CCPA 问答

以下是我们的总法律顾问就品牌如何确保其 CCPA 合规的问答环节。了解更多—— 阅读渠道的 CCPA 合规选项概述。

什么是 CCPA？

《加州消费者隐私法案》是一项旨在为加利福尼亚州居民在使用和出售其个人信息方面赋予附加权利的法律。这意味着消费者对品牌收集的任何个人数据均拥有特定权利，例如：

• 访问权：这意味着消费者能够访问他们被收集的数据，并且询问其数据将如何使用。
• 删除权：消费者可以要求删除任何被收集的数据。但是，也有例外情况可能允许品牌开展业务。例如，提供优惠券的品牌将能够使用此信息来为消费者完成交易，或者需要完成交易的金融公司将获准保留消费者数据，出于安全或法律合规目的需要此信息的公司也是如此。
• 选择退出“销售”的权利：这是我们预计对品牌影响最大的权利。消费者可以选择不将他们的数据从一家企业“出售”给第三方。

CCPA 何时生效？

2020 年 1 月 1 日生效，品牌执行有 6 个月的宽限期，到 2020 年 7 月 1 日结束宽限期。

谁会受到 CCPA 的影响？

在加利福尼亚州开展业务的品牌，只要从在线消费者那里收集、出售或购买个人信息，就会受到某种程度的影响。品牌如何处理这些数据将决定他们必须遵循哪些合规要求，每个品牌都属于以下三个类别之一：“企业”、“服务提供商”或“第三方”。

品牌如何判断自己属于哪个类别？

这些类别取决于消费者数据的使用方式。每家公司都应咨询其法律部门以确定其业务所属的类别，我们在这里概述了类别定义。

• “企业”：在加利福尼亚州开展业务的营利性实体，为自己或代表他人（单独或共同）收集消费者的个人信息，并且：
• 总收入超过 2500 万美元；或者
• 每年出于商业目的购买、出售、接收或分享超过 5 万名消费者、家庭或设备的个人信息；或者
• 超过 50% 的年收入来自出售个人信息。
• “服务提供商”：代表企业处理信息的营利性实体。“服务提供商”是指出于商业目的或根据合规合同接收信息的企业。
• “第三方”：既不是从消费者那里收集个人信息的企业，也不是服务提供商。

需要注意的是，广告技术 (adtech) 公司可能在不同的时间纳入不同的类别，具体取决于他们在任何给定时刻处理数据的方式。此外，如果品牌将收集到的个人信息用于广告目的，建议最好将自己归类为“企业”，否则广告的价值将受到限制（更多详情请参阅问题六）。

CCPA 如何影响品牌？

CCPA 对数字广告产生了重大影响，因为它带来的新法规限制了品牌如何收集和管理用于推动相关广告的消费者数据。品牌需要确保：

1. 在 2020 年 1 月 1 日 CCPA 生效时，他们向加利福尼亚州居民提供所需的“选择退出”选项。
2. 他们能够将任何所需信号（即消费者已选择退出、请求删除等）传递给他们的合作伙伴/技术公司。

这会对品牌的广告工作产生负面影响吗？

在我们看来，不会。但是，答案要一分为二。

• 第 1 部分：如果消费者确实选择了退出销售，那么向该消费者投放广告显然会受到影响，因为他们已经选择了拒绝收集或出售他们的数据。提供相关广告需要在消费者访问品牌网站时收集他们的数据。这些收集到的数据用于更好地了解品牌的理想消费者的购物习惯。一旦确定，这些数据可用于制作广告，以吸引具有相似购物习惯的其他消费者——这意味着消费者更有可能参与和转化。没有这些数据，就无法完成相关的广告。
• 第 2 部分： CCPA 最终可以为消费者和企业改善广告生态系统。对品牌而言，这排除了对广告促销并不真正感兴趣或者想参与其中的消费者——这意味着品牌现在更容易了解哪些消费者个性化广告或优惠持开放态度。最后，我们将 CCPA 视为品牌对广告的投入得以接触更多“正确”消费者的一种方式，从而增加了他们的广告支出回报率。

最终，我们希望 CCPA 能够为消费者个人信息的使用和销售带来更多的透明度和权利，同时让企业以最小的广告投入获得最大的效益。

如果用户选择退出销售，品牌对用户的个人信息可以做什么、不可以做什么？

如果用户选择退出销售，这并不意味着公司必须删除此信息或者不使用它（除非消费者行使权利，要求删除其被收集的数据）。这的确意味着他们的个人信息不能进一步用于或重新用于商业利益。例如，如果一个品牌宣传一双鞋打八折，品牌仍然可以为消费者完成交易，并且向投放这个广告的公司支付佣金；但是，品牌或得到佣金的公司都不得超出此次交易范围，使用该消费者的任何个人信息。

不合规会有什么影响？

与许多法律一样，所采取的行动将取决于违规的严重程度。以下是 CCPA 执行机制的概要。

• 私人执法： CCPA 授权消费者在发生数据泄露的情况下自行提起诉讼，允许消费者在每起事件中最多收回 750 美元，或者实际损失，以数额较大者为准。
• 政府执法：州检察长也可以提起民事诉讼。企业有 30 天的时间来解决违规问题，否则将就每起违规被处以最高 7500 美元的罚款。

广告主需要满足哪些 CCPA 要求？

广告主需要确定最适合他们的类别（见问题四），但任何收集并向合作伙伴提供信息的广告主都可能被视为“企业”。这些广告主还需要向消费者提供明确的通知和选择退出的机会。这样，在为广告目的收集消费者数据并将其发送给另一方之前，广告主就已经满足了 CCPA 的要求。

我们已经看到一些广告主在将收集到的数据传递给另一方时，选择在地理上阻止基于加利福尼亚州的流量，或者抑制基于加州的流量。

在高层次上，以下是品牌可以采取的确保合规性的一些解决方案：

1. CMP 集成：对于已经使用之前为 GDPR 创建的 CMP 工具的广告主，可能存在集成机会。
2. 通过 JavaScript 标记传递信号：广告主可以利用现有标记将同意信息传递给合作伙伴。广告主必须从消费者那里收集选择退出信号，以作为 JavaScript 代码中的变量传递。
3. 披露和选择退出链接：广告主可以在其网站的每个页面上包含“您的隐私权”链接，这将引导用户前往信息披露内容，揭示哪些公司在与其数字资产互动时可能会收集用户的个人信息。在我们的信息披露中，我们已经包含了正在收集的个人信息类型（IP 地址、数字标识符等），以及这些信息的用途（广告个性化、他们如何与网站和广告互动的分析，等等）。

无论广告主采用什么选项，我们都建议广告主在其网站的每个页面上包含指向公司隐私政策的链接，并在其隐私政策中引用 Rakuten Advertising 的数据收集和指向我们隐私政策的链接。

我们已经向 Rakuten Advertising 广告主发送了一封电子邮件，其中包含有关新的 CCPA 要求如何影响他们的更多信息。

要满足 CCPA 要求，渠道需要做什么？

对于将自己归类为“企业”的渠道，他们将需要通过其网站上的链接披露隐私权，并为用户提供选项，选择退出跟踪，或者阻止出售其个人数据。

如果渠道通过 IP 地址阻止加利福尼亚州用户的流量，他们将免除此义务。我们建议渠道的选项是：

1. 联盟链接选择退出信号：在其网站的每个页面上包含指向公司隐私政策的链接。此隐私政策将援引 Rakuten Advertising 的数据收集和我们隐私政策的链接。渠道还需要采取某种方式从消费者那里收集选择退出信号，以便将同意信息传递给合作伙伴。
2. CMP 集成：对已经使用为 GDPR 创建的 CMP 工具的渠道，可能存在集成机会。
3. 披露和选择退出链接：渠道可以在其网站的每个页面上都包含“您的隐私权”链接，这将引导用户前往信息披露内容，揭示哪些公司在与其数字资产互动时可能会收集用户的个人信息。在我们的信息披露中，我们已经包含了正在收集的个人信息类型（IP 地址、数字标识符等），以及这些信息的用途（广告个性化、他们如何与网站和广告互动的分析，等等）。

为响应 CCPA 的要求，我们更新了我们的渠道会员协议 (PMA)，此更新后的 PMA 已于 2020 年 1 月 1 日生效。我们 PMA 最大的实质性变化是语言，它已更新以满足遵守 CCPA 所需的通知和选择退出要求。

我们已经向 Rakuten Advertising 渠道发送了一封电子邮件传达此信息，并且提供了指向新 PMA 的链接。如有其他问题，渠道可以随时联系他们的渠道开发经理，我们已经向 Rakuten Advertising 渠道发送了一封电子邮件传达此信息，并且提供了指向新 PMA 的链接。如有其他问题，渠道可以随时联系他们的渠道开发经理或客户支持。

品牌将如何向合作伙伴传递恰当的信号？

围绕着公司如何确保合规性，还有一些工作要做，并且还存在一定的模糊性。然而，与 GDPR 的 CMP 工具背后的行业工作类似，IAB 和 ANA 等团体正在努力创建一套通用信号，使得合作伙伴和客户可以传递选择退出和删除请求。目前，IAB/IAB 技术实验室已经起草了一个 CCPA 合规框架，其中包含一份标准合同，供渠道及其合作伙伴之间使用，以及一系列技术规范，以便公司可以履行合同。此外，美国的数字广告联盟 (DAA) 正在提供一种合规工具，使数字供应链中的渠道、品牌、代理和广告技术公司能够为消费者提供一种明确且可识别的机制，选择退出销售。我们将期待这些团体协助提供工具和其他材料，以指导行业的最佳合规实践。

Rakuten Advertising 对其广告主和渠道合作伙伴提出了哪些合规要求？

任何由 Rakuten Advertising 在其网站上提供跟踪服务的合作伙伴，都需要在收集数据的任何页面上包含“您的隐私权”链接。此链接会将消费者带到 Rakuten Advertising 的隐私政策和选择退出页面。对自行收集选择退出信号的品牌，我们要求他们实施一种方法，通过 IAB 的 CCPA 合规框架将选择退出信号传递给我们。对于那些没有在其网站上设置像素，但直接向我们提供诸如应用程序界面等转化信息的品牌，我们要求他们实施一种方法，通过 IAB 框架向 Rakuten Advertising 传递选择退出信号。

2018 年 5 月，为协助品牌遵守 GDPR，Rakuten Advertising 开发了同意管理平台 (CMP)，但我们并没有就此止步。我们还创建了与其他第三方 CMP 合作的“包装器”，以帮助支持品牌的合规工作。虽然 CCPA 不需要消费者的事先同意，但 Rakuten Advertising 致力于在通常被认为不透明的广告技术界宣传透明度。因此，我们正在与我们联盟中的渠道和品牌密切合作，以便在第一时间向消费者提供对我们隐私政策的访问和选择退出。

CCPA 对美国以外的品牌有什么影响？

任何与居住在加利福尼亚州的消费者有重要业务往来的品牌都必须遵守 CCPA，无论其位于何处，并且确保 Rakuten Advertising 活动合规的要求与上述相同。“重要”的定义是“每年购买、接收、出售或分享至少 5 万名加利福尼亚州居民的个人信息”。

这项隐私政策有机会上升到联邦层面吗？

大多数人表示，如果有机会，也还有很长的路要走。但是，已经有许多其他州采用了类似的隐私法规。内华达州已经制定了一项法律，而夏威夷、马里兰州、新墨西哥州、华盛顿州和其他州也正在起草类似的法律。品牌应该（如果还没有的话）接受隐私监管不仅正在成为美国联邦级别关注的问题，而且也在成为全球关注的问题。GDPR 已经生效，在国际上，巴西、新西兰和巴林等国也在制定新的法律。