Калифорнийский закон о конфиденциальности потребителей (CCPA), измененный Калифорнийским законом о правах на конфиденциальность (CPRA), представляет собой наиболее всеобъемлющий закон о конфиденциальности на уровне штата в Соединенных Штатах. Хотя это не специальный регламент для электронной почты, как CAN-SPAM, CCPA существенно влияет на то, как компании собирают, используют и передают адреса электронной почты и данные подписчиков. Это руководство объясняет, как законы Калифорнии о конфиденциальности влияют на email-маркетинг, и предоставляет практические стратегии соблюдения.
Понимание CCPA и CPRA
Прежде чем углубиться в последствия для email-маркетинга, давайте разберемся, что представляют собой эти законы и к кому они применяются.
Что такое CCPA?
Калифорнийский закон о конфиденциальности потребителей, вступивший в силу 1 января 2020 года, предоставляет жителям Калифорнии новые права в отношении их персональной информации и налагает обязательства на компании, которые ее собирают.
Основные принципы CCPA:
- Прозрачность: Потребители должны знать, какие данные собираются и зачем
- Контроль: Потребители могут получить доступ к данным, удалить их и отказаться от продажи данных
- Недискриминация: Компании не могут наказывать потребителей за осуществление прав
- Подотчетность: Компании должны внедрить разумные меры безопасности
Что такое CPRA?
Калифорнийский закон о правах на конфиденциальность, вступивший в силу 1 января 2023 года, вносит изменения и усиливает CCPA:
Ключевые дополнения CPRA:
- Создано Калифорнийское агентство по защите конфиденциальности (CPPA) для правоприменения
- Добавлена категория "конфиденциальной персональной информации" с дополнительной защитой
- Введено "право на исправление" неточной информации
- Установлено "право на ограничение использования" конфиденциальных данных
- Расширены требования к минимизации данных
- Созданы новые обязательства для подрядчиков и поставщиков услуг
Кто должен соблюдать?
CCPA/CPRA применяется к компаниям, которые:
- Ведут бизнес в Калифорнии, И
- Соответствуют ЛЮБОМУ из этих порогов:
- Годовой валовой доход более $25 миллионов
- Покупают, продают или передают персональную информацию 100,000+ жителей/домохозяйств Калифорнии ежегодно
- Получают 50%+ годового дохода от продажи/передачи персональной информации
Важные уточнения:
- Вам не нужно физическое присутствие в Калифорнии
- "Ведение бизнеса в Калифорнии" включает наличие клиентов из Калифорнии
- Пороги оцениваются ежегодно
- Малые предприятия могут все же подпадать под действие закона, если обрабатывают значительные персональные данные
Что является персональной информацией по CCPA?
Персональная информация широко определяется как информация, которая идентифицирует, относится к, описывает, может быть разумно связана с или может быть разумно привязана к конкретному потребителю или домохозяйству.
Примеры, относящиеся к email-маркетингу:
- Адреса электронной почты
- Имена
- IP-адреса
- Идентификаторы устройств
- История просмотров
- История покупок
- Выводы, сделанные из любого из вышеперечисленного
Конфиденциальная персональная информация (дополнительная защита по CPRA):
- Номера государственных удостоверений личности
- Информация о финансовых счетах
- Точная геолокация
- Расовое/этническое происхождение
- Религиозные убеждения
- Генетические данные
- Биометрические данные
- Медицинская информация
- Данные о сексуальной жизни/ориентации
Для большинства email-маркетологов применяются правила стандартной персональной информации. Конфиденциальная персональная информация обычно не собирается в контексте email-маркетинга.
Права потребителей по CCPA и email-маркетинг
CCPA предоставляет жителям Калифорнии конкретные права, которые влияют на то, как вы управляете данными подписчиков электронной почты.
Право знать (доступ)
Что это значит: Потребители могут запросить раскрытие:
- Категорий собранной персональной информации
- Конкретных частей собранной персональной информации
- Источников информации
- Деловых целей сбора
- Категорий третьих лиц, с которыми информация передается
Последствия для email-маркетинга:
- Будьте готовы предоставить все данные, которые вы храните о подписчике
- Включите адреса электронной почты, имена, данные о вовлеченности, историю покупок
- Задокументируйте источники и цели сбора данных
- Отслеживайте передачу третьим лицам (ESP, аналитика, рекламодатели)
Требования к ответу на запрос:
- Проверьте личность потребителя перед ответом
- Ответьте в течение 45 дней (продлевается до 90 дней с уведомлением)
- Предоставьте информацию бесплатно
- Предоставьте в переносимом, легко используемом формате
Право на удаление
Что это значит: Потребители могут запросить удаление своей персональной информации с определенными исключениями.
Последствия для email-маркетинга:
- Должны удалить адрес электронной почты и связанные данные по запросу
- Удалите из маркетинговых списков, CRM, аналитических платформ
- Направьте поставщиков услуг также удалить
- Можете сохранить запись в списке подавления, чтобы предотвратить повторное добавление
Исключения для удаления:
- Завершение транзакций, для которых были собраны данные
- Обнаружение инцидентов безопасности
- Осуществление прав на свободу слова
- Соблюдение юридических обязательств
- Внутреннее использование, соответствующее ожиданиям потребителей
Практический подход: Относитесь к запросам на удаление аналогично запросам на отписку, но более комплексно — удаляйте все данные, а не просто прекращайте отправку писем.
Право на исправление (CPRA)
Что это значит: Потребители могут запросить исправление неточной персональной информации.
Последствия для email-маркетинга:
- Предоставьте механизм для обновления информации профиля
- Обрабатывайте запросы на исправление в течение 45 дней
- Обновите во всех системах, где хранятся данные
- Уведомите поставщиков услуг об исправлении
Право отказаться от продажи/передачи
Что это значит: Потребители могут указать компаниям не продавать и не передавать их персональную информацию.
"Продажа" по CCPA: Широко определяется — включает обмен данными за денежное или иное ценное вознаграждение.
"Передача" по CPRA: Включает раскрытие данных для межконтекстной поведенческой рекламы, даже без оплаты.
Последствия для email-маркетинга:
- Если вы передаете данные подписчиков рекламным платформам для таргетинга, это может составлять "передачу"
- Ретаргетинг на основе списков электронной почты может вызвать права на отказ
- Обогащение данных через третьих лиц может включать "продажу"
Ссылка "Не продавать и не передавать мою персональную информацию": Требуется на вашем веб-сайте, если вы продаете или передаете данные. Должна быть:
- Четкой и заметной
- Легко находимой (обычно в подвале)
- Функциональной без создания учетной записи
Право на ограничение использования конфиденциальной персональной информации
Что это значит: Потребители могут ограничить использование конфиденциальной персональной информации тем, что необходимо для предоставления услуг.
Последствия для email-маркетинга: Большинство email-маркетинга не включает конфиденциальную персональную информацию. Однако, если вы собираете:
- Точные данные о местоположении для местных предложений
- Медицинскую информацию для маркетинга, связанного со здоровьем
- Финансовые данные для маркетинга финансовых услуг
Вы должны предоставить ссылку "Ограничить использование моей конфиденциальной персональной информации" и выполнять запросы на ограничение.
Право на недискриминацию
Что это значит: Компании не могут дискриминировать потребителей, которые осуществляют свои права по CCPA.
Запрещенные действия:
- Отказ в товарах или услугах
- Взимание разных цен
- Предоставление разных уровней качества
- Угроза любого из вышеперечисленного
Последствия для email-маркетинга:
- Нельзя отказывать в отправке запрошенных транзакционных писем
- Нельзя предоставлять худший контент электронной почты тем, кто осуществил права
- Нельзя взимать дополнительную плату за подписки на электронную почту после запросов на отказ
Допустимая дифференциация: Вы можете предлагать стимулы за передачу данных, но они должны:
- Быть разумно связаны со стоимостью данных
- Быть раскрыты заранее
- Не быть принудительными
Соблюдение CCPA для email-маркетологов
Теперь давайте переведем требования CCPA в практическое соблюдение email-маркетинга.
Требования к политике конфиденциальности
Обязательные раскрытия:
Категории собранной персональной информации: Перечислите, что вы собрали за последние 12 месяцев:
- Идентификаторы (имя, электронная почта, IP-адрес)
- Интернет-активность (просмотр, вовлеченность в электронную почту)
- Коммерческая информация (история покупок)
- Выводы (выведенные предпочтения, сегменты)
Источники персональной информации:
- Непосредственно от потребителей (формы регистрации)
- Автоматически (cookies, открытия электронной почты)
- От третьих лиц (приобретенные списки, обогащение)
Деловые цели:
- Маркетинговые коммуникации
- Персонализация
- Аналитика и улучшение
- Предотвращение мошенничества
Категории третьих лиц:
- Провайдеры услуг электронной почты
- Провайдеры аналитики
- Рекламные платформы
- Сервисы обогащения данных
Права потребителей и как их осуществить:
- Описание каждого права
- Как подать запросы
- Процесс проверки
- Срок ответа
Раскрытие о не продаже/передаче: Укажите, продаете ли вы/передаете данные. Если да, включите ссылку на отказ.
Лучшие практики политики конфиденциальности
Требования к формату:
- Разумно доступна
- Доступна на языках, на которых вы ведете дела
- Обновляется не реже одного раза в год
- Датирована с последним обновлением
Лучшие практики:
- Используйте четкий, простой язык
- Организуйте с заголовками и разделами
- Включите раздел, специфичный для Калифорнии
- Видимо разместите ссылку с веб-сайта и форм регистрации
Практики сбора данных
Уведомление при сборе: Перед сбором персональной информации сообщите потребителям о:
- Категориях собираемой информации
- Целях сбора
- Будет ли информация продаваться/передаваться
- Периодах хранения (или критериях для определения)
Для форм регистрации на электронную почту:
Предоставляя свой адрес электронной почты, вы соглашаетесь получать маркетинговые коммуникации от BillionVerify. Мы собираем ваш адрес электронной почты, имя и данные о вовлеченности для персонализации контента и улучшения наших услуг. Мы не продаем вашу персональную информацию. Ознакомьтесь с нашей Политикой конфиденциальности для подробностей о ваших правах на конфиденциальность в Калифорнии.
Минимизация данных (CPRA): Собирайте только то, что разумно необходимо для раскрытых целей. Для email-маркетинга:
- Адрес электронной почты (обязателен)
- Имя (разумно для персонализации)
- Обширные демографические данные (могут быть избыточными без четкой цели)
Управление третьими лицами
Соглашения с поставщиками услуг: При передаче данных подписчиков провайдерам услуг электронной почты убедитесь, что контракты включают:
- Ограничения на использование данных для договорных целей
- Запрет на продажу или передачу данных
- Требование соблюдать запросы потребителей
- Соответствующие меры безопасности
- Ограничения на использование субподрядчиков
Реклама третьих лиц: Если вы загружаете списки электронной почты на рекламные платформы:
- Это может составлять "передачу" по CPRA
- Требуется ссылка "Не продавать или передавать"
- Должны выполнять запросы на отказ
- Рассмотрите использование хешированных адресов электронной почты для снижения воздействия
Обработка запросов потребителей
Процесс проверки: Перед ответом на запросы проверьте, что запросивший является реальным потребителем:
Для права знать/удалить:
- Сопоставьте идентифицирующую информацию в ваших записях
- Запросите дополнительную проверку (подтверждение по электронной почте, контрольные вопросы)
- Разумные методы проверки на основе риска
Для отказа:
- Проверка не требуется
- Должны принять без создания учетной записи
- Выполните немедленно
Процесс ответа:
- Подтвердите получение в течение 10 дней
- Проверьте личность
- Найдите всю персональную информацию
- Выполните запрос в течение 45 дней
- Задокументируйте запрос и ответ
Назначенные методы запроса: Предоставьте как минимум два метода:
- Бесплатный номер телефона
- Форма на веб-сайте
- Адрес электронной почты (приемлемо)
- Если у вас есть онлайн-аккаунты: запросы на основе учетной записи
Управление списками электронной почты по CCPA
CCPA влияет на то, как вы создаете, поддерживаете и используете списки электронной почты.
Соблюдение при создании списка
Сбор от первого лица:
- Предоставьте уведомление при сборе
- Ссылка на политику конфиденциальности
- Четко укажите, какие письма они будут получать
- Не требуйте электронную почту для несвязанных услуг
Списки третьих лиц: Использование приобретенных или арендованных списков рискованно по CCPA:
- Вам нужно проверить, что продавец имел надлежащее согласие
- Вы должны предоставить уведомление при первом контакте
- Потребители могут запросить удаление
- Может составлять "покупку" персональной информации
Лучшая практика: Создавайте списки органически через свои собственные усилия по сбору. Это более соответствует требованиям и работает лучше.
Проверка и качество списка
Поддержание чистых списков электронной почты поддерживает соблюдение CCPA:
Почему важно качество списка:
- Недействительные адреса предполагают плохие практики данных
- Приобретенные списки часто не имеют надлежащего согласия
- Отказы указывают на данные, которые следует удалить
Использование проверки электронной почты: Проверка электронной почты BillionVerify помогает поддерживать соблюдение:
- Проверяйте при сборе для обеспечения точности
- Регулярная массовая проверка удаляет недействительные адреса
- Поддерживает принцип точности данных
- Идентифицирует потенциально проблемные источники
Хранение данных
Требования CPRA: Не храните персональную информацию дольше, чем разумно необходимо.
Соображения по email-маркетингу:
- Как долго хранить неактивных подписчиков?
- Когда удалять историю вовлеченности?
- Какова ваша политика хранения?
Практический подход:
- Определите периоды хранения для каждого типа данных
- Внедрите автоматизированные процессы удаления
- Задокументируйте решения о хранении
- Рассмотрите 2-3 года для данных о вовлеченности в электронную почту
- Ежегодно пересматривайте и обновляйте политики
Выполнение запросов потребителей
Запросы на доступ: Будьте готовы предоставить:
- Адрес электронной почты
- Имя и данные профиля
- История вовлеченности (открытия, клики)
- История покупок
- Назначения сегментов
- Источник сбора
Запросы на удаление: Удалите из:
- Основной маркетинговой базы данных
- Провайдера услуг электронной почты
- Системы CRM
- Аналитических платформ
- Резервных систем (в разумные сроки)
- Провайдеров обогащения, с которыми вы делились
Сохраняйте в списке подавления: Сохраняйте запись о подавлении, чтобы предотвратить повторное добавление адреса. Это разрешено даже после удаления.
CCPA по сравнению с другими законами о конфиденциальности
Понимание того, как CCPA соотносится с другими регламентами, помогает построить всестороннее соблюдение.
CCPA по сравнению с GDPR
| Аспект | CCPA | GDPR |
|---|---|---|
| Географический охват | Жители Калифорнии | Жители ЕС |
| Требуется согласие | Нет (модель отказа) | Да (согласие на маркетинг) |
| Право на удаление | Да | Да |
| Право на доступ | Да | Да |
| Право на переносимость | Да | Да |
| Отказ от продажи/передачи | Да | Н/Д (требуется согласие) |
| Частное право на иск | Ограничено (утечки данных) | Нет (кроме Великобритании) |
| Максимальные штрафы | $7,500/преднамеренное нарушение | 4% мировой выручки |
Практический подход: Если у вас есть как подписчики из ЕС, так и из Калифорнии, соблюдение GDPR обычно покрывает требования CCPA плюс дополнительные меры согласия.
Для всестороннего руководства по GDPR см. наше руководство по email-маркетингу и GDPR.
CCPA по сравнению с CAN-SPAM
CAN-SPAM и CCPA касаются разных аспектов электронной почты:
CAN-SPAM: Содержание коммерческой электронной почты и практики отправки
- Механизм отписки
- Точные заголовки
- Физический адрес
CCPA: Конфиденциальность данных и права потребителей
- Доступ к данным
- Права на удаление
- Отказ от продажи данных
Оба требуются: Соблюдайте CAN-SPAM для содержания электронной почты и CCPA для практик данных.
Для руководства по CAN-SPAM см. наше руководство по соблюдению CAN-SPAM.
Другие законы штатов о конфиденциальности
Калифорния проложила путь, но другие штаты следуют:
Закон Вирджинии о защите данных потребителей (VCDPA): Действует с января 2023 Закон Колорадо о конфиденциальности (CPA): Действует с июля 2023 Закон Коннектикута о конфиденциальности данных (CTDPA): Действует с июля 2023 Закон Юты о конфиденциальности потребителей (UCPA): Действует с декабря 2023
И другие в пути: Техас, Орегон, Монтана, Делавэр и другие штаты приняли или предложили законы о конфиденциальности.
Практический подход: Создайте структуру соблюдения, которая может адаптироваться к новым законам штатов. Основные принципы схожи — прозрачность, права потребителей и защита данных.
Контрольный список соблюдения CCPA
Используйте этот контрольный список для оценки вашего соблюдения CCPA в email-маркетинге.
Политика конфиденциальности и уведомления
- [ ] Политика конфиденциальности включает все обязательные раскрытия CCPA
- [ ] Раздел, специфичный для Калифорнии, рассматривает права штата
- [ ] Политика обновлена в течение последних 12 месяцев
- [ ] Политика доступна из подвала веб-сайта
- [ ] Присутствует ссылка "Не продавать или передавать" (если применимо)
- [ ] Присутствует ссылка "Ограничить конфиденциальную персональную информацию" (если применимо)
- [ ] Уведомление при сборе предоставляется до сбора данных
Сбор данных
- [ ] Формы регистрации на электронную почту включают уведомление о конфиденциальности
- [ ] Уведомление при сборе охватывает категории и цели
- [ ] Соблюдается принцип минимизации данных
- [ ] Задокументированы источники списков третьих лиц
- [ ] Источники сбора могут быть отслежены для каждой записи
Обработка запросов потребителей
- [ ] Доступны как минимум два метода подачи запроса
- [ ] Задокументирован процесс проверки
- [ ] Внедрен процесс подтверждения в течение 10 дней
- [ ] Внедрен процесс ответа в течение 45 дней
- [ ] Персонал обучен обработке запросов
- [ ] Ведется журнал запросов
Управление данными
- [ ] Задокументированы все места хранения данных
- [ ] Соглашения с поставщиками услуг включают положения CCPA
- [ ] Процесс удаления охватывает все системы
- [ ] Поддерживается список подавления
- [ ] Определены периоды хранения
- [ ] Проводится регулярная проверка электронной почты
Отношения с третьими лицами
- [ ] Контракты с поставщиками услуг обновлены для CCPA
- [ ] Задокументированы действия по передаче/продаже
- [ ] Механизмы отказа учитывают всю передачу данных
- [ ] Третьи лица уведомлены о запросах на удаление
- [ ] Использование рекламных платформ оценено на "передачу"
Распространенные ошибки CCPA в email-маркетинге
Избегайте этих частых ловушек соблюдения.
Ошибка 1: Игнорирование CCPA, потому что вы не в Калифорнии
Проблема: Предполагая, что географическое расстояние означает, что CCPA не применяется.
Реальность: Если у вас есть клиенты из Калифорнии и вы соответствуете порогам, вы должны соблюдать независимо от вашего местоположения.
Исправление: Оцените вашу клиентскую базу в Калифорнии и примените защиту CCPA к этим жителям.
Ошибка 2: Неполная политика конфиденциальности
Проблема: Политика конфиденциальности не включает все обязательные раскрытия CCPA.
Исправление:
- Проверьте политику на соответствие требованиям CCPA
- Добавьте раздел, специфичный для Калифорнии
- Обновляйте ежегодно
Ошибка 3: Отсутствие процесса для запросов потребителей
Проблема: Отсутствие систем для обработки запросов на доступ, удаление или отказ.
Исправление:
- Создайте процессы приема для каждого типа запроса
- Обучите персонал обработке
- Внедрите отслеживание и документирование
- Протестируйте выполнение запросов
Ошибка 4: Невыполнение удаления из всех систем
Проблема: Удаление из основного списка, но забывание ESP, CRM или аналитики.
Исправление:
- Задокументируйте все системы, хранящие данные подписчиков
- Создайте рабочие процессы удаления, охватывающие каждую
- Проверьте завершение удаления
- Поддерживайте списки подавления
Ошибка 5: Необновление контрактов с поставщиками услуг
Проблема: Контракты с провайдерами услуг электронной почты не имеют требуемых положений CCPA.
Исправление:
- Пересмотрите существующие контракты
- Добавьте требуемые ограничения и обязательства
- Обеспечьте язык сертификации соблюдения
- Обновляйте по мере развития регламентов
Ошибка 6: Отношение к CCPA как к разовому проекту
Проблема: Внедрение соблюдения один раз и отсутствие его поддержки.
Исправление:
- Планируйте ежегодные обзоры политик
- Мониторьте обновления регламентов
- Обучайте новый персонал требованиям
- Регулярно проверяйте соблюдение
Создание устойчивой программы соблюдения
Долгосрочное соблюдение CCPA требует постоянного обязательства.
Лучшие практики документирования
Что документировать:
- Инвентаризация данных (что вы собираете и где)
- Источники сбора для каждой точки данных
- Цели для каждого типа данных
- Отношения и контракты с третьими лицами
- Журнал запросов потребителей
- Записи об обучении персонала
- Оценки соблюдения
Преимущества документирования:
- Демонстрирует соблюдение добросовестности
- Упрощает выполнение запросов потребителей
- Поддерживает ответы на аудит
- Обеспечивает последовательные процессы
Обучение персонала
Кто нуждается в обучении:
- Члены маркетинговой команды
- Персонал службы поддержки клиентов
- IT и команды данных
- Юридический отдел и отдел соблюдения
Темы обучения:
- Основы CCPA/CPRA
- Обзор прав потребителей
- Процедуры обработки запросов
- Требования к обработке данных
- Процессы эскалации
Постоянный мониторинг
Регулярные действия:
- Ежегодный обзор политики конфиденциальности
- Ежеквартальные обновления инвентаризации данных
- Ежемесячные аудиты обработки запросов
- Постоянный мониторинг регламентов
- Периодические оценки третьих лиц
Интеграция с операциями email-маркетинга
Встраивайте соблюдение в рабочие процессы:
- Включите уведомление о конфиденциальности в процессы регистрации
- Добавьте проверку в процедуры импорта списка
- Встройте удаление в рабочие процессы отписки
- Подключите обработку запросов к CRM
Инструменты, поддерживающие соблюдение:
- Сервисы проверки электронной почты, такие как BillionVerify для точности данных
- Платформы управления согласием
- Инструменты автоматизации запросов конфиденциальности
- Решения для картирования данных
Заключение
CCPA и CPRA добавляют важные защиты конфиденциальности, которые влияют на то, как email-маркетологи собирают, используют и передают данные подписчиков. Хотя соблюдение требует постоянных усилий, оно соответствует лучшим практикам, которые также улучшают эффективность маркетинга — прозрачный сбор, качественные данные и уважение к предпочтениям потребителей.
Ключевые выводы:
Знайте свои обязательства: Определите, соответствуете ли вы порогам CCPA и какие требования применяются.
Обновите вашу политику конфиденциальности: Убедитесь, что включены всесторонние раскрытия CCPA и они актуальны.
Создайте процессы обработки запросов: Будьте готовы выполнить запросы на доступ, удаление и отказ в требуемые сроки.
Управляйте третьими лицами: Обновите контракты с поставщиками услуг и оцените практики передачи.
Поддерживайте качество данных: Используйте проверку электронной почты и гигиену списка для поддержки требований к точности.
Оставайтесь в курсе: Закон о конфиденциальности развивается быстро. Мониторьте развитие событий и соответственно адаптируйтесь.
Законы Калифорнии о конфиденциальности представляют собой значительный сдвиг в сторону контроля потребителей над персональными данными. Принимая эти принципы в вашей программе email-маркетинга, вы не только соблюдаете текущие требования, но и готовитесь к более широкому ландшафту конфиденциальности, который появляется по всей стране.
Для всестороннего руководства по соблюдению требований к электронной почте, охватывающего несколько регламентов, см. наше руководство по соблюдению требований к электронной почте. Убедитесь, что ваши данные подписчиков точны и правильно поддерживаются с помощью сервиса проверки электронной почты BillionVerify.