每个人都喜欢饼干,对吧?好吧,至少是那些可吃的。另一方面,数字饼干,尤其是第三方的,在2023年将会遇到困难。
今年,企业需要记住的不仅仅是改变饼干的做法。越来越多的州隐私法将挑战组织和广告商。
如果你认为即将出台的新隐私法不会影响到你的公司,那就看看丝芙兰(Sephora)去年的遭遇吧:这家化妆品零售商被罚款了因涉嫌违反加州隐私法被罚款120万美元在不告知用户的情况下与第三方分析工具共享用户数据。
隐私失误的后果是真实存在的,但避免这些后果的机会也是真实存在的。让我们来看看2023年组织将面临的变化时间表,关键细节,以及他们可以采取的步骤,以保持隐私曲线的领先地位。
2023年值得关注的数据隐私日期
2023年1月1日
2022年12月31日,球落下后,在加州或弗吉尼亚州开展业务的组织必须迅速清理完五彩纸屑。新年伊始,它们必须确保自己符合《金融时报》提出的新监管要求加州隐私权法(CPRA),修订了《加州消费者隐私法》和《弗吉尼亚消费者数据保护法(VCDPA)。
既然这些法案是有效的,那么对于满足适用性阈值的组织来说,了解法规的细微差别至关重要。
尽管在加州开展业务的组织已经被要求遵守加州消费者隐私法(CCPA), CPRA修订或扩展了当前要求的许多方面,例如信息的特殊类别,属于未成年人的数据,数据收集和存储的限制,执法机制等等。
与CCPA一样,CPRA适用于在加州经营和/或从加州居民那里收集信息,年收入超过2500万美元或年收入中有50%来自出售个人信息的企业。
CPRA行动项目:在你的隐私策略中包括员工权利。
如果你是一家在加州经营的企业,你就不能再只考虑消费者的隐私权了。CPRA意味着,收集员工数据的企业现在要遵守与收集消费者个人信息的企业同样严格的隐私法规。
这意味着——除其他事项外——一个组织的员工必须被告知他们在CPRA下的权利以及他们行使这些权利的方式。雇主回复请求的时间也有限,而且必须妥善记录所有回复,就像对待消费者一样。
2023年7月1日
到今年年中,将有两个州——科罗拉多和康涅狄格——加入加州和弗吉尼亚的行列,成为迈向更好的隐私管理的开拓者。
的科罗拉多州隐私法(CPA)并没有增加或扩展其他州隐私法没有涉及的重要新要求。CPA将适用于在科罗拉多州开展业务或向科罗拉多州居民提供商业产品或服务的营利性和非营利性实体。
要获得注册会计师资格,该组织还必须超过以下阈值之一:
- 在任何日历年内处理超过100,000名消费者的个人数据和/或通过出售25,000名或更多消费者的个人数据获得收入或获得商品或服务折扣
- 代表这些公司管理、维护或提供与数据相关服务的服务提供商、承包商和供应商
的康涅狄格州数据隐私法(CTDPA)与科罗拉多州的法律类似,但它也包含了加利福尼亚州和弗吉尼亚州隐私法的元素。
CTDPA适用于在康涅狄格州开展业务或控制或处理以下消费者个人数据的实体:
- 处理或控制至少100,000个消费者的数据,不包括仅用于完成支付交易的数据
- 处理或控制至少25,000名消费者的数据,并从个人数据销售中获得至少25%的总收入
CPA和CTDPA行动项目:注意治疗期。
CPA和CTDPA都要求对涉嫌违规行为有60天的纠正期,尽管该条款将于2025年1月1日到期。在补救期间,司法部长必须在采取执法行动之前发出通知并给予补救任何违法行为的机会。但请记住,从2025年1月1日起,他或她可以在没有事先通知的情况下行事。
2023年12月31日
随着白天再次变短,新年的倒计时又开始了,最后一个生效日期将悄然而至:《中华人民共和国宪法》的实施日期犹他州消费者隐私法(UCPA)。
UCPA在立法上采取了更宽松、更有利于商业的方式。与其他州不同,犹他州有最低收入门槛和额外门槛,必须申请UCPA覆盖的组织。此外,UCPA适用于在犹他州开展业务或为犹他州居民提供目标产品和服务的营利性实体,年收入至少为2500万美元,并满足额外的门槛要求。
应采取的资料私隐措施
个人权利和阈值通常是隐私博客和思考文章的焦点,但它们只是起点。是的,您需要了解这些信息,但您还需要一个计划,将监管要求整合到您的隐私程序中。你应该从这里开始。
1.确认哪些隐私法规适用于您的组织
重要的是要了解是否有新的或更新的隐私法现在适用于您的组织。
在这个时间表中提到的每个美国州隐私法都有一定的门槛,必须在企业受到法律约束之前触发这些门槛。跟上那些可能应用于您的组织的阈值是很重要的,但同样重要的是,您在您的组织中对可能触发与适用法律的遵从性需求的操作实践具有可见性。
2.更新您的隐私政策和隐私声明
您的隐私政策和隐私声明在内部和外部提供了必要的沟通,例如您将收集哪些信息,您的业务将如何处理个人信息,如何处理个人权利等等。
如果即将出台的隐私法规之一出现在你的待办事项清单上,要积极主动。确定您的隐私政策和通知需要更新的地方,特别是如果您必须调整流程或工作流程。
3.注意饼干
使用第三方cookie和类似的技术,特别是用于在线行为广告或类似类型的消费者跟踪和分析,目前正在造成相当大的混乱。许多组织也在努力寻找技术解决方案,以满足欧盟的选择加入要求GDPR.
你可以通过理解来减少障碍你的网站上有什么还有你的移动应用。了解您所拥有的将使您更容易确定如何向用户提供所需的控制(例如通用选择退出,选择加入某些或所有非必要的cookie,或限制cookie的使用)。
* * *
当日历向合规截止日期翻转时,不要不知所措。你的合规计划总是在进行中。数据隐私将继续发展,专家可以为您提供所需的支持,以确保您公司的未来看起来光明。
