CCPA(加州消费者隐私法案)及其修正案CPRA(加州隐私权法案)对SaaS公司进行再营销和重定向的方式产生了重大影响,尤其针对加州用户。与GDPR的“选择加入”模式不同,CCPA/CPRA对个人信息的“出售”或“共享”采用“选择退出”原则。
以下是 SaaS 再营销/重定向的 CCPA/CPRA 合规性细分:
CCPA/CPRA 与再营销相关的核心原则
广义定义: CCPA 对“出售”的定义非常广泛,不仅涵盖金钱交换,还涵盖个人信息的“其他有价对价”。这包括与第三方广告商共享数据以投放定向广告。
CPRA 的澄清: CPRA 明确增加了“共享”条款,以涵盖直接针对再营销的“跨情境行为广告”。这意味着,将数据发送到广告平台(例如 Google Ads、Meta、LinkedIn)以根据用户在不同网站或应用上 列表到数据 的活动向其展示个性化广告,在 CPRA 下被视为“共享”。
对 SaaS 的影响:如果您的 SaaS 使用像素(Meta Pixel、Google Tag)将用户数据(IP 地址、浏览历史记录、用户 ID 等)发送到广告平台进行再营销,那么您很可能根据 CCPA/CPRA“共享”个人信息。
消费者权利:加州消费者享有特定权利,包括:
知情权:哪些个人信息被收集、使用、共享或出售。
删除权:要求删除他们的个人信息。
选择退出权:与再营销最相关的权利。消费者有权选择退出其个人信息的“出售”或“共享”。
限制使用和披露敏感个人信息 (SPI) 的权利: CPRA 为 SPI 引入了新的保护措施(例如,精确地理位置、健康数据)。
非歧视权:企业不得歧视行使隐私权的消费者。
SaaS 再营销/重定向的关键合规性要求
“请勿出售或分享我的个人信息”链接:
强制性:您的 SaaS 网站必须显示清晰醒目的链接,通常位于页脚,标题为“请勿出售或共享我的个人信息”。
退出机制:此链接应指向一个页面,方便用户轻松行使退出权限。该页面可以是一个偏好设置中心,方便用户切换特定的数据共享设置;也可以是一个提交退出请求的简单表单。
无需帐户:消费者无需创建帐户即可提交退出请求。
更新的隐私政策:
透明度:您的隐私政策必须清楚、全面地披露:
收集的个人信息的类别。
收集、使用和“共享”的业务和商业目的。
与之“共享”个人信息的第三方类别(例如,Google、Meta 等广告合作伙伴)。