Facebook CCPA合规性挑战:有限的数据使用
说明性7月8日:年收入低于2500万美元的公司可免除合规性。 这是一个重要的注意事项,本文的作者提供了更新以反映品牌根据其例外状态应采取的豁免和采取的行动(请参阅下文) 。 有关更多信息,请参见我们的姊妹网站MarTech Today:这篇文章是否认为CCPA不适用于您? 你可能应该再想一想
加州消费者隐私法案(CCPA)于2020年1月1日生效,企业一直在努力确保其合规性在7月1日诉讼窗口开启之前。这不是什么新鲜消息:目前,我们已经讨论了两年多了。 瞧! 两年后的今天,围绕合规性要求的困惑不胜枚举。
CCPA合规性的挑战之一是缺乏对不同类型企业的要求的明确性,尤其是当存在数据共享关系时,例如每个广告客户和Facebook之间的关系。
本周,Facebook宣布了一项名为“受限数据使用(LDU)”的新功能。 自7月1日起,将为所有Facebook商业帐户自动启用LDU,从而限制了Facebook识别为加利福尼亚州居民的所有用户在Facebook生态系统中存储和处理用户数据的方式。 该功能会自动检测用户是否居住在加利福尼亚州,并应用有限的数据使用规则(稍后会详细介绍)。 但是该功能将一直持续到7月31日,然后Facebook要求企业更新其像素以包括LDU参数。
如果您在7月31日之前未采取任何措施,则您的业务将全权负责合规性(以及与不合规有关的所有相关风险)。
似乎每篇甚至提到CCPA的文章都要求作者多次宣布自己不是律师,这也不是法律建议。 本文也是如此。 我不是律师(对不起,妈妈和爸爸!),所以请咨询法律顾问以了解针对您特定组织的合规措施。
许多企业可能没有意识到他们需要更新其Facebook像素以避免CCPA规定的潜在责任,因为其他广告平台(例如Google Ads)已经提供了集中的退出按钮或其他解决方案。 目前,默认情况下,Facebook像素中不包含LDU参数,您需要参考特定的开发人员文档页面以查看要求的范围。
这是我们现在所知道的一切:
Facebook的“受限数据使用”工具如何确保CCPA合规性?
Facebook LDU使平台上的广告商可以指定哪些用户的数据应遵守CCPA数据管理法规。 该公司概述了将用户数据限制在其特定于州的条款列表中的具体方式,其中包括表示广告客户仅对遵守CCPA负责的语言。
该功能需要对现有的Facebook PageView像素进行简单的修改,以便Facebook可以自动检测用户是否在加利福尼亚。 具体来说,开发人员将需要在Facebook像素内包含一个字符串,以表示“ dataProcessingOptions” ,以便您的业务可以指定其CCPA合规程度。
该字符串将允许广告商控制它是否正在标识加利福尼亚的用户,或者是否希望Facebook处理自动标识。 当然,此处的含糊之处来自以下事实:CCPA是针对“选择退出”的法律,而不是像GDPR那样“选择加入”。 那么什么时候应该启用LDU? 每时每刻? 仅当用户识别出自己不想被跟踪时? 这由各个广告商决定,并承担相关的风险。
提醒:如果在8月1日之前未采取任何措施,则您的品牌将不合规。
Facebook CCPA合规性将如何影响我企业的数字营销?
目前尚不清楚CCPA合规性对Facebook的所有后果,但我们确实知道Facebook将限制平台如何使用个人信息(PII)统一用户身份。 因此,我们希望看到客户行为跟踪和受众群体定位对于数字营销人员而言更具挑战性。
我们还相信,这些变化将导致平台性能下降,因为它们会影响高级客户匹配,离线转化跟踪和为加利福尼亚州居民重新定位的功效。
但是主要的即时效果是重新定位。 启用后,Facebook LDU将意味着您的企业不能将用户包括在行为(基于网站像素)重新定向活动中。 明确说明:如果您100%的用户是加利福尼亚州居民,则启用LDU后,您的受众群体中将有0个用户。 由于Facebook在2020年7月1日至31日之间自动启用了此功能,因此此刻已经在发生。
我的公司应如何实施Facebook LDU?
在回答此问题之前,需要强调一下我们在上文中简要谈到的一件事:CCPA合规性致力于使用户选择退出跟踪(与GDPR相对,后者要求用户选择跟踪)。 这意味着,如果用户访问您的网站,则可以使用Cookie同意标语为他们提供服务,使他们可以选择退出。 根据CCPA,如果用户选择退出,则您的业务需要停止跟踪它们。
尽管很少有用户选择加入跟踪,但选择退出的人数要好得多。 这意味着在遵守Facebook CCPA方面,您可以采取一些行动方案,具体取决于您对风险的承受能力。
Facebook在围绕CCPA合规性的沟通中含糊不清,这意味着您(和您的业务)应全权负责评估风险。 我们确定了三种可能的方法,从最低风险到最高风险,每种方法各有利弊:
风险规避:这是基准,因为它对业务没有任何风险。 您的企业不需要设置明确的机会来退出跟踪,而是如果已将用户标识为加利福尼亚居民,则在激发PageVIew标签的所有实例上启用LDU字符串。
- 优点:零风险,将覆盖100%的加利福尼亚居民。
- 缺点:所有加利福尼亚居民都将被排除在再营销广告系列(以及其他数据定位功能)之外,因此您可能会发现效果不错。
风险承受能力:这种中间的行动过程风险较高,尤其是因为我们仍在学习CCPA的解释方式。 您的企业需要使用Cookie遵从性解决方案(如CookieBot或OneTrust)为用户提供选择退出跟踪的选择。 然后,您将仅为选择退出的用户启用LDU,这还将禁用Facebook像素的触发。 这是一个奇怪的情况,因为禁用像素发射与启用LDU的方式相同。
- 优点:风险低,大多数加利福尼亚用户可能不会选择退出,这意味着您可以像往常一样跟踪行为并重新定位广告。
- 缺点:配置可能很复杂,并且不清楚在退出的情况下如何使用LDU会限制像素整体触发(这可能与风险规避措施产生相同的净影响)。
高风险:什么都不做,看看会发生什么。 如果您打算在Facebook像素上不启用LDU并且不向站点访问者提供退出,我们强烈建议您与您的法律团队就与CCPA违规相关的风险,潜在责任和处罚进行讨论。
- 优点:再营销列表和跟踪中都可以包含加利福尼亚居民的所有用户。
- 缺点:极高的风险,极有可能受到处罚。
值得注意的是,如果您选择了“风险规避”建议之外的任何实施方式,则冒着处理属于已在另一个浏览器或上一个会话中退出(如果已清除Cookie)的用户的数据的风险。
目前还没有完美的解决方案。 所有这些方法都面临着自己的挑战。 我生活和呼吸这些东西,但仍然发现自己在问类似以下问题:
- 通用LDU应用程序对加利福尼亚州每个人的影响会对抑制列表产生什么影响?
- 当我们有有限的时间在会话之间的持久性Cookie中存储该选项时,如何保持用户决定限制跟踪的决定?
这是科技律师史蒂夫·布利肯斯德弗(Steve Blickensderfer)提出的更多思考的内容(这也不是法律建议):
如果公司在过渡期(约30至60天)后未将“有限数据使用”功能保持为“打开”状态,则可能会导致意外地“出售”根据#CCPA的个人数据。 值得深思。 /鳍
-史蒂夫·布利肯斯德弗(@**licken)2020年6月24日
如果我的公司不在加利福尼亚州,我需要做什么吗?
CCPA适用于以加利福尼亚州居民为目标的企业,无论该企业位于何处。 如果您的业务是通过Facebook向加利福尼亚州居民进行营销,则您必须遵守规定或对您的业务承担责任和可能的处罚。
当然,这些限制的全部影响取决于企业市场向加利福尼亚州居民倾斜的程度。 但值得注意的是,我们认为类似的限制可能会在不久的将来在全国范围内通过,并且GDPR之下的欧盟已经实施了更严格的规定。
最后,越来越明显的是,通过技术(ITP,ETP)和立法手段同时寻求消费者隐私保护的当前做法使合规性陷入了困境。 基本上,此过程使企业无法在未首先访问用户的所有数据以确保他们没有错误使用它们的情况下就知道他们是否违反法律。 实际上,有效的隐私保护的未来可能比我们现在所看到的任何事物都更加激进:这个世界根本没有“隐私”,在这里,我们所有的数据都可以免费提供给企业,但是我们明确规定了如何用它。
在此之前,您需要在2020年7月31日之前采取行动。我们将继续提供有关CCPA合规性的最新信息,因为我们将进一步了解有关限制以及**如何解释法律。
————————————————
有关CCPA的更多信息
以下是更新,以反映品牌应根据其例外状态采取的豁免和采取的行动。
哪些企业必须遵守CCPA?
CCPA合规性要求有许多例外,主要针对小型企业,以限制与合规性相关的负担。 Dickinson-Wright在其网站上提供了详尽的概述(最新更新于2018年6月)。 值得注意的是,如果公司符合以下三个条件之一(按照CCPA规范),则符合CCPA的条件:
- 年收入在2500万美元或以上; 要么
- 拥有超过50,000个“消费者,家庭或设备”的个人数据,或
- 通过出售消费者的个人数据,赚取其年收入的一半以上。
换个角度考虑一下,如果您的企业不符合上述任何标准,那么您可以免于遵守CCPA 。 如果您认为自己的业务是免税的,我们建议您与您的法律顾问交谈以确认这一点,因为这将大大改变您需要采取的行动。
品牌应采取什么行动?
您需要回答的第一个问题是: “ CCPA是否适用于我的公司?” 确定是否要求您的公司遵守CCPA准则。 请注意,50,000个“消费者,家庭或设备”的个人数据可能被认为是非常含糊的,因此您需要考虑当前存储用户数据的所有方式。
豁免
如果不需要您的企业遵守CCPA,则您将不受“有限数据使用”所强制执行的功能的约束。 一旦确认是这种情况,您就可以在Facebook中启用客户数据的全部使用。 (通过切换“启用全部使用消费者数据”,您将手动覆盖Facebook设置的自动功能)
非豁免
如果您的业务需要遵守CCPA要求,那么我们建议采取以下措施:
- 法律审核:与您的法律团队商讨组织对CCPA合规性的广泛采用方法。 这将包括诸如您的隐私政策或“请勿出售我的信息”表格要求之类的内容。
- 技术合规性:为了使加利福尼亚州的用户可以选择不共享/出售其个人数据,我们建议实施Web合规性工具。 Web合规性工具使您可以为用户提供有关跟踪和数据处理的选项。 有许多解决方案可用,但是我们建议以下三个选项:
- CookieBot:https://www.cookiebot.com/en/
- OneTrust:https://www.onetrust.com/
- 克莱姆:https://www.clym.io/
- 数据使用受限标志:查看用户可能采取的哪些操作,这些操作会改变您与Facebook共享数据的方式。 具体来说,他们是否选择退出跟踪? 如果是这样,您要么需要完全阻止跟踪,要么需要对像素应用“限制数据使用”标志。
- CCPA是一项退出法律:这意味着默认情况下,用户会选择共享其数据,因此,除非您的法律团队认为其他情况,否则默认状态不应是具有LDU标志
- 阻止所有跟踪:如果允许用户阻止所有跟踪,则此操作应与在像素中应用“限制数据使用”标志的方式相同。
- 这不只是像素:还需要考虑将数据传递回Facebook的所有方式(一个好的Web合规性工具将能够为您处理)–可以在此处查看其他形式的数据传递的技术规范。
- 启用Facebook中的客户数据的全部使用:一旦您符合CCPA准则并确定是否以及何时要更新像素以包括LDU标志,就可以启用Facebook中的客户数据的全部使用。
本文表达的观点是来宾作者的观点,不一定是Search Engine Land。 工作人员作者在此处列出。
本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。如若转载,请注明出处:http://www.botadmin.cn/sylc/10349.html