IT顾问工厂
2020/04/11 20:17
加利福尼亚消费者隐私法案(CCPA)的最终倒计时已经开始。加州是世界第五大经济体,与 GDPR 类似,CCPA 的影响范围将是全球性的。在2020年1月1日,在加利福尼亚州开展业务的公司或组织将必须遵守该州严格的新隐私法,该法律为每个加利福尼亚州居民建立了合法且可执行的隐私权,将于2020年7月1日起正式实施。
打开APP,查看更多精彩图片
CCPA不仅适用于加利福尼亚州的企业;它们适用于在该州开展业务的所有公司。
不遵守 GDPR 的法则可能会对公司的财务状况产生重大影响,因为相关部门可以依据 GDPR 对公司处以罚款。尽管最初一些隐私漏洞只导致了适度的罚款,但现在,这个行业正在逐渐引起更多关注,因为最近处以的罚款正在全球范围内成为头条新闻。两笔重大罚款 ---- 一笔来自一家大型航空公司(2.3 亿美元),该罚款源于一个影响了 500,000 人的数据漏洞,另一笔来自一家跨国酒店公司(1.23 亿美元),该罚款源于 3.83 亿 名酒店客人的个人信息被黑客盗取,这两笔罚款引起了全球企业的重视。
营利性企业如果收集加州居民的个人信息,并满足以下任何一条,则需要合规:
· 年营业额超过2500万美元。
· 购买、获取、销售达到或超过5万个消费者、家庭和设备的信息。
· 超过50%的年度营收由销售消费者个人信息获得。
一、 什么是CCPA?
简而言之,CCPA为加利福尼亚消费者的个人数据提供以下保护:
· 所有权:保护消费者有权告诉企业不要共享或出售个人信息的权利
· 控制:提供消费者对收集到的有关他们的个人信息的控制权
· 安全:要求企业负责保护个人信息
去年,许多公司在遵守GDPR方面面临巨大的障碍,现在他们也需要遵守CCPA。时间不多了。如果您的企业在加利福尼亚州收集了客户身份数据,并且为个性化营销活动建立了客户资料,要么现在该采取行动了,要么冒着可能会影响您底线的重大罚款风险。为了应对越来越多的个人数据泄露或滥用的情况,国际范围迎来了隐私保护立法和建立标准热潮。
1. GDPR欧盟于2018年5月25日正式实施了《通用数据保护条例》 (《General Data Protection Regulation》,简称《GDPR》),是一项保护欧盟公民个人隐私和数据的法律,其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。2. CCPA美国已有多个州先在数据安全与隐私保护进行了立法,其中最著名的要数2018年6月加州通过《加州消费者隐私法案》( 《California Consumer Privacy Act》, 简称《CCPA》)。该法案被称为美国“最严厉和最全面的个人隐私保护法案”,将于2020年1月1日生效。3. 网络安全法我国于2017年6月1日正式实施《中华人民共和国网络安全法》(通常简称《网安法》)。《网安法》是我国首部全面规范网络空间安全管理方面问题的基础性法律,包含的内容十分丰富,一共包括7章79条,包含网络运行安全、关键信息基础设施的运行安全、网络信息安全等内容。值得关注的是,《网安法》在数据(包括个人信息)安全与保护上也有诸多规定,例如第四十至四十五条。
二、GDPR和CCPA如何比较?
尽管CCPA的范围与GDPR有所不同,但它们都授予了消费者控制和否决其数据使用的相关权利。两项法规都要求公司安全地存储数据,对收集的个人数据类型保持透明,并管理消费者删除个人数据的请求(“被遗忘的权利”),这意味着能够从整个系统的所有系统中删除个人数据。CCPA与GDPR的不同之处在于,CCPA要求用户具有选择性退出的能力,而不是需要在收集个人身份信息(PII)之前获得明确同意的能力。
三、全球性的隐私法规
但是GDPR和CCPA只是一系列重大全球趋势的开始。在世界范围内,正在考虑或已经制定了许多隐私和合规性法律。仅在美国,就有9个州的立法者提出了法案,这些法案将使企业承担广泛的义务,以向消费者提供透明度并控制个人身份信息。在国际层面上,越来越严格的(和影响商业的)隐私法规的趋势显然是公司和组织不能忽视的全球现象。
编辑
四、为什么需要法规?
我们都是消费者。我们的身份是宝贵的资产---不仅对于收集和编译我们PII的公司,对于我们来说,对于拥有信息并强烈希望保护该信息且不被滥用的个人消费者而言,也是如此。
随着我们生活中越来越多的领域引入了数字化,个人数据包括姓名,地址,电话,性别,付款信息,个人喜好到购物、浏览历史记录以及其他行为数据。对要求公司保护我们重要的个人数据的需求已大大增加,全球监管机构正在为此大量需求做出反应。
超越法规合规:建立信任
面对所有这些法规,建立消费者信任对于全球的公司和组织而言变得越来越重要。GDPR、CCPA 及相关法律要求公司在适用的情况下,在收集和使用客户数据之前获得客户的许可,当然,也要求保留客户许可的 记录。
除了合规性之外,对于希望与客户建立深入且可信的数字化关系的企业而言,隐私也至关重要。客户对个人数据保持隐私和安全的期望越来越高。许多公开的数据滥用、漏洞和身份盗窃案件给公司设立了更高的标准,必须高于这个标准,公司才会被视为值得信赖的个人数据保管方。当客户在公司那里存储数据时, 他们将签订信任合同;如果辜负信任,则往往难以重获信任。只有在公司提供价值回报的情况下,客户才会同意公司处理他们的数据,而且只有在他们信任该品牌的情况下才会提供这种许可。不信任就意味着不同意。“不同意”就意味着没有数据,这意味着无法开展销售和营销工作(或效率极度低下)。对于旨在获取客户数据的公司来说,信任被称为“新货币”。
客户许可的重要性:重新思考用户体验
根据 GDPR 和 CCPA,客户必须能够随时查看、修改甚至撤销他们授予的许可。换而言之,企业不允许出现以下行为:提供易于使用的 Web 表单以获取用户的许可,然后故意要求用户遵循复杂的官僚主义流程, 使其难以撤销许可。此外,公司需要清楚地告知用户,公司收集数据的原因以及数据的用途。
对于公司运营,此举会带来很多负面影响。例如,根据 GDPR,公司不能在登录页面上使用针对受限销售内容的预先勾选框以获取用户的许可。许可的获取方式必须是“选择加入”,而不是“选择退出”。也就是说,消费者必须通过勾选复选框来授予许可。但是,根据 CCPA 的规定,仍然允许公司获取这种默示的许可,因此,预先勾选复选框仍然符合该法规的要求。这种差异可能会给全球企业带来麻烦, 因为它们可能会面对两个主要市场,而这些市场的网站和应用程序需要显示不同的注册表单。或者,甚至需要部署完全独立的网站和应用程序来应对不同的区域,这会增加开发和维护代码的工作量。
CCPA禁止过度收集数据:公司只能收集他们提供的服务或产品所需的个人数据
根据 GDPR 和 CCPA,客户必须能够随时查看、修改甚至撤销他们授予的许可。换而言之,企业不允许出现以下行为:提供易于使用的 Web 表单以获取用户的许可,然后故意要求用户遵循复杂的官僚主义流程, 使其难以撤销许可。此外,公司需要清楚地告知用户,公司收集数据的原因以及数据的用途。
-THANKS FOR READING-
编辑
编辑
上海擎标信息技术服务有限公司是一家致力于科技风险与合规内控领域提供解决方案的咨询服务机构。也是国内首批具有ISO27701、ISO27017、ISO27018等体系建设能力的咨询单位!擎标,标新领异!国内隐私安全合规咨询领域的早期参与者,发布了首个基于ISO/IEC 29151:2017的中文译著,并于2018年11月为太平洋保险(集团)公司获得国内首张ISO29151个人身份信息保护实践指南认证证书;于2019年10月为上海医药临床研究中心获得全球第二张ISO27701隐私信息管理体系认证证书。于2019年12月为中国电信天翼云获得了全国首张ISO27040存储安全标准认证证书。
大家都在聊
热门评论