CCPA、CPRA 和第三方风险管理
加州消费者隐私法》对企业收集和销售消费者数据的行为进行监管,以保护加州居民的敏感个人信息,并为消费者提供对信息使用方式的控制。2023 年,《加州隐私权法案》(California Privacy Rights Act,简称 CPRA)对 CCPA 进行了扩充,增加了新的合规义务,规定了严格的第三方协议,以确保安全地收集、使用和处置消费者信息。
CCPA 和 CPRA 适用于从加州任何居民处收集的消费者数据,无论是总部设在加州的公司还是仅在加州开展业务的公司。如果企业被认定应承担 CCPA 下的民事罚款,每次故意违规的罚款可达 7500 美元,每次无意违规的罚款可达 2500 美元。法院还可下令对消费者进行法定损害赔偿。
因此,各组织应确保其第三方合作伙伴和服务提供商为保护消费者信息做好充分准备。任何安全计划的第一步都是通过全面的安全评估来识别现有风险并确定优先次序。
相关条例
- 1798.81.5 (b)"拥有、许可或维护加州居民个人信息的企业应实施并维护与信息性质相适应的 合理安全程序和做法,以保护个人信息免遭未经授权的访问、破坏、使用、修改或披露"。
- 1798.140(c)"在与承包商[或服务提供商]达成协议的前提下,允许企业通过各种措施监控承包商[或服务提供商]遵守合同的情况,这些措施包括但不限于持续的人工审查和自动扫描,以及定期评估、审计或其他技术和操作测试,至少每 12 个月一次"。
- 1798.185 (b)"定期向加利福尼亚州隐私保护局提交有关其处理个人信息的风险评估"。
- 1798.100 (d)"企业......应与第三方、服务提供商或承包商签订协议,该协议应:......使第三方、服务提供商或承包商有义务遵守本标题下的适用义务,并使这些人有义务提供与本标题所要求的同等水平的隐私保护;要求第三方、服务提供商或承包商在确定其无法再履行本标题下的义务时通知企业"。
- 1798.185 (a)"每年进行一次网络安全审计,包括确定审计范围和建立一个确保审计彻底和独立的程序。在确定信息处理何时会对个人信息安全造成重大风险时,应考虑的因素包括企业的规模和复杂性以及信息处理活动的性质和范围"。
满足 CCPA TPRM 要求
以下是 Prevalent 如何帮助您应对 CCPA 第三方风险管理最佳实践:
CCPA 最佳实践
我们如何提供帮助
发现与数据映射
Prevalent 支持计划评估,以确定关系之间的数据流,利用独特的关系映射功能确定数据存在的位置、数据流向以及与组织外部的谁共享数据。自动生成风险登记册,突出关键风险领域,提高数据的可见性。
供应商风险评估
Prevalent 使用 Prevalent 合规框架 (PCF) 根据 CCPA 评估供应商的数据隐私控制。具体的问卷内容有助于识别评估过程中发现的风险,并将其映射到控制措施中,从而清楚地了解潜在热点。
风险应对
Prevalent 可根据平台中设置的阈值自动识别风险。利用预置的工作流程规则加快响应速度,将已识别的风险升级至适当的利益相关者,以便立即进行审查和处置。
合规跟踪与报告
Prevalent 利用 Prevalent 合规性框架针对 CCPA 进行报告,该框架可自动将风险和应对措施映射到控制措施中,提供合规性评级百分比,并提供针对特定利益相关者的报告,以提高数据安全性的可见性。
泄漏事件通知监控
Prevalent 提供一个数据库,其中包含全球数千家公司 10 多年的数据泄露历史。其中包括被盗数据的类型和数量、合规性和监管问题以及实时供应商数据泄露通知。
主体访问请求
Prevalent 使供应商和业务用户能够根据收到的请求触发主体访问请求 (SAR) 工作流,利用主动评估来捕获相关数据。利用关系图,风险和隐私团队可以直观地了解与谁共享数据以及谁会接触到该供应商的数据。
供应商合同管理
Prevalent 可集中管理供应商合同的分发、讨论、保留和审查,包括工作流程功能,实现从入职到离职的合同生命周期自动化。
有了 Prevalent,采购和法律团队就有了执行供应商合同条款和关键绩效指标的单一解决方案,并简化了管理和审查。
