近年来，消费者数据隐私一直是一个热门话题，这是有原因的我们住在网上无论我们是在我们最喜欢的网站上购物，在社交网络上与家人和朋友分享照片和个人最新信息，还是在网上更新驾照，还是每月支付房贷，几乎我们在生活中所做的每一件事都涉及到分享个人数据的某些组成部分例如，我们选择与电子商务品牌和社交网站分享的信息，可以帮助我们在网上创造更丰富、更具吸引力的体验。这些个性化的体验最终有助于公司与消费者建立更多的信任，而且，作为赢得我们信任的一部分，我们希望收集我们数据的公司能够永远使用这些数据但有时，品牌和社交网站要么滥用，要么未能保护我们高度敏感的信息以2018年的剑桥丑闻为例。或2018年万豪数据泄露或2017年Equifax数据泄露事件。这些只是几个引人注目的例子，说明了为什么消费者如此关注公司如何将其个人信息保密和保护超出消费者的预期，地方和联邦政府已经介入制定企业必须遵守的数据隐私和保护法律，如果不这样做，代价可能是巨额罚款和罚款，这可能会使许多品牌停业，在某些情况下，还会对品牌声誉造成无法挽回的损害。近年来，电子商务品牌花费了大量时间和精力来遵守2018年5月生效的通用数据保护条例（GDPR）。进入2020年，你需要了解一项新的法律：加州消费者隐私法案（CCPA）我最近采访了克拉维尤公司安全与信任副总裁布赖恩·克尔。布莱恩对这项新法律非常敏感，所以我请他分享他对CCPA的了解，以及Klaviyo是如何帮助品牌尊重消费者隐私权的。继续阅读以了解更多信息。 什么是加州消费者隐私法？ 布莱恩·克尔（Brian Kerr）[BK]：加州消费者隐私法（CCPA）是一项新的消费者隐私法。加利福尼亚州正试图通过帮助居住在该州的消费者理解、决策、访问企业保存的个人数据以及查看所有接收到其数据的第三方的完整列表，来保护和授权居住在该州的消费者在当今世界，许多公司收集某人的个人信息并出售或以其他方式滥用。另一方面，消费者通常不知道这些公司有哪些个人资料，也不知道他们是如何使用这些资料的加州正努力使这一过程更加透明，因此根据CCPA，如果你是加州居民，你现在可以问一家公司，"你有什么关于我的信息？"控制数据的使用。CCPA基本上把控制权交还给了加州居民，他们可以行使权利，限制公司在未经许可的情况下收集或使用其个人数据根据法律，处理加州居民个人信息的公司必须告知居民公司的隐私做法，并允许他们访问这些信息，要求你删除他们的个人信息，或者告诉你不要与第三方分享他们的个人信息根据CCPA，个人信息的转售也受到限制。个人必须收到通知，他们的个人信息将被转售，并有机会在出售前选择退出。 [KT]：这条法律适用于谁？ [BK]：CCPA是一项企业对消费者（B2C）隐私法，适用于收集加利福尼亚州消费者个人信息、在加利福尼亚州开展业务（例如，使用电子商务网站或应用程序与居住在加利福尼亚州的个人接触）的组织，或满足以下阈值之一的企业：年总收入2500万美元每年获取、出售或共享50000名或更多加州居民、家庭或设备的个人信息从"出售"加州居民的个人信息中获得50%或更多的年收入（即，为第三方自己的目的共享或提供个人信息访问权）如果您不确定CCPA是否适用于您的业务，我强烈建议公司详细审查该原则或与隐私律师交谈。该法将于2021年生效，预计将扩展并适用于企业对企业（B2B）组织，因此B2B组织有一年的宽限期来准备如何收集与通用数据保护条例（GDPR）相似的某人的信息 [KT]：CCPA适用于什么样的消费者数据？ [BK]：CCPA适用于个人身份信息该法对个人信息的定义非常宽泛，包括识别、关联、描述、能够直接或间接与特定消费者或家庭相关联或可合理关联的信息例如，个人信息可以包括您的姓名、电子邮件地址、IP地址、邮寄地址、交易数据、移动设备标识符、社会保险号、护照详细信息和生物特征信息。 [KT]：关于CCPA，电子商务品牌需要了解的最重要的事情是什么？他们可以采取哪些措施来帮助确保他们遵守新的法律？ [BK]：对于组织来说，当涉及到任何与隐私相关的事情时，无论是GDPR还是CCPA，最重要的做法之一就是列出所有系统的清单。在GDPR和CCPA中，当您不完全了解存储数据的各个领域（包括内部系统和第三方提供商）时，很难做到合规例如，当企业进行数据映射时，许多人意识到他们收集的关于客户的个人数据可能不仅仅存储在电子商务商店和Klaviyo中。您的数据也可能会转移到CRM工具、客户服务工具、数据湖以及更多用于运营业务的工具充分了解所有数据驻留在何处对于保护您的业务至关重要。当你的一个客户说"我想删除我所有的数据"时，你必须知道你是否需要从五个位置删除数据，而不仅仅是你认为可能存在的两个位置了解数据的存储位置、移动方式以及与您合作的任何第三方处理器的安全和隐私保护措施是保护您的业务的一种常规最佳做法。如果CCPA适用于您的企业，我建议采取的第一步是创建一个清单，列出您企业使用的所有系统，包括我提到的第三方系统。记录结果，这样您就可以完整地记录您的系统、它们收集和存储的数据的性质、如何收集数据、数据存储在何处以及是否存在移动数据的可能互连等例如，您通过电子商务商店收集消费者信息，并通过API自动发送给Klaviyo。你需要记录这两个系统。然后，继续识别收集或传输消费者信息的所有其他系统，直到得到一个详尽的列表一旦你确定了客户个人身份信息存储的所有区域，你就可以开始处理CCPA的一些特定要求，比如在收集数据时或之前提交隐私声明，或者构建内部工作流来满足消费者的数据访问请求—例如，您收集的关于他们的数据类型（即访问权）或要求您删除其数据的人（即被遗忘的权利）。"另一件要记住的事，从CCPA和GDPR的角度来看，您需要知道如何验证特定的用户CCPA要求验证数据主体的身份，并规定了响应时间线—消费者必须在收到请求后45天内得到响应事情变得更复杂了。企业需要在收到请求后10天内对消费者做出响应，并向请求者提供有关企业将如何处理请求的信息。假设我经营一家企业，我的客户简·多伊要求我删除他们的信息。当他们要求我删除他们的信息时，我如何确保简·杜确实是简·杜？你如何识别某人以了解他们的真实身份有一个组成部分。Klaviyo提供的工具可以帮助您响应数据主体的请求。例如，如果最终用户希望了解您收集的所有数据，您可以从Klaviyo获取这些信息以满足客户的要求。或者，如果您的客户希望您删除他们的信息，您可以通过我们的平台满足该请求。也就是说，这就是为什么有一个系统清单和内部工作流程是重要的假设您收到一个删除Jane Doe信息的请求。你已经验证了他们的身份，并从你的电子商务平台上删除了他们的所有用户数据，但你的库存或工作流程中没有包括克拉维约和简的信息，仍然保留在这个平台上。由于没有完整的系统清单，您错过了存储客户数据的位置，因此无法完成Jane删除其个人信息的请求一旦您有了有效的标识，您就可以运行内部构建的流程来删除客户的所有相关信息，或者收集这些信息并将其提供给客户