CPRA生效，隐私保护更加严峻

Claire.1

2023年，广告行业迎来更多变化，但对隐私的保护显然不在其中，甚至正在变得越来越严格。
五项全新的隐私保护法将于2023年陆续生效，其中《弗吉尼亚消费者数据保护法》和《加州隐私法案》（加州隐私法案California Privacy Rights Act也就是我们通常所说的CPRA），将会最先于2023年1月1日生效。除此之外，科罗拉多州和康涅狄格州的两项隐私保护法将在稍晚的2023年7月1日生效，犹他州的法律最晚将会在12月31日生效。
当然，这些法律各有不同，划定的合规范围也各自有所差别，但只要企业在过去遵守其他的隐私保护法案，符合新规的难度就不算太大。
但CPRA中的几项独特规定和其被推行的流程，就值得绝大多数从业者重视这项即将生效的新法案。

01
CPRA的起源和变化



严格意义上来说，CPRA并不能算作一项全新的法案。其本质是2020年时就生效的《加州消费者隐私法案》（即CCPA）的修正案。在CPRA中，条文对数据安全、消费者隐私权和执法机构提出了一些全新要求。例如，CPRA建立了一个新的“敏感个人信息”类别，将不少新的信息加入到了隐私保护法案的保护范围当中去。


但在具体看待这些成文法的变化之前，更值得绝大多数广告公司注意的还是民众对于隐私保护问题的思维变化，事实上，在过去很长时间里，大多数的消费者虽然对隐私也同样有诉求，但一方面他们很少直接且明确的表明这方面的诉求，甚至可以说大多数消费者也仅仅是在网上抱怨几句而已，但现在明显可以看到消费者对数据隐私的重视程度正在上涨。另一方面，消费者不单单有数据隐私保护的诉求，更是直接开始团结起来，尝试用立法等不同方式来直接完成对隐私安全的保护。


无论是CPRA还是其他的法律，都意味着绝大多数民众不但希望看到隐私保护更严密，而且正在努力推动这种严密的保护逐渐变成现实。这也是为什么在CCPA出台后，CPRA依旧作为一项修正案再度被讨论并通过的关键。


这种倾向，在CPRA的法律细则中也有所体现。



02
“魔鬼藏在细节中”


如果我们更仔细的观察关于CPRA和其他法律，CPRA显然在细节上补充了关于隐私保护的更多限制。
首先，CPRA从欧洲的GDPR法律中获得了一些灵感，创立了一个全新的“个人敏感信息”类别，也就是上文中说的性别取向、种族或民族血统、生物识别信息、精准的地理位置、社会安全号以及健康信息，并通过对涉及16岁以下儿童信息的违规行为的三倍罚款来增强儿童的隐私。
其次，CPRA给予消费者拒绝第三方共享个人信息的权利，这就意味着如果消费者不允许企业则不能通过诸如Cookie之类的方式，追踪消费者的浏览历史并推荐相应的广告。
再者，如果消费者要求企业删除自己的用户数据，那么该企业，以及该企业的第三方合作伙伴泽同样需要尊重消费者的选择，将这部分数据删除。同时，如果消费者对数据共享的态度发生转变，企业同样需要给予消费者二次选择的余地，让他们可以自由的加入或者退出被“技术分析”的行列。

同时，CPRA还进一步增加了对数据运营方面的新限制，在CCPA生效时，大部分企业只是不能够出售他们的数据。但随着CPRA生效后，企业就不仅仅是不被允许出售数据，而是进一步拓展到禁止企业共享一些数据，并且对这些“高风险行为”进行年度审查和风险评估。这显然会对广告技术公司产生一些直接的影响。
最后，CPRA同时要求数据最小化，也就是企业只能在过程中收集必须的数据。并且要求企业在一定时间后删除他们之前保存的数据。
这些都是GDPR中最为常见的条文，但现在他们第一次随着CPRA的出现，出现在加州的法律当中。
在这些法律条文层面的变化之外，关于CPRA最为重要的事情就是随着CPRA生效，一个全新的，专注于安慰消费者隐私保护权利的：加州隐私保护局也会随之成立，至于它的运行流程，我们可以大致将其类比成欧洲那些不断以隐私保护为名义对各大科技公司进行罚款的机构。
这就意味着，相比过去大多数由法院等机构负责执行法条，CPRA将会由一个更专业，也更专注于某一单一领域的执行机构来完成执法。
这就是CPRA和许多其他法律不同的地方所在，如果说大部分新法条还是在立法限制层面上努力，CPRA则已经开始进入更深层的领域中了——更严格的执法。
同时，CPRA还允许消费者在认为自己隐私收到侵害，或者是隐私数据被暴露时直接起诉公司。虽然听上去只是很小的变化，相比机构只有在大范围的隐私问题暴露时才能介入不同，大多数消费者对自己的隐私问题可能相对更敏感，反应也要快很多。
正如宏盟旗下的Hearts & Science营销技术高级总监Sarah Polli在接受海外媒体时所说的一样：“即使目前我们的资源已经非常有限，但我们还是需要准备好管理这些来自消费者本身的诉讼。”

好消息是，虽然CPRA会在2023年1月1日生效，但其依旧给企业们预留了6个月的时间用以整改，在2023年7月1日前，虽然法律已经生效，但CPRA并不会对此采取诸如罚款等惩罚措施。而且值得注意的是，目前CPRA拥有长达12个月的回溯期，这就意味着企业需要处理从2022年1月1日开始的个人数据，并在CPRA正式生效前完成合规化处理。

03
总结



总的来看，根据企业收集的信息类型，CPRA 的合规性可能更容易实现，因为它不需要消费者同意来处理敏感的个人信息，也不会在处理不是为了推断特征的情况下施加额外的义务。然而，CPRA 合规的复杂性取决于进一步的规则制定，特别是围绕选择退出信号的规则制定。
归根结底，完成对这些即将生效法律合规的最佳方法也许是让企业关注其数据收集实际要求，而不是不必要地收集没有业务需要的敏感个人信息。将企业的数据收集限制在必要的范围内可以减轻合规性工作。