CCPA/CPRA 下的消费者权利及其行使方式的描述(包括选择退出跨情境行为广告共享的权利)。
您的数据保留政策。
可访问性:隐私政策必须能够从您的网站轻松访问。
尊重退出请求:
及时遵守:一旦消费者选择退出,您的 SaaS 公司必须尽快停止“出售”或“共享”他们的个人信息用于跨情境行为广告,最多不超过 15 个工作日。
技术实施:这需要将您的选择退出机制与您的营销技术栈集成。当用户选择退出时:
他们的数据应该被禁止在广告平台上向受众进行再营销。
应阻止针对该用户触发再营销像素。
考虑使用特定于平台的“受限数据处理”模式(例如,Google 的受限数据处理、Meta 的受限数据使用),旨在帮助与这些平台共享的数据符合 CCPA。
管理第三方供应商:
服务提供商协议:商“共享”数据,请确保您已签订适当的合同(服务提供商协议),以限制这些第三方使用个人信息的方式。《消费者隐私法》(CPRA)明确规定,将个人信息转移给供应商用于跨场景行为广告投放并不被视为免除您“共享”义务的“商业目的”。
尽职调查:审查所有在您的网站上收集数据的第三方工具,以确保其自身符合 CCPA。
全球隐私控制 (GPC) 信号:
遵守通用隐私保护法 (GPC):加州总检察长已声明,企业必须将浏览器插件、隐私设置或其他机制(例如 GPC)发出的“选择退出”信号视为有效的个人信息出售/共享请求。您的网站应该能够检测并自动 列表到数据 遵守这些信号。
数据安全:
CCPA/CPRA 还要求采取合理的安全程序和措施来保护消费者的个人信息。对于 SaaS 而言,这意味着强大的数据加密、访问控制、定期安全审核以及书面信息安全计划。
训练:
确保所有相关员工(市场营销、销售、客户支持、法律、IT)都接受过 CCPA/CPRA 要求的培训,尤其是如何处理消费者请求(了解、删除、退出)。
CCPA 与 GDPR 在再营销方面有何不同
特征 GDPR(欧盟/欧洲经济区) CCPA/CPRA(加州)
同意模型 选择加入(非必要 Cookie 触发前明确、肯定的同意) 选择退出(消费者有权停止数据的“出售”或“共享”)
默认位置 未经同意禁止处理数据。 除非消费者选择退出,否则允许数据处理。
Cookie 横幅类型 必须防止 cookie 丢失,直到获得同意为止。 通常侧重于“不出售/分享”链接,不一定是预先 cookie 横幅。
“销售/共享”条款 不能直接按照广义来使用。 法规的核心;定义涵盖的数据传输。
范围 更广泛地说,影响任何处理欧盟/欧洲经济区居民个人数据的业务。 适用于达到特定收入/数据阈值并处理加州居民数据的企业。
导出至表格
SaaS 再营销合规的实用步骤
确定 CCPA/CPRA 是否适用于您:
你们为加州居民服务吗?
您是否满足以下任何一项门槛:
年总收入超过 2500 万美元?
每年购买、出售或共享 100,000 名或更多消费者或家庭的个人信息?
您的年收入的 50% 或更多来自出售/共享个人信息?(CPRA 将第二点改为 100,000 名消费者/家庭)。
实施具有 CCPA/CPRA 功能的 CMP:
选择可以检测用户位置并自动为加州居民提供正确的“不出售/共享”链接或退出选项的 CMP。