营销人员现在应该采取具体步骤，为2023年CA的CPRA做准备

上周，加州选民通过了《提案24》，即《加州隐私权和执行法》（CPRA）。 它以仅在今年才生效的《加利福尼亚消费者隐私法》（CCPA）为基础。 CPRA计划在2023年取代它。

除其他外，CPRA扩展了涵盖的数据类型（与第三方“共享”的任何数据）; 它还阐明了需要特别注意的敏感个人信息的特定类别。 它使消费者（和员工）可以选择退出“自动化决策技术”（机器学习）。 并且它创建了专门的执法机构以确保合规性。

我们邀请了许多数字营销商和技术公司为品牌，发行商和广告商提供具体建议，以说明他们现在可以或应该做些什么来为CPRA做准备。 我们的专家包括Ethyca首席执行官Cillian Kieran ; Wpromote数字智能副总裁Simon Poulton ; 数字政策顾问Kristina Podnar ; Aqilliz首席执行官Gowthaman Ragothaman; 和Tealium的首席营销官Heidi Bullock 。

Kristina Podnar，数字政策顾问兼作者

引入/增加透明度。 CPRA围绕数据使用引入了一系列新要求，旨在提高透明度。 对于经过适应该法规的营销商来说，这将是GDPR的缩水。 但是对于任何尚未受GDPR约束的营销商来说，这都是艰难的攀登。 企业应该开始通过设计和治理实践来关注数据隐私。 具体而言，请注意数据最小化。 换句话说，仅收集您需要做的事情，说您将为用户做的事情，告诉用户您将保留他们的数据多长时间，不要超出您自己的营销需求的时间范围，而只能做根据您告诉用户的数据，您将对其进行处理。 营销人员将需要开始关注他们收集什么数据，为什么收集它们以及在整个生命周期中如何管理这些数据。

显示您做什么和不控制。 大多数数字营销人员都忽略了AI和ML在营销堆栈中的进步，而只关注前端功能和所需的客户体验结果。 CPRA的结果将需要改变这一点，CPRA现在意识到需要围绕这种机器驱动功能加强监管。 营销人员现在需要告诉用户是否正在对他们进行概要分析，并使用这些功能来投放广告和促销。 企业需要针对当今已经存在的跨设备，跨渠道，跨业务的跟踪和销售进行调整。 为什么？ 因为在CPRA下，用户现在可以说“不要那样追踪我”。 从用户的角度来看，这应该消除营销系统中的“令人毛骨悚然”的噪音。 但是，这无疑会使营销人员更加困难，并导致更多业务转向零和第一方数据模型。

停止控制用户。 与上述相关，CPRA专门限制企业禁止用户参与任何跨上下文行为广告。 换句话说，营销人员需要保持透明，并且不能再以被动的方式将用户推向服务或产品（例如，营销人员不能使用暗模式来收集协议/同意）。 营销人员的任务是重新考虑包括CMP在内的同意结构，以避免当今普遍存在的黑暗模式和隐含同意。

Wpromote数字智能副总裁Simon Poulton

符合CCPA。 由于CPRA直到2023年才生效，因此请在不久的将来（如果您尚未这样做）着重遵守CCPA。 在许多情况下，CPRA扩展了CCPA涵盖的内容，因此此处的合规性仍将是朝着正确方向迈出的一步。 请注意，CPRA涵盖的所有规定将适用于2022年1月1日起收集的所有数据。

分享=销售。 根据CCPA，某些品牌（例如星巴克）明确表示，他们不认为共享数据是销售。 现在已经明确定义，品牌应该注意所有数据共享要点。

库存您的cookie。 如果您还没有这样做的话，那么现在正是时候复查网站上存在的所有cookie和数据共享功能，并对它们的作用进行分类。 您的法律团队可能需要尽快（而不是稍后）进行审查。

Ethyca创始人兼首席执行官Cillian Kieran

查看您对收集，处理或存储的数据进行分类的能力。 CPRA中关于如何对用户数据进行分类还有很多细微差别，并且包括营销人员在内的处理者需要能够谨慎对待不同类别的个人信息。 一个明显的例子是引入敏感的个人信息（SPI）。 CPRA允许用户指定其SPI仅用于商品或服务的基本交付。 这需要对后端系统中的数据流进行更细粒度的控制。

查看所有合同，无论您是承包商还是承包商。 对于您与合作伙伴之间的数据关系，CPRA需要更高的特异性。 受CPRA约束的企业使用的任何分包商也必须能够提供CPRA级别的隐私保护。 根据IAPP的规定，“第三方，服务提供商或承包商[必须]达成一项协议，将接受者约束到该行为所提供的相同级别的隐私保护中，授予企业采取合理和适当步骤纠正未经授权的使用的权利，并且要求接收者在无法遵守时通知企业。”

从表面上看，我们将为您提供一个简单的方法（尽管您需要花费大量时间来重新检查数据“销售”与数据“共享”）。 您在首页上放置的“请勿出售我的个人信息”链接，将其调整为：“请勿出售或分享我的个人信息。”

Aqilliz首席执行官Gowthaman Ragothaman

永久保留第三方数据。 CPRA中的一项重大修订与CCPA的“请勿出售”条款的修订有关，该条款现在涵盖了数据共享的做法，通常将其用作跨站点行为广告和受众群体定位的一部分。

对于已经开始努力应对即将淘汰的第三方Cookie的营销商和大型科技公司而言，这不足为奇。 在此阶段，营销人员应该已经在探索替代方法，以限制将第三方数据用于受众群体定位。 与已经开发出自己的或加入数据联合会的第一方数据池的发布者网络进行战略合作，将是至关重要的。 营销人员还必须充分审查发布商合作伙伴，以确保以明显的，符合道德的方式获取数据。

保持计数。 与欧盟的《通用数据保护条例》相似，CPRA要求更为严格的报告要求，这反映了GDPR在《加工活动记录》中的条款。 无论数据共享发生在何处，公司都将有责任直接或间接地披露与给定消费者有关的所有信息。

有鉴于此，营销人员应准备加强现有技术投资，以纳入记录保存工具。 现在，尽职调查将比以往更加重要。 在整个生命周期中拥有数据的历史记录，对于确保营销人员为CPRA要求的更严格的报告和披露做好充分准备至关重要。

专注于必要的东西，而不是拥有的东西。 CPRA还扩大了其定义为“敏感个人信息”的范围。 除了诸如信用**和政府颁发的标识符之类的金融帐户信息外，现在还扩展到包括种族或族裔血统，性取向，宗教信仰，以及最重要的是“精确地理位置”，这对于定位受众至关重要。 根据CPRA，消费者现在将能够限制敏感个人信息的使用和披露。

当营销人员着眼于细分受众群和目标定位工作的未来时，将需要进行重大更改。 尽管从历史上看，该行业一直沉迷于数据丰富的心态，但营销人员将需要通过将数据最小化放在心上，以进行重要的思维转变。 为了确保适当的数据最小化实践，企业不仅应重新检查其数据保留实践以确保适当的保留时间，而且还应考虑将数据，存储和目标最小化集成到其数据管理策略中。 还应包括用于收集和使用敏感个人信息的退出选项。 受众互动策略将需要重新定义，并进一步发展。 现在还应该在更好地实现数据最小化文化的基础上选择技术供应商和基础架构。

海蒂·布洛克（Heidi Bullock），Tealium首席营销官

在同意的情况下了解您的数据。 品牌需要知道其数据的确切内容和来源，尤其是当我们面对充满众多新法规的未来时。 这包括查明所收集的数据类型（从呼叫中心到电子邮件和网站数据）以及这些数据在公司中的流动方式。 需要考虑的其他因素包括数据的来源，如何存储以及品牌如何使用数据。 所有这些都需要在收集到的个人同意的背景下完成，这为如何使用每个人的数据制定了规则。

更新品牌政策。 最好重新审视CCPA政策，并确保所有流程都得到更新以遵守最新法规，包括CPRA的新更正权。 确保政策仍然与员工和消费者保持一致并为他们明确，有助于保持对整个品牌隐私的总体了解。

保持消费者的信任。 这是至关重要的，特别是因为这些法规符合消费者的最大利益。 Tealium最近的一项研究发现，在COVID之前，有91％的消费者希望州或联邦政府采取严格的法规来保护其数据。

确认新的治理概念。 CPRA现在限制品牌在新的存储限制要求中保留个人信息的时间，因此在收集，利用或共享消费者数据时确保使用合理的窗口时，务必考虑此时间表。 以自动化，实时的方式在个人级别上管理数据的能力对于公司遵守这些新概念至关重要。

指定隐私专家。 随着越来越多的法规浮出水面，品牌在内部分配任务以保持问责制和组织性变得至关重要。 内部流程与面向消费者的沟通同样重要。 现在，比以往更加需要对Martech有深入了解的隐私权专家，因为Martech本身的复杂性就使公司事前忙碌。