2023年1月1日のカレンダーに印を付けます。バージニア州知事ラルフ・ノーサムが法案に署名したので、バージニア州の消費者データ保護法(CDPA)が施行されます。

先月、バージニア州議会の両院はCDPAを可決しました。これは、バージニア州で事業を行っている、またはバージニア州の消費者を対象とする非免除企業がバージニア州民の個人データを処理する方法を制限する包括的なデータプライバシー法です。

これらの制限は次のとおりです。

  • 消費者の個人データを説明、変更、および/または削除するためのバージニア州の消費者からの特定の認証された要求に準拠すること。
  • バージニア州の消費者が特定の目的で個人データの処理をオプトアウトできるようにすること(さらに、特定の機密データは明確なオプトインなしでは処理されないこと)。
  • それらの処理活動(および「消費者に危害を加えるリスクが高まる」個人データの他の処理活動)のデータ保護評価を実施すること。
  • 彼らが特定のプライバシー通知と開示を持って公開していること(そしてそれらを遵守していること)。そして
  • 彼らと彼らのデータ処理者が彼らの合意に特定の条項を含むこと。

データプロセッサには、主に消費者の要求、データ保護の評価、セキュリティ、および違反通知を含む、いくつかの追加要件が課せられます。

法案の全文はこちらです。

CDPAは、カリフォルニアが米国で最初の主要なデータプライバシー法であるカリフォルニア消費者プライバシー法(CCPA)を可決してから、2年半以上経ち、一部の専門家は2つの法律を例えています。一方、CDPAは、EUのはるかに厳格な一般データ保護規則(GDPR)により類似していると主張する人もいます。

マーケティングとしてSEO対策 福岡という事象が大事なポイントとなる

しかし、CDPAには独自のアイデンティティがあります。また、B2Cターゲティングには多くの制限がありますが、これらの制限には多くの例外があります。

CDPAに基づく消費者の権利

一般に、CDPAはバージニア州の消費者に次の権利を付与します。

  1. データ管理者が個人データを処理しているかどうかを確認するため。
  2. データ管理者などの個人にアクセス、修正、さらには削除するために保持される場合があります。
  3. 以前にデータ管理者にデータを提供した範囲でデータのコピーを取得するため。そして(ここに大きなものが来るので、注意してください)
  4. ターゲットを絞った広告、そのデータの販売、またはそのプロファイリングが消費者に重大な影響を与える可能性がある場合の個人プロファイリング(例、医療、財政、教育登録、雇用機会、法的意味)の目的で個人データを処理することをオプトアウトすること、住宅、基本的な必需品へのアクセス)。

バージニア州の消費者がCDPAの下で持つことのできない権利の1つは、私的な行動の権利です。 CDPAの規定に基づいて訴訟を起こすことができるのは、バージニア州司法長官だけです。 CDPAの責任は、違反ごとに$ 7,500に加えて、費用と弁護士費用を上限とします。

これらの権利を最もよく理解するには、CDPAの対象となる消費者を理解する必要があります。

CDPAは、消費者を「個人または家庭の状況でのみ行動する」という条件で、バージニア州の居住者である自然人と定義しています。 (「消費者」の定義にそのような「個人または世帯のコンテキスト」の制限がないカリフォルニアのCCPAと比較してください。)さらに明確にするために、CDPAは、人々が「商業的または雇用の文脈。」

これの1つの注目すべき結果:CDPAはB2Cキャンペーンに影響を与える可能性がありますが、ターゲティングがでの役割に関係している限り、B2BまたはB2G(企業対政府)のコンテキストでバージニア人から一体をターゲティングすることは問題ないようです。彼らの仕事(そしてそうでなければ合法です)。そのバージニア人が夕方に仕事用アカウントからログオフし、ソファで家族(および電話)と時間を過ごすときは、ターゲットを絞った広告を取り消す必要があるかもしれません。

しかし、「ターゲット広告」と何ですか?

CDPAに基づく「ターゲット広告」

データ管理者は、次の場合にCDPAの下で「ターゲット広告」を行っています。

  1. バージニア州の消費者の個人データを収集する。
  2. 彼らの「時間の経過に伴う活動」から、そしてそれが管理していないサードパーティのウェブサイトやアプリから。
  3. 彼らの「好みや興味」を予測する目的で;そして
  4. 次に、収集した個人データに基づいて広告を表示します。

それはデジタルマーケティングが何であるかということの大部分のように思えるかもしれませんが、デジタル広告主にとってはたくさんのアウトがあるようです。 CDPAは、「ターゲット広告」の定義からいくつかの項目を明確に除外するように注意しています。これには、消費者による特定の明確なオプトインに基づいて配信される広告、データ管理者自身のWebサイトやアプリでのアクティビティに基づいて配信される広告が含まれます。 (s)、および測定と報告のために厳密に個人データを処理する行為。

しかし、その定義からの最も壮観な除外は次のとおりです。「消費者の現在の検索クエリ、Webサイトへのアクセス、またはオンラインアプリケーションのコンテキストに基づく広告…」

それによっていくつかの例を提供するために:PPC広告は「現在の検索クエリ」に基づいているので、PPCキャンペーンはうまくいくようです。同じことが、単にどこから来たのか、なぜ/どのようにそこに到着したのか(そして他には何もない)だけでウェブサイトにクリックスルーする人々を分類するデータコントローラーにも当てはまります。ウェブサイト[またはアプリ]へ」。

もちろん、追加のデータ収集とデータリンケージを使用してマーケターが後で行うことは、「ターゲット広告」の領域に向かう可能性があります。その場合、消費者のオプトアウトが続く可能性があります。

(免責事項:この記事は、情報提供、教育、および/または娯楽目的でのみ提供されています。この記事も他の記事も、法律上の助言、または弁護士と依頼人の関係の作成、含意、確認を構成するものではありません。実際の法的助言については、あなたの管轄区域での実務を許可された弁護士。)

このストーリーは、MarTechTodayに最初に登場しました。


著者について

Joe Stanganelliは、ビジネスコンサルタントおよび法律アナリストです。彼は、マーケティングおよびソートリーダーシップアドバイザリーであるBlackwood KingLCのマネージングディレクターです。仕事や執筆をしていないとき、ジョーはピアノを弾いたり、レモンの皮を茹でたり、食べた正味の炭水化物の量に基づいて人々を判断したりするのを楽しんでいます。