加州消費者隱私法(CCPA),經加州隱私權法(CPRA)修訂,代表美國州級最全面的隱私法規。雖然不像 CAN-SPAM 是專門針對電子郵件的法規,但 CCPA 顯著影響企業如何收集、使用和分享電子郵件地址與訂閱者數據。本指南說明加州隱私法如何影響電子郵件行銷,並提供實用的合規策略。
了解 CCPA 和 CPRA
在深入探討電子郵件行銷影響之前,讓我們先了解這些法律是什麼以及適用對象。
什麼是 CCPA?
加州消費者隱私法於 2020 年 1 月 1 日生效,賦予加州居民對其個人資訊的新權利,並對收集個人資訊的企業施加義務。
CCPA 核心原則:
- 透明度:消費者必須知道收集什麼數據以及原因
- 控制權:消費者可以存取、刪除並選擇退出數據銷售
- 非歧視:企業不能因消費者行使權利而懲罰他們
- 問責制:企業必須實施合理的安全措施
什麼是 CPRA?
加州隱私權法於 2023 年 1 月 1 日生效,修訂並強化 CCPA:
CPRA 主要新增內容:
- 創建加州隱私保護局(CPPA)負責執法
- 新增「敏感個人資訊」類別並提供額外保護
- 引入「更正權」以更正不準確的資訊
- 建立「限制使用權」以限制敏感數據的使用
- 擴展數據最小化要求
- 創建新的承包商和服務提供商義務
誰必須遵守?
CCPA/CPRA 適用於以下企業:
- 在加州從事商業活動,且
- 符合以下任一門檻:
- 年度總收入超過 2500 萬美元
- 每年購買、銷售或分享 10 萬名以上加州居民/家庭的個人資訊
- 50% 以上的年度收入來自銷售/分享個人資訊
重要說明:
- 不需要在加州有實體據點
- 「在加州從事商業活動」包括擁有加州客戶
- 門檻每年評估一次
- 小型企業如果處理大量個人數據,仍可能受規範
CCPA 下的個人資訊是什麼?
個人資訊的定義廣泛,指能夠識別、關聯、描述、合理關聯或合理連結到特定消費者或家庭的資訊。
與電子郵件行銷相關的例子:
- 電子郵件地址
- 姓名
- IP 位址
- 裝置識別碼
- 瀏覽歷史
- 購買歷史
- 從上述任何資訊推斷出的資料
敏感個人資訊(CPRA 下的額外保護):
- 政府 ID 號碼
- 金融帳戶資訊
- 精確地理位置
- 種族/民族來源
- 宗教信仰
- 基因數據
- 生物識別數據
- 健康資訊
- 性生活/性取向數據
對於大多數電子郵件行銷人員來說,標準個人資訊規則適用。敏感個人資訊通常不會在電子郵件行銷情境中收集。
CCPA 消費者權利與電子郵件行銷
CCPA 賦予加州居民特定權利,這些權利影響您如何管理電子郵件訂閱者數據。
知情權(存取權)
意義:消費者可以要求披露:
- 收集的個人資訊類別
- 收集的具體個人資訊
- 資訊來源
- 收集的商業目的
- 分享資訊的第三方類別
電子郵件行銷影響:
- 準備提供您持有的所有訂閱者數據
- 包括電子郵件地址、姓名、互動數據、購買歷史
- 記錄您的數據收集來源和目的
- 追蹤第三方分享(ESP、分析、廣告商)
請求回應要求:
- 回應前驗證消費者身份
- 45 天內回應(可延長至 90 天並通知)
- 免費提供資訊
- 以可攜式、易於使用的格式交付
刪除權
意義:消費者可以要求刪除其個人資訊,但有某些例外。
電子郵件行銷影響:
- 必須在收到請求後刪除電子郵件地址和相關數據
- 從行銷清單、CRM、分析平台中刪除
- 指示服務提供商也刪除
- 可保留抑制清單條目以防止重新添加
刪除例外:
- 完成收集數據的交易
- 偵測安全事件
- 行使言論自由權
- 遵守法律義務
- 符合消費者期望的內部使用
實務方法: 將刪除請求視為類似取消訂閱請求,但更全面——刪除所有數據,而不僅僅是停止發送電子郵件。
更正權(CPRA)
意義:消費者可以要求更正不準確的個人資訊。
電子郵件行銷影響:
- 提供更新個人資料資訊的機制
- 在 45 天內處理更正請求
- 更新所有儲存數據的系統
- 通知服務提供商也進行更正
選擇退出銷售/分享權
意義:消費者可以指示企業不要銷售或分享其個人資訊。
CCPA 下的「銷售」: 定義廣泛——包括以金錢或其他有價值的對價交換數據。
CPRA 下的「分享」: 包括為跨情境行為廣告披露數據,即使沒有付款。
電子郵件行銷影響:
- 如果您與廣告平台分享訂閱者數據用於定向投放,這可能構成「分享」
- 基於電子郵件清單的重定向可能觸發選擇退出權利
- 通過第三方進行的數據豐富化可能涉及「銷售」
「不要銷售或分享我的個人資訊」連結: 如果您銷售或分享數據,則在您的網站上必須提供。必須:
- 清晰明顯
- 容易找到(通常在頁尾)
- 無需建立帳戶即可使用
限制使用敏感個人資訊的權利
意義:消費者可以限制敏感個人資訊的使用僅限於服務交付所必需的範圍。
電子郵件行銷影響: 大多數電子郵件行銷不涉及敏感個人資訊。但是,如果您收集:
- 用於本地優惠的精確位置數據
- 用於健康相關行銷的健康資訊
- 用於金融服務行銷的金融數據
您必須提供「限制使用我的敏感個人資訊」連結並遵守限制請求。
非歧視權
意義:企業不能歧視行使 CCPA 權利的消費者。
禁止行為:
- 拒絕提供商品或服務
- 收取不同價格
- 提供不同品質等級
- 威脅以上任何行為
電子郵件行銷影響:
- 不能拒絕發送請求的交易電子郵件
- 不能向行使權利的人提供較差的電子郵件內容
- 不能在選擇退出請求後對電子郵件訂閱收取額外費用
允許的差異化: 您可以提供數據分享的激勵,但必須:
- 與數據價值合理相關
- 預先披露
- 不具強制性
電子郵件行銷人員的 CCPA 合規
現在讓我們將 CCPA 要求轉化為實用的電子郵件行銷合規。
隱私政策要求
必需披露:
收集的個人資訊類別: 列出您在過去 12 個月內收集的內容:
- 識別碼(姓名、電子郵件、IP 位址)
- 網路活動(瀏覽、電子郵件互動)
- 商業資訊(購買歷史)
- 推論(衍生偏好、細分)
個人資訊來源:
- 直接來自消費者(註冊表單)
- 自動收集(cookies、電子郵件開啟)
- 來自第三方(購買清單、豐富化)
商業目的:
- 行銷通訊
- 個人化
- 分析和改進
- 防止詐欺
第三方類別:
- 電子郵件服務提供商
- 分析提供商
- 廣告平台
- 數據豐富化服務
消費者權利及如何行使:
- 每項權利的描述
- 如何提交請求
- 驗證流程
- 回應時間框架
不銷售/分享披露: 說明您是否銷售/分享數據。如果是,請包含選擇退出連結。
隱私政策最佳實務
格式要求:
- 合理可存取
- 以您交易使用的語言提供
- 至少每年更新一次
- 標註最後更新日期
最佳實務:
- 使用清晰、淺顯的語言
- 使用標題和段落組織
- 包含加州專屬部分
- 從網站和註冊表單顯著連結
數據收集實務
收集時通知: 在收集個人資訊之前,告知消費者:
- 正在收集的資訊類別
- 收集目的
- 資訊是否會被銷售/分享
- 保留期限(或確定保留期限的標準)
電子郵件註冊表單:
透過提供您的電子郵件地址,您同意接收來自 EmailVerify 的行銷通訊。我們收集您的電子郵件、姓名和互動數據以個人化 內容並改進我們的服務。我們不會銷售您的個人資訊。查看我們的 隱私政策以了解您的加州隱私權詳情。
數據最小化(CPRA): 僅收集披露目的合理必要的內容。對於電子郵件行銷:
- 電子郵件地址(必需)
- 姓名(個人化合理)
- 廣泛的人口統計數據(沒有明確目的可能過度)
第三方管理
服務提供商協議: 與電子郵件服務提供商分享訂閱者數據時,確保合約包含:
- 限制數據使用於合約目的
- 禁止銷售或分享數據
- 遵守消費者請求的要求
- 適當的安全措施
- 對分包商使用的限制
第三方廣告: 如果您將電子郵件清單上傳到廣告平台:
- 這可能構成 CPRA 下的「分享」
- 需要「不要銷售或分享」連結
- 必須遵守選擇退出請求
- 考慮使用雜湊電子郵件以減少曝光
消費者請求處理
驗證流程: 在回應請求之前,驗證請求者是實際消費者:
知情權/刪除權:
- 匹配您記錄中的識別資訊
- 要求額外驗證(電子郵件確認、安全問題)
- 基於風險的合理驗證方法
選擇退出:
- 不需要驗證
- 必須接受而無需建立帳戶
- 立即遵守
回應流程:
- 在 10 天內確認收到
- 驗證身份
- 定位所有個人資訊
- 在 45 天內完成請求
- 記錄請求和回應
指定的請求方法: 提供至少兩種方法:
- 免費電話號碼
- 網站表單
- 電子郵件地址(可接受)
- 如果您有線上帳戶:基於帳戶的請求
CCPA 下的電子郵件清單管理
CCPA 影響您如何建立、維護和使用電子郵件清單。
清單建立合規
第一方收集:
- 提供收集時通知
- 連結到隱私政策
- 清楚說明他們將收到什麼電子郵件
- 不要求提供電子郵件以使用無關服務
第三方清單: 使用購買或租用的清單在 CCPA 下有風險:
- 您需要驗證賣方是否有適當同意
- 您必須在首次聯繫時提供通知
- 消費者可以要求刪除
- 可能構成「購買」個人資訊
最佳實務:透過您自己的收集工作有機地建立清單。這樣更合規且效果更好。
清單驗證和品質
維護乾淨的電子郵件清單支援 CCPA 合規:
清單品質為何重要:
- 無效地址表明數據實務不佳
- 購買的清單通常缺乏適當同意
- 退信表明應該刪除的數據
使用電子郵件驗證: EmailVerify 的電子郵件驗證有助於維護合規:
- 在收集時驗證以確保準確性
- 定期批量驗證刪除無效地址
- 支援數據準確性原則
- 識別潛在問題來源
數據保留
CPRA 要求: 不要保留個人資訊超過合理必要的時間。
電子郵件行銷考量:
- 保留不活躍訂閱者多長時間?
- 何時刪除互動歷史?
- 您的保留政策是什麼?
實務方法:
- 為每種數據類型定義保留期限
- 實施自動刪除流程
- 記錄保留決策
- 考慮電子郵件互動數據保留 2-3 年
- 每年審查和更新政策
遵守消費者請求
存取請求: 準備提供:
- 電子郵件地址
- 姓名和個人資料數據
- 互動歷史(開啟、點擊)
- 購買歷史
- 細分分配
- 收集來源
刪除請求: 從以下位置刪除:
- 主要行銷資料庫
- 電子郵件服務提供商
- CRM 系統
- 分析平台
- 備份系統(在合理時間內)
- 您已分享的豐富化提供商
保留在抑制清單中: 維護抑制記錄以防止重新添加該地址。即使刪除後也允許這樣做。
CCPA 與其他隱私法規的比較
了解 CCPA 與其他法規的關係有助於建立全面的合規。
CCPA vs. GDPR
| 方面 | CCPA | GDPR |
|---|---|---|
| 地理範圍 | 加州居民 | 歐盟居民 |
| 需要同意 | 否(選擇退出模式) | 是(行銷需要選擇加入) |
| 刪除權 | 是 | 是 |
| 存取權 | 是 | 是 |
| 可攜權 | 是 | 是 |
| 銷售/分享選擇退出 | 是 | 不適用(需要同意) |
| 私人訴訟權 | 有限(數據洩露) | 否(英國除外) |
| 最高罰款 | $7,500/故意違規 | 全球收入的 4% |
實務方法:如果您同時擁有歐盟和加州訂閱者,GDPR 合規通常涵蓋 CCPA 要求,加上額外的同意措施。
有關全面的 GDPR 指南,請參閱我們的 GDPR 電子郵件行銷指南。
CCPA vs. CAN-SPAM
CAN-SPAM 和 CCPA 處理電子郵件的不同方面:
CAN-SPAM:商業電子郵件內容和發送實務
- 取消訂閱機制
- 準確的標頭
- 實體地址
CCPA:數據隱私和消費者權利
- 數據存取
- 刪除權
- 選擇退出數據銷售
兩者都是必需的:遵守 CAN-SPAM 的電子郵件內容和 CCPA 的數據實務。
有關 CAN-SPAM 指南,請參閱我們的 CAN-SPAM 合規指南。
其他州隱私法
加州率先制定,但其他州也在跟進:
維吉尼亞消費者數據保護法(VCDPA):2023 年 1 月生效 科羅拉多隱私法(CPA):2023 年 7 月生效 康乃狄克數據隱私法(CTDPA):2023 年 7 月生效 猶他消費者隱私法(UCPA):2023 年 12 月生效
更多即將到來: 德克薩斯、奧勒岡、蒙大拿、德拉瓦和其他州已經通過或提出隱私法。
實務方法:建立可以適應新州法律的合規框架。核心原則相似——透明度、消費者權利和數據保護。
CCPA 合規檢查清單
使用此檢查清單評估您的電子郵件行銷 CCPA 合規性。
隱私政策和通知
- [ ] 隱私政策包含所有必需的 CCPA 披露
- [ ] 加州專屬部分處理州權利
- [ ] 政策在過去 12 個月內更新
- [ ] 政策可從網站頁尾存取
- [ ] 「不要銷售或分享」連結存在(如適用)
- [ ] 「限制敏感個人資訊」連結存在(如適用)
- [ ] 數據收集前提供收集時通知
數據收集
- [ ] 電子郵件註冊表單包含隱私通知
- [ ] 收集時通知涵蓋類別和目的
- [ ] 遵循數據最小化原則
- [ ] 記錄第三方清單來源
- [ ] 可以追蹤每條記錄的收集來源
消費者請求處理
- [ ] 至少提供兩種請求提交方法
- [ ] 記錄驗證流程
- [ ] 建立 10 天確認流程
- [ ] 建立 45 天回應流程
- [ ] 員工接受請求處理培訓
- [ ] 維護請求日誌
數據管理
- [ ] 記錄所有數據儲存位置
- [ ] 服務提供商協議包含 CCPA 條款
- [ ] 刪除流程涵蓋所有系統
- [ ] 維護抑制清單
- [ ] 定義保留期限
- [ ] 進行定期電子郵件驗證
第三方關係
- [ ] 服務提供商合約已更新以符合 CCPA
- [ ] 記錄分享/銷售活動
- [ ] 選擇退出機制遵守所有數據分享
- [ ] 通知第三方刪除請求
- [ ] 評估廣告平台使用是否構成「分享」
電子郵件行銷中常見的 CCPA 錯誤
避免這些常見的合規陷阱。
錯誤 1:因為不在加州而忽視 CCPA
問題:假設地理距離意味著 CCPA 不適用。
現實:如果您有加州客戶並符合門檻,無論您的位置如何,都必須遵守。
修復:評估您的加州客戶群,並對這些居民應用 CCPA 保護。
錯誤 2:不完整的隱私政策
問題:隱私政策未包含所有必需的 CCPA 披露。
修復:
- 根據 CCPA 要求審核政策
- 添加加州專屬部分
- 每年更新
錯誤 3:沒有消費者請求流程
問題:缺乏處理存取、刪除或選擇退出請求的系統。
修復:
- 為每種請求類型建立接收流程
- 培訓員工處理
- 實施追蹤和記錄
- 測試請求履行
錯誤 4:無法從所有系統中刪除
問題:從主清單中刪除,但忘記 ESP、CRM 或分析。
修復:
- 記錄所有持有訂閱者數據的系統
- 建立涵蓋每個系統的刪除工作流程
- 驗證刪除完成
- 維護抑制清單
錯誤 5:未更新服務提供商合約
問題:與電子郵件服務提供商的合約缺乏 CCPA 所需條款。
修復:
- 審查現有合約
- 添加所需的限制和義務
- 確保合規認證語言
- 隨著法規演變更新
錯誤 6:將 CCPA 視為一次性專案
問題:一次性實施合規而不維護。
修復:
- 安排年度政策審查
- 監控法規更新
- 培訓新員工了解要求
- 定期審核合規性
建立可持續的合規計劃
長期 CCPA 合規需要持續承諾。
文件記錄最佳實務
要記錄什麼:
- 數據清單(您收集什麼以及在哪裡)
- 每個數據點的收集來源
- 每種數據類型的目的
- 第三方關係和合約
- 消費者請求日誌
- 員工培訓記錄
- 合規評估
文件記錄的好處:
- 展示善意合規
- 簡化消費者請求履行
- 支援審核回應
- 實現一致的流程
員工培訓
誰需要培訓:
- 行銷團隊成員
- 客戶服務人員
- IT 和數據團隊
- 法律和合規
培訓主題:
- CCPA/CPRA 基礎
- 消費者權利概述
- 請求處理程序
- 數據處理要求
- 升級流程
持續監控
定期活動:
- 年度隱私政策審查
- 季度數據清單更新
- 每月請求處理審核
- 持續法規監控
- 定期第三方評估
與電子郵件行銷營運整合
將合規嵌入工作流程:
- 在註冊流程中包含隱私通知
- 在清單匯入程序中添加驗證
- 將刪除建立到取消訂閱工作流程中
- 將請求處理連接到 CRM
支援合規的工具:
- 電子郵件驗證服務如 EmailVerify 用於數據準確性
- 同意管理平台
- 隱私請求自動化工具
- 數據映射解決方案
結論
CCPA 和 CPRA 增加了重要的隱私保護,影響電子郵件行銷人員如何收集、使用和分享訂閱者數據。雖然合規需要持續努力,但它與同樣能提高行銷效果的最佳實務一致——透明收集、優質數據和尊重消費者偏好。
關鍵要點:
了解您的義務:確定您是否符合 CCPA 門檻以及哪些要求適用。
更新您的隱私政策:確保包含全面的 CCPA 披露並保持最新。
建立請求處理流程:準備好在要求的時間框架內履行存取、刪除和選擇退出請求。
管理第三方:更新服務提供商合約並評估分享實務。
維護數據品質:使用電子郵件驗證和清單衛生來支援準確性要求。
保持最新:隱私法正在快速演變。監控發展並相應調整。
加州的隱私法代表向消費者控制個人數據的重大轉變。透過在您的電子郵件行銷計劃中擁抱這些原則,您不僅遵守當前要求,還為全國範圍內正在出現的更廣泛隱私格局做好準備。
有關涵蓋多項法規的全面電子郵件合規指南,請參閱我們的電子郵件合規指南。使用 EmailVerify 的電子郵件驗證服務確保您的訂閱者數據準確且得到妥善維護。