鉴于加利福尼亚席卷全球的新隐私法面临巨大挑战,《加利福尼亚消费者隐私法案》(CCPA)构成了数字营销,因此互动广告局(IAB)发布了其提议草案的征求公众意见 发布者合规框架&技术公司(框架) 在10月22日

数字广告的“销售”和CCPA挑战。 那些一直在积极为1月1日实施CCPA做准备的人现在知道,根据CCPA的1798.115(d),拥有消费者个人信息的公司不得继续“出售”(CCPA定义)向另一方提供信息,而消费者(1)并未收到有关出售个人信息的明确通知,以及(2)根据第1798.120条获得退出的权利。根据CCPA,即使消费者选择不出售个人信息,也可以出于有限的目的与充当“服务提供者”的第三方共享该信息,但披露个人信息的一方(即“企业”)其使用接收到的任何被视为“个人信息”的数据的能力受到非常具体的限制。

当前的信息共享实践。 当前,在程序化广告生态系统中,发布者可以将有关其网站访问者的个人信息传递给下游参与者(下游参与者),然后下游参与者可以将这些信息传递给供应链中的其他人。这些下游参与者包括提供者,例如:

  • 供应方平台(SSP)
  • 需求方平台(DSP)
  • 广告交流
  • 广告网络
  • 广告技术平台
  • 数据管理平台(DMP)

下游参与者还包括最终购买广告,为生态系统提供资金的广告商,并且在许多情况下,他们期望能够对与广告活动和消费者行为相关的信息进行准备和信任访问。

CCPA风险管理的当前障碍。 不幸的是,发布者当前无法与下游参与者就访问发布者网站的消费者是否为加利福尼亚居民(从而暗示CCPA),是否向消费者提供了有关其潜在销售的明确通知的能力。个人信息,以及是否允许消费者选择退出。此外,下游参与者(广告商除外)通常与消费者没有直接关系。因此,向消费者提供他们自己的通知和退出权利以及以其他方式遵守CCPA给这些参与者带来了特殊的挑战。

IAB的既定目标。 IAB的框架旨在供发布商和下游参与者(包括广告商)在进行程序化广告交易时使用,方法是提供

(i)一种技术解决方案(信号),允许发布者以电子方式共享是否已向消费者提供了CCPA要求的通知和退出选项,以及

(ii)标准的“有限服务提供商协议”协议(以下简称“协议”),该协议管理在消费者选择退出的情况下共享消费者数据,并对接收消费者信息的人施加服务提供商的CCPA法定限制。

建议执行。 尽管IAB尚未提供协议条款草案,但框架指出,该条款将要求框架参与者进行审核,以确保遵守协议的表述和保证。审计权的协议和性质尚待确定。

风险分配与责任。框架草案从以下立场和假设开始:即遵守法律要求是目标,除数据泄露外,执法行动将通过加利福尼亚州司法部长进行。一些专家建议,如CCPA和许多消费者团体所追求的那样,未能在参与者之间和参与者之间不包含任何赔偿义务以及违约责任限制可能会严重破坏改革和创造问责制和透明度环境的真正努力。目前,任何参与者违反协议的追索将仅限于非金钱的补救措施,例如禁令救济和被禁止参加框架。

沉默对建议的补救措施的实际影响。 该框架指出,它不禁止任何一方就其各自的合同与商定的补救措施,责任限制和赔偿义务进行谈判。实际上,鉴于广告商通常与许多下游参与者没有直接关系,因此这可能会给广告商带来沉重的负担,使他们必须通过其代理机构来坚持降价规定,因为代理商更可能与之建立直接关系。这些供应商。当它们被告知该协议是“标准”时,也可能使较小或较不成熟的品牌面临风险。

“服务提供商”安全港和CCPA。 根据CCPA,除非“企业”的当事方对违反“服务提供者”的行为不承担任何责任,除非他们有实际知识或理由相信服务提供者有意进行违法(第1798.145(k)节)。同样,“服务提供者”对其提供服务的“企业”也不承担任何责任(1798年.145(k))。因此,该框架无法解决例如发布者和品牌的声誉问题,而其声誉可能会因框架参与者的违反而受到损害。特别是,只有那些拥有市场力量进行谈判或以其他方式说服他人达成共识的人,才有可能采取有助于确保可重复,可持续和可证明的信息问责制的补救措施。

含义

该框架的工作值得注意,因为它做出了两个重大的直接贡献。首先,它构想了一个技术框架,该框架将有助于使信息互操作性受制于关注合规性的实际约束。其次,鉴于时间紧迫性,它反映出了巨大的努力,促使许多参与者表达自己的观点,并部分解决了一些关键的新挑战。该框架的净效果似乎旨在开发一种技术体系,通过将责任推给与被追踪消费者有直接关系并与之共享个人信息的消费者,从而允许现有的程序化广告活动像当前一样运作。

对于发布者,广告商及其隐私和数据保护人员而言,重要的是要了解和理解该框架的工作原理以及该框架不打算做什么。值得注意的是,该框架并非旨在通过执行机制使整个程序化或数字生态系统更好或更值得信赖。相反,它旨在促进生态系统内的信息流,类似于现在的业务方式。此外,该框架不会尝试解释CCPA的“销售”定义,也不会定义参与者是在充当“企业”还是“服务提供商”或“第三方”。在这方面,有关这些角色的重大解释上的歧义留给各当事方自行解决。因此,当事方可以严格遵守特定角色对他们施加的要求,但是,如果该角色被错误或不正确地确定,则此类关系的交易对手可能会面临相当大的风险,尤其是缺乏积极的补救措施。此外,该框架还考虑了非坚持者可能继续参与生态系统,以及坚持者与非坚持者之间以及他们之间的相互作用,从而使该框架是否能够在总体上解决数字广告的持续批评方面悬而未决。此外,该框架专注于数字广告和CCPA合规性。现在判断公司是否以及如何在加利福尼亚居民的个人信息之外应用和使用该框架,以及如何广泛使用,可能会影响品牌的其他营销和数据使用还为时过早。

的评论期 框架文件 开放时间至2019年11月5日。我们代表客户收集反馈,并将代表您与IAB分享。请随时通过kbruce@reedsmith.com与Keri Bruce联系,或通过gstegmaier@reedsmith.com与Gerry Stegmaier联系。或者,您可以将您的反馈直接发送到IAB,网址为privacy@iab.com。