CCPA法规，SMB和广告技术：它们将如何共存?

 
上个月，由于数据泄露，数以万计的应用程序被Facebook关闭。调查过程与Cambridge Analytica有关。如果您快速浏览过去的十年，您会发现最近发生的数据滥用事件越来越频繁。谁能猜到Uber，Equifax，Marriott的数据保护措施可能会被黑客破坏?没有人，直到它发生。显然，从这个角度来看，现在正是通过新立法的时候了，例如CCPA(加利福尼亚消费者隐私法案)和GDPR。 GDPR将有助于保护用户，并使公司更加谨慎地处理个人数据。
企业开始意识到安全数字环境的重要性。因此，世界正在逐渐转向新的标准和用户隐私法规。依赖数据的企业将很快见证数据隐私和安全性的最重大变化。 CCPA监管指日可待。你已经准备好了吗?
什么是CCPA，以及美国为什么早就需要
加利福尼亚州州长于2018年批准了CCPA立法。该法案将于2020年1月1日生效。《加利福尼亚消费者隐私法案》是一项赋予加利福尼亚人隐私权的州法律。就像GDPR为欧盟公民所做的一样，但存在细微的差异。
根据法律的内容，每个加利福尼亚人都会获得“标准一揽子权利”。访问个人信息和被遗忘的权利。知道公司在何处以及为何使用数据的权利。此外，拒绝数据转售的权利。
该州有很多CCPA的前身。来自不同行业集群，垂直行业等的隐私建议。它们重叠并且很容易彼此矛盾，而无论如何，它们都必须并排应用。
加利福尼亚成为第一个决定驯服法规混乱的州。它将它们标准化为15页的简洁文本。如果将它与GDPR的数百页进行比较，则要短得多。不过，CCPA更实用，更容易掌握。
哪些企业有资格?
CCPA合规性主题仅涵盖公司的单个股份。这些公司处理加利福尼亚州居民的个人数据(州内外)：
该业务应产生至少2500万美元的年收入
年收入低于2500万美元的企业只有在每年出售超过5万名加利福尼亚人的个人数据时才符合要求
如果企业从GDPR分类为个人的数据中获得50%或更多的收入
最关键的问题之一是：什么可以被视为个人数据?各种性质，生物特征，地理位置，互联网活动历史，有关就业的信息或受教育程度的标识符都可以视为私人标识符。同样，该法规将公司可以根据其对用户进行分类或完成其用户画像或心理特征的任何匿名数据(IP，OS，设备等)定义为个人。
CCPA为什么会改变企业的运作方式
CCPA数据法规下的个人数据概念确实很广泛。此外，几乎每个国际公司都拥有属于加利福尼亚人的信息，甚至更多属于欧洲人的信息。为此，GDPR和CCPA将共同改革全球无数的中小企业的运营。
尽管即将颁布法规，但采用过程并未显示出令人难以置信的动态。在这一点上，它与去年的GDPR趋势没有什么不同，当时只有48.7%的企业设法遵守了截止日期。
CCPA法规使其更具戏剧性。 2019年8月5日举行的Eset调查显示，企业之间对即将实施的CCPA法规的困惑越来越普遍。因此，只有11.8%的公司正在为CCPA做准备。超过44.2%的人从未听说过该法规。其余的人-34%-根本不知道他们是否符合资格。
在此阶段，还必须了解CCPA的具体内容并了解延迟合规的可能风险。如果GDPR要求公司在收集个人数据之前获得用户同意，则CCPA可使公司仅满足应在45天内执行的传入用户请求。
如果用户向公司提出有关违反个人数据的投诉，但在45天内仍未解决，则该公司将被罚款每案7.5万美元。数据泄露不是可能的处罚清单上的唯一事件。如果用户发现公司使用了他们的个人数据(例如，在未经其许可的情况下进行广告个性化设置)，则他们可能会起诉。
当然，加州政府将来会修改和修改罚款数量。无论如何(考虑到所有额外的技术和法律费用)，CCPA可能会对无法及时遵守的公司造成损害。
CCPA法规和广告技术
像广告一样，数字业务在运作的每个阶段都涉及数据。从细分，广告系列个性化开始，到营销分析及其他方面结束。 CCPA对企业施加的新义务可能会对广告技术公司构成挑战。它们几乎完全取决于多层数据集。另外，他们的伙伴关系网络复杂且相互联系。
每个用户都有权撤销他/她的同意。因此，公司以及数据控制者将必须开发工作机制以根据要求执行这些权利。
广告平台有必要证明并证明其为什么需要处理加利福尼亚人的个人数据。必须确保参与进一步处理的供应商也符合CCPA。
对于所有无法跟上的公司，防止不良后果的唯一方法就是关闭加利福尼亚分公司。 CCPA还要求公司在其网站上显示并提供“不出售我的数据”选项。
结果，第三方(购买和出售)的数据共享将减少，因为用户将禁止它。在这种情况下，第一方数据(个人收集)将具有更大的意义。广告算法可能很快会相应地重新构建，以满足这个新的市场需求。
最后，这种转变将使广告生态系统更加开放和透明。首先喜欢新标准的广告市场参与者将对最喜欢正义的加利福尼亚客户表现出最可信赖的信任。
我们可以从GDPR执法跟踪器中学到的东西：去年有数十家公司因未能遵守而被罚款。其中许多根本没有正确解释法律框架。这就是为什么在您还有时间进行实验和犯错误的同时，预先组织准备工作的原因。
遵守CCPA的正确方法
您需要确定收集的信息种类以及是否可以将其视为个人数据。如果您拥有加利福尼亚人的个人数据，请确保您有明确的收集目的。根据CCPA要求进行存储，转让或出售。对收集的数据和收到的客户的请求启动内部记录。
如果第三方平台可以访问您的技术(包括软件)，请确保您知道他们可能收集哪些数据。修订现有合作伙伴的CCPA合规性，如果他们还不愿意接受新法规，这是一个很好的信号，您需要开始寻找更可靠的合作伙伴。
隐私政策更新是您需要事先准备的第一步。然后，当草稿准备就绪时，请尝试检查您的内部数据收集系统，并发现它们是否已准备好用于CCPA。不要忘记，根据CCPA，您的客户必须至少有两种联系公司的方式-网页和免费电话号码。
介绍信息安全标准，例如ISO 27001或NIST或CIS框架。他们确认您的公司已根据国际标准建立了强大的风险管理系统，业务，技术流程和管理。
最后一个字
CCPA是迈向全新的美国数据安全解释的第一步。多年来，CCPA是对实践的最可持续的修改，被认为是基本且不可更改的。 这将影响中小型公司的运作，但是如果准备得很好，采用过程肯定不会比使用GDPR的过程困难。
在一个进步的民主社会中，客户权利是重中之重，如果您今天了解它，您的公司将在明天的所有业务沟通中显得透明且值得信赖。