更加重要。以下是確認新數據供應商將遵守當前和即將出臺的法規的關鍵問題。
- 貴公司是否有單獨的隱私團隊來推動隱私合規性?還是隱私是設計內置的?
- 您對正在收集的數據保留哪些文檔,例如同意、使用方式、存儲位置、哪個員工負責等?
- 您對資料存儲採取了哪些安全措施?
- 您如何處理區域隱私監管機構施加的選擇加入與退出宣告要求?
- 您正在採取哪些措施來應對最近的美國州法律?
- 您正在採取哪些措施來應對最近的 GDPR 法規?
- 您如何確保以符合隱私的方式處理敏感數據,尤其是敏感的健康或宗教數據?
- 您是否計劃在今年獲得最終認證的隱私審核/審查?如果是這樣,您計劃與哪個組織合作?
提出這些問題將清楚地了解數據供應商對數據保護和隱私的重視程度,以及他們如何準備證明遵守國際法規。與數據供應商合作,例如 ShareThis將數據隱私置於其業務實踐的最前沿,將使廣告商不必擔心數據隱私合規性,而是專注於廣告成功。
