加州消费者隐私法 (CCPA) 及其修正案《加州隐私权法》(CPRA) 代表了美国最全面的州级隐私法。虽然不像 CAN-SPAM 那样是针对电子邮件的专门法规,但 CCPA 对企业如何收集、使用和共享电子邮件地址及订阅者数据产生了重大影响。本指南解释了加州隐私法如何影响电子邮件营销,并提供实用的合规策略。
理解 CCPA 和 CPRA
在深入了解电子邮件营销影响之前,让我们先了解这些法律是什么以及它们适用于谁。
什么是 CCPA?
加州消费者隐私法于 2020 年 1 月 1 日生效,赋予加州居民对其个人信息的新权利,并对收集这些信息的企业施加义务。
CCPA 核心原则:
- 透明度:消费者必须知道收集了什么数据以及为什么收集
- 控制:消费者可以访问、删除和选择退出数据销售
- 非歧视:企业不能因消费者行使权利而惩罚他们
- 问责制:企业必须实施合理的安全措施
什么是 CPRA?
加州隐私权法于 2023 年 1 月 1 日生效,修正并强化了 CCPA:
CPRA 的主要新增内容:
- 创建了加州隐私保护局 (CPPA) 进行执法
- 添加了具有额外保护的"敏感个人信息"类别
- 引入了"更正权"以纠正不准确信息
- 确立了"限制使用权"以限制敏感数据的使用
- 扩展了数据最小化要求
- 创建了新的承包商和服务提供商义务
谁必须遵守?
CCPA/CPRA 适用于满足以下条件的企业:
- 在加州开展业务,并且
- 满足以下任一门槛:
- 年总收入超过 2500 万美元
- 每年购买、销售或共享 100,000 名以上加州居民/家庭的个人信息
- 50% 以上的年收入来自销售/共享个人信息
重要说明:
- 您不需要在加州实际设立机构
- "在加州开展业务"包括拥有加州客户
- 门槛每年进行评估
- 如果小企业处理大量个人数据,可能仍需遵守
CCPA 下什么是个人信息?
个人信息被广泛定义为识别、关联、描述、能够合理地与之关联或可以合理地链接到特定消费者或家庭的信息。
与电子邮件营销相关的示例:
- 电子邮件地址
- 姓名
- IP 地址
- 设备标识符
- 浏览历史
- 购买历史
- 从以上任何信息推断出的内容
敏感个人信息 (CPRA 下的额外保护):
- 政府身份证号码
- 金融账户信息
- 精确地理位置
- 种族/民族血统
- 宗教信仰
- 基因数据
- 生物识别数据
- 健康信息
- 性生活/性取向数据
对于大多数电子邮件营销人员,标准个人信息规则适用。敏感个人信息通常不在电子邮件营销环境中收集。
CCPA 消费者权利和电子邮件营销
CCPA 赋予加州居民特定权利,这些权利影响您如何管理电子邮件订阅者数据。
知情权 (访问权)
含义:消费者可以要求披露:
- 收集的个人信息类别
- 收集的特定个人信息
- 信息来源
- 收集的业务目的
- 共享信息的第三方类别
电子邮件营销影响:
- 准备提供您持有的关于订阅者的所有数据
- 包括电子邮件地址、姓名、参与数据、购买历史
- 记录您的数据收集来源和目的
- 跟踪第三方共享 (ESP、分析、广告商)
请求响应要求:
- 在响应前验证消费者身份
- 在 45 天内响应 (可延长至 90 天并通知)
- 免费提供信息
- 以便携、易用的格式交付
删除权
含义:消费者可以要求删除其个人信息,但有某些例外。
电子邮件营销影响:
- 必须根据请求删除电子邮件地址和相关数据
- 从营销列表、CRM、分析平台中删除
- 指示服务提供商也删除
- 可以保留抑制列表条目以防止重新添加
删除的例外情况:
- 完成收集数据的交易
- 检测安全事件
- 行使言论自由权利
- 遵守法律义务
- 符合消费者期望的内部使用
实用方法: 将删除请求视为类似于取消订阅请求,但更全面——删除所有数据,而不仅仅是停止发送电子邮件。
更正权 (CPRA)
含义:消费者可以要求更正不准确的个人信息。
电子邮件营销影响:
- 提供更新个人资料信息的机制
- 在 45 天内处理更正请求
- 在所有存储数据的系统中更新
- 通知服务提供商也进行更正
选择退出销售/共享的权利
含义:消费者可以指示企业不要销售或共享其个人信息。
CCPA 下的"销售": 广泛定义——包括为金钱或其他有价值对价交换数据。
CPRA 下的"共享": 包括为跨上下文行为广告披露数据,即使没有付款。
电子邮件营销影响:
- 如果您与广告平台共享订阅者数据用于定向,可能构成"共享"
- 基于电子邮件列表的重定向可能触发选择退出权利
- 通过第三方进行的数据增强可能涉及"销售"
"请勿销售或共享我的个人信息"链接: 如果您销售或共享数据,则需要在您的网站上提供。必须:
- 清晰显眼
- 易于查找 (通常在页脚)
- 无需创建账户即可使用
限制敏感个人信息使用的权利
含义:消费者可以限制敏感个人信息的使用,仅限于服务交付所必需的范围。
电子邮件营销影响: 大多数电子邮件营销不涉及敏感个人信息。但是,如果您收集:
- 用于本地优惠的精确位置数据
- 用于健康相关营销的健康信息
- 用于金融服务营销的金融数据
您必须提供"限制我的敏感个人信息的使用"链接并遵守限制请求。
非歧视权
含义:企业不能歧视行使其 CCPA 权利的消费者。
禁止的行为:
- 拒绝提供商品或服务
- 收取不同价格
- 提供不同质量级别
- 威胁以上任何行为
电子邮件营销影响:
- 不能拒绝发送请求的交易电子邮件
- 不能向行使权利的人提供较差的电子邮件内容
- 在选择退出请求后不能对电子邮件订阅收取额外费用
允许的差异化: 您可以为数据共享提供激励,但必须:
- 与数据价值合理相关
- 事先披露
- 不具有强制性
电子邮件营销人员的 CCPA 合规
现在让我们将 CCPA 要求转化为实用的电子邮件营销合规。
隐私政策要求
所需披露:
收集的个人信息类别: 列出您在过去 12 个月内收集的内容:
- 标识符 (姓名、电子邮件、IP 地址)
- 互联网活动 (浏览、电子邮件参与)
- 商业信息 (购买历史)
- 推断 (衍生偏好、细分)
个人信息来源:
- 直接来自消费者 (注册表单)
- 自动 (cookies、电子邮件打开)
- 来自第三方 (购买的列表、增强)
业务目的:
- 营销通信
- 个性化
- 分析和改进
- 欺诈预防
第三方类别:
- 电子邮件服务提供商
- 分析提供商
- 广告平台
- 数据增强服务
消费者权利及如何行使:
- 每项权利的描述
- 如何提交请求
- 验证流程
- 响应时间范围
请勿销售/共享披露: 说明您是否销售/共享数据。如果是,包括选择退出链接。
隐私政策最佳实践
格式要求:
- 合理可访问
- 以您交易的语言提供
- 至少每年更新一次
- 标注最后更新日期
最佳实践:
- 使用清晰、简单的语言
- 使用标题和章节组织
- 包括加州特定部分
- 从网站和注册表单显著链接
数据收集实践
收集时通知: 在收集个人信息之前,告知消费者:
- 正在收集的信息类别
- 收集目的
- 信息是否会被销售/共享
- 保留期限 (或确定的标准)
对于电子邮件注册表单:
通过提供您的电子邮件地址,您同意接收 EmailVerify 的营销通信。我们收集 您的电子邮件、姓名和参与数据以个性化 内容并改进我们的服务。我们不会销售您的 个人信息。查看我们的隐私政策了解 您的加州隐私权利详情。
数据最小化 (CPRA): 仅收集披露目的合理必要的内容。对于电子邮件营销:
- 电子邮件地址 (必需)
- 姓名 (合理用于个性化)
- 广泛的人口统计数据 (没有明确目的可能过度)
第三方管理
服务提供商协议: 与电子邮件服务提供商共享订阅者数据时,确保合同包括:
- 数据使用限制在合同目的
- 禁止销售或共享数据
- 要求遵守消费者请求
- 适当的安全措施
- 对分包商使用的限制
第三方广告: 如果您将电子邮件列表上传到广告平台:
- 这可能构成 CPRA 下的"共享"
- 需要"请勿销售或共享"链接
- 必须遵守选择退出请求
- 考虑使用哈希电子邮件以减少暴露
消费者请求处理
验证流程: 在响应请求之前,验证请求者是真实的消费者:
对于知情权/删除权:
- 匹配您记录中的识别信息
- 请求额外验证 (电子邮件确认、安全问题)
- 基于风险的合理验证方法
对于选择退出:
- 不需要验证
- 必须接受而无需创建账户
- 立即遵守
响应流程:
- 在 10 天内确认收到
- 验证身份
- 定位所有个人信息
- 在 45 天内履行请求
- 记录请求和响应
指定的请求方法: 至少提供两种方法:
- 免费电话号码
- 网站表单
- 电子邮件地址 (可接受)
- 如果您有在线账户:基于账户的请求
CCPA 下的电子邮件列表管理
CCPA 影响您如何构建、维护和使用电子邮件列表。
列表构建合规
第一方收集:
- 在收集时提供通知
- 链接到隐私政策
- 清楚说明他们将收到什么电子邮件
- 不要为不相关的服务要求电子邮件
第三方列表: 使用购买或租赁的列表在 CCPA 下存在风险:
- 您需要验证卖方是否有适当的同意
- 您必须在首次接触时提供通知
- 消费者可以请求删除
- 可能构成"购买"个人信息
最佳实践:通过您自己的收集努力有机地构建列表。这更合规,效果更好。
列表验证和质量
维护干净的电子邮件列表支持 CCPA 合规:
列表质量为何重要:
- 无效地址表明数据实践不佳
- 购买的列表通常缺乏适当的同意
- 退信表明应删除的数据
使用电子邮件验证: EmailVerify 的电子邮件验证有助于维护合规:
- 在收集时验证以确保准确性
- 定期批量验证删除无效地址
- 支持数据准确性原则
- 识别潜在问题来源
数据保留
CPRA 要求: 不要保留个人信息超过合理必要的时间。
电子邮件营销考虑因素:
- 保留不活跃订阅者多长时间?
- 何时删除参与历史?
- 您的保留政策是什么?
实用方法:
- 为每种数据类型定义保留期限
- 实施自动删除流程
- 记录保留决策
- 考虑电子邮件参与数据保留 2-3 年
- 每年审查和更新政策
遵守消费者请求
访问请求: 准备提供:
- 电子邮件地址
- 姓名和个人资料数据
- 参与历史 (打开、点击)
- 购买历史
- 细分分配
- 收集来源
删除请求: 从以下位置删除:
- 主营销数据库
- 电子邮件服务提供商
- CRM 系统
- 分析平台
- 备份系统 (在合理时间内)
- 您共享过的增强提供商
保留在抑制列表中: 维护抑制记录以防止重新添加地址。即使在删除后也是允许的。
CCPA vs. 其他隐私法
了解 CCPA 与其他法规的关系有助于建立全面的合规性。
CCPA vs. GDPR
| 方面 | CCPA | GDPR |
|---|---|---|
| 地理范围 | 加州居民 | 欧盟居民 |
| 需要同意 | 否 (选择退出模式) | 是 (营销需要选择加入) |
| 删除权 | 是 | 是 |
| 访问权 | 是 | 是 |
| 可携带权 | 是 | 是 |
| 销售/共享选择退出 | 是 | 不适用 (需要同意) |
| 私人诉讼权 | 有限 (数据泄露) | 否 (英国除外) |
| 最高处罚 | 每次故意违规 7,500 美元 | 全球收入的 4% |
实用方法:如果您同时拥有欧盟和加州订阅者,GDPR 合规通常涵盖 CCPA 要求,加上额外的同意措施。
有关全面的 GDPR 指导,请参阅我们的 GDPR 电子邮件营销指南。
CCPA vs. CAN-SPAM
CAN-SPAM 和 CCPA 处理电子邮件的不同方面:
CAN-SPAM:商业电子邮件内容和发送实践
- 取消订阅机制
- 准确的标题
- 实际地址
CCPA:数据隐私和消费者权利
- 数据访问
- 删除权
- 选择退出数据销售
两者都是必需的:遵守 CAN-SPAM 的电子邮件内容和 CCPA 的数据实践。
有关 CAN-SPAM 指导,请参阅我们的 CAN-SPAM 合规指南。
其他州隐私法
加州引领了潮流,但其他州也在跟进:
弗吉尼亚消费者数据保护法 (VCDPA):2023 年 1 月生效 科罗拉多隐私法 (CPA):2023 年 7 月生效 康涅狄格州数据隐私法 (CTDPA):2023 年 7 月生效 犹他州消费者隐私法 (UCPA):2023 年 12 月生效
更多即将到来: 德克萨斯州、俄勒冈州、蒙大拿州、特拉华州和其他州已通过或提出了隐私法。
实用方法:建立可以适应新州法律的合规框架。核心原则相似——透明度、消费者权利和数据保护。
CCPA 合规清单
使用此清单评估您的电子邮件营销 CCPA 合规性。
隐私政策和通知
- [ ] 隐私政策包括所有必需的 CCPA 披露
- [ ] 加州特定部分涉及州权利
- [ ] 政策在最近 12 个月内更新
- [ ] 政策可从网站页脚访问
- [ ] "请勿销售或共享"链接存在 (如适用)
- [ ] "限制敏感个人信息"链接存在 (如适用)
- [ ] 在数据收集前提供收集时通知
数据收集
- [ ] 电子邮件注册表单包括隐私通知
- [ ] 收集时通知涵盖类别和目的
- [ ] 遵循数据最小化原则
- [ ] 第三方列表来源已记录
- [ ] 可以追踪每条记录的收集来源
消费者请求处理
- [ ] 至少两种请求提交方法可用
- [ ] 验证流程已记录
- [ ] 10 天确认流程已就位
- [ ] 45 天响应流程已就位
- [ ] 员工接受了请求处理培训
- [ ] 维护请求日志
数据管理
- [ ] 所有数据存储位置已记录
- [ ] 服务提供商协议包括 CCPA 条款
- [ ] 删除流程涵盖所有系统
- [ ] 维护抑制列表
- [ ] 定义保留期限
- [ ] 定期进行电子邮件验证
第三方关系
- [ ] 服务提供商合同已更新为 CCPA
- [ ] 共享/销售活动已记录
- [ ] 选择退出机制遵守所有数据共享
- [ ] 通知第三方删除请求
- [ ] 评估广告平台使用是否为"共享"
电子邮件营销中常见的 CCPA 错误
避免这些常见的合规陷阱。
错误 1:因不在加州而忽视 CCPA
问题:假设地理距离意味着 CCPA 不适用。
现实:如果您有加州客户并满足门槛,无论您的位置如何,都必须遵守。
修复:评估您的加州客户群,并对这些居民应用 CCPA 保护。
错误 2:不完整的隐私政策
问题:隐私政策不包括所有必需的 CCPA 披露。
修复:
- 根据 CCPA 要求审核政策
- 添加加州特定部分
- 每年更新
错误 3:没有消费者请求流程
问题:缺乏处理访问、删除或选择退出请求的系统。
修复:
- 为每种请求类型创建接收流程
- 培训员工处理
- 实施跟踪和记录
- 测试请求履行
错误 4:未能从所有系统删除
问题:从主列表删除但忘记 ESP、CRM 或分析。
修复:
- 记录所有持有订阅者数据的系统
- 创建涵盖每个系统的删除工作流程
- 验证删除完成
- 维护抑制列表
错误 5:未更新服务提供商合同
问题:与电子邮件服务提供商的合同缺少 CCPA 所需条款。
修复:
- 审查现有合同
- 添加所需的限制和义务
- 确保合规认证语言
- 随着法规发展而更新
错误 6:将 CCPA 视为一次性项目
问题:实施合规一次后不维护。
修复:
- 安排年度政策审查
- 监控法规更新
- 培训新员工了解要求
- 定期审核合规性
建立可持续的合规计划
长期 CCPA 合规需要持续承诺。
文档最佳实践
要记录的内容:
- 数据清单 (您收集什么以及在哪里)
- 每个数据点的收集来源
- 每种数据类型的目的
- 第三方关系和合同
- 消费者请求日志
- 员工培训记录
- 合规评估
文档好处:
- 证明善意合规
- 简化消费者请求履行
- 支持审计响应
- 实现一致流程
员工培训
谁需要培训:
- 营销团队成员
- 客户服务人员
- IT 和数据团队
- 法律和合规人员
培训主题:
- CCPA/CPRA 基础
- 消费者权利概述
- 请求处理程序
- 数据处理要求
- 升级流程
持续监控
定期活动:
- 年度隐私政策审查
- 季度数据清单更新
- 月度请求处理审核
- 持续法规监控
- 定期第三方评估
与电子邮件营销运营集成
将合规嵌入工作流程:
- 在注册流程中包括隐私通知
- 将验证添加到列表导入程序
- 将删除构建到取消订阅工作流程中
- 将请求处理连接到 CRM
支持合规的工具:
- 电子邮件验证服务如 EmailVerify 用于数据准确性
- 同意管理平台
- 隐私请求自动化工具
- 数据映射解决方案
结论
CCPA 和 CPRA 添加了重要的隐私保护,影响电子邮件营销人员如何收集、使用和共享订阅者数据。虽然合规需要持续努力,但它与也能提高营销效果的最佳实践保持一致——透明收集、优质数据和尊重消费者偏好。
关键要点:
了解您的义务:确定您是否满足 CCPA 门槛以及适用哪些要求。
更新您的隐私政策:确保包含全面的 CCPA 披露并保持最新。
建立请求处理流程:准备在所需时间范围内履行访问、删除和选择退出请求。
管理第三方:更新服务提供商合同并评估共享实践。
维护数据质量:使用电子邮件验证和列表卫生来支持准确性要求。
保持最新:隐私法正在快速发展。监控发展并相应调整。
加州的隐私法代表了向消费者控制个人数据的重大转变。通过在您的电子邮件营销计划中接受这些原则,您不仅遵守了当前要求,还为全国范围内出现的更广泛的隐私格局做好了准备。
有关涵盖多项法规的全面电子邮件合规指导,请参阅我们的电子邮件合规指南。使用 EmailVerify 的电子邮件验证服务确保您的订阅者数据准确且得到适当维护。