起草 CCPA 的目的是为了保护消费者的权利,提高消费者个人信息的透明度和隐私保护。加州人现在有权知道 哪些收集了哪些个人数据、 是否是否被共享、 与谁共享与谁共享,并可以 选择退出不出售自己的数据。
他们还有权自行访问数据并要求删除数据。 公司不得出售 13-16 岁消费者的个人数据,除非他们选择接受,而且父母或监护人必须同意出售 13 岁以下青少年的数据。
不是《个人信息保护条例》的孪生兄弟
不过,欧盟《通用数据保护条例》(GDPR)与 CCPA 之间的一个关键区别 在于 "同意":加州法律 不加州法律不要求用户同意首先收集数据或处理数据。 公司可以像 CCPA 之前那样收集数据,但必须给消费者选择退出的机会。
另一方面,GDPR、 诉求 明确同意 企业必须彻底记录整个同意链。
两者之间还有其他区别:CCPA 适用于加利福尼亚州居民,而 GDPR 仅提及 "欧盟数据主体",并未具体说明居住地或公民身份。CCPA 还保护与特定家庭相关联的数据;而GDPR 仅适用于个人。
此外,GDPR 适用于任何收集和处理这些 "主体 "数据的企业,无论其位于何处。CCPA 规定,其管辖范围仅适用于 "在加州开展业务 "的公司,但没有提供进一步的定义。
GDPR 适用于所有企业,包括公共和私营企业,而CCPA 仅限于年收入超过 2500 万美元、处理 50,000 名或更多消费者的个人数据、且一半收入来自于出售这些数据的营利性公司。CCPA的具体内容可能会在其成为法律时发生进一步变化。 加州立法机构正在审议多项修正案,这些修正案可能会对最终法规的各个方面产生影响。
遵守 CCPA 可能是一种竞争优势
GDPR 和 CCPA 均规定 释放消费者能见度 这些公司不仅必须提供访问权限,还必须详细说明他们正在对数据做什么。这些公司不仅必须提供访问权限,还必须详细说明他们正在对数据做什么。
不过,作为 CCPA 合规性的一部分,提供这种透明度对公司来说可能并不是一个不利因素。事实上,这很可能恰恰相反。 在 GDPR 实施后进行的调查发现, 62% 的英国消费者在 GDPR 生效后更愿意分享自己的个人信息。通过展示自己的合规性,企业可以走在消费者态度发生重大转变的前列,因为在这种转变中,透明度是赢得信任的关键。
实现 CCPA 合规的三大挑战
对于想要继续在加州 "做生意 "的公司的 GRC 专业人员和数据隐私管理员来说,他们需要应对三个挑战。而且要尽快解决。
确定合规需求
确定合规需求在做所有其他事情之前,公司需要确定自己是否确实属于 CCPA 的范围。在 GDPR 发布之初,许多非欧盟企业认为自己不在其管辖范围内:"我们的总部不在欧盟,在那里也没有销售或营销办事处。所以我们可以豁免"。幸运的是,这个错误还没有体现在对违规行为的罚款或其他处罚上。
就 CCPA 而言,关于公司规模和所处理数据量的既定准则让一些企业更容易认识到他们是否应该遵守。但是,如果公司不注意其营销团队、外部机构和供应商以及消费者参与行为是如何收集数据的,那么法律中的一些细枝末节可能会刺痛公司。
例如?按照目前的草案,CCPA 保护以下人员的信息 加州居民即使他们在州界之外,其规则也适用。因此,尽管你巧妙地对移动网站进行了地理围栏,使其只在洛杉矶居民去拉斯维加斯或纽约旅游时收集他/她的数据,但你仍然违反了规定。
这意味着要对公司库存中的所有活动、网站、社交渠道或其他参与工具进行审核,以了解它们是否符合 CCPA 的所有要求。 这还意味着要将 CCPA 合规性嵌入到您的业务流程中,但这将在以后的文章中详述。
开始 早 昨天
开始 公司应该多快开始采取措施遵守 CCPA? 真正的问题是,为什么还没有开始准备?
正如一位高管对 首席信息官谈到他的公司为应对 GDPR 所做的准备时说:"如果是我,我就会像对待敏捷和 DevOps 那样对待数据。我会提前解决问题,因为 唯一轻松的日子就是昨天"。
对于一些公司来说,CCPA 合规性所涉及的复杂性可能与 GDPR 来临之前所面临的复杂性一样大。 在此之前,许多公司并没有真正掌握自身系统和流程的复杂性,也不知道要使其符合要求有多难。
公司 GRC 领导者面临的挑战是什么?克服任何拖延合规工作的内部惰性。 其中一个问题可能是,一些声称公司符合 GDPR 要求的利益相关者可能会认为,要达到 CCPA 合规性,只需形象地打开几个开关即可。但他们应该明白,事情没那么简单。好的一面是什么?公司可以将 2017-18 年的许多经验教训应用到这次的正确流程和政策中,从而为 2020 年做好准备。
另一个问题?不要骄傲自大。一项新的调查发现,71% 的法律和隐私专业人士认为他们已在七个月内为 CCPA 做好了准备。然而,同一项调查发现,他们仍在努力满足 GDPR 的要求,原因我们将在下文详述。
在数据隐私合规方面变得灵活
在数据隐私合规方面变得灵活公司可能会尝试使用传统系统和流程来实现 CCPA 合规性。这是泰坦尼克号与冰山的较量,但他们有可能避免灾难。
问题是,还有更多的冰山在路上。
GDPR 只是开始,CCPA 才是续集。在很大程度上,由于联邦政府未能提供一套包容性的法规,各州还将出台一系列新的数据隐私法。这些法律已在美国九个州 出台。 其中六项提案以 CCPA 为蓝本,其他提案则较为宽松。然而,《WIRED》指出,至少在一个案例中,CCPA 被抛在了脑后:
纽约州参议员凯文-托马斯(Kevin Thomas)上个月提出的《纽约州隐私法案》(New York Privacy Act)将给予纽约居民比其他任何州更多的数据控制权。该法案还要求企业将客户隐私置于自身利益之上。
除此之外,纽约州金融服务委员会(NYSDFS)已经颁布了法规,要求金融服务部门遵守数据安全规定。
对于一家在多个州(更不用说其他国家)运营的公司来说,挑战的艰巨性显而易见:如何才能在这种拼凑的监管环境中保持合规?
在上文提到的DataGrail 研究中,法律和隐私专业人士表示,他们仍在逐案管理法规。他们中的一半人仍在依靠人工流程来处理 GDPR 隐私权请求,其中涉及数十名员工,正如报告所说,这造成了 "成千上万的接触点,有可能导致人为错误"。
试想一下,如果试图以这种方式管理另外五套、十套或更多套州立法规,将会造成多大的混乱和浪费。
在 DataGrail 的一项新研究中,有一半的公司仍在依赖人工流程来处理 GDPR 隐私权请求。
要应对这种情况,就必须在文化和技术上达到一定程度的灵活性和复杂性,而这对许多企业来说可能是陌生的。然而,必须建立高度主动、灵活和集中管理的合规结构。运营流程和工具集必须围绕合法性、合规性和政策管理的 DNA 来构建,使公司能够高效地适应每一套不同的法规,从而成功地进入市场。 这绝非不可能,保险行业的任何人都可以告诉你,而且已经有 工具来实现。
CCPA 合规性:为下一步发展做准备
无论好坏,数据隐私问题和解决这些问题的法律都将伴随着我们,直到...... 嗯,可能是永远。 为此,我们可以感谢数字媒体、物联网、人工智能的发展,以及在一个数据风险日益增加的世界中保护个人信息的相应需求。
但 GRC 专业人员应该感到欣慰:如今,为实现 CCPA 合规性而建立 适当的系统和文化,可以创建一个高效、持久和灵活的框架。 您不仅可以在此基础上应对下一轮法规,还可以应对之后出现的任何新的数据隐私挑战。
