CCPA筹备工作博客文章的标题
CCPA筹备工作博客文章的标题

你遇到过这3个关键的CCPA合规挑战吗?

- - - |

现在,数据隐私法规正在世界各地的地区、国家、甚至个别州涌现。对许多GRC专业人士来说,下一个挑战是什么?实现CCPA合规性。

2018年,加州颁布了自己的综合隐私法,即 加州消费者隐私法 (CCPA),将于2020年1月1日开始生效。 随着 第五大经济体 如果他们想继续挖掘金州的财富,就必须遵守CCPA的规定,这对许多营销人员来说是不可忽视的。

起草CCPA是为了保护消费者的权利,并在涉及到他们的个人信息时推动更强的透明度和隐私保护。加州人现在将有权利知道 什么 个人数据被收集、 如果 它正在被分享、 它被共享,并且可以 选择退出 对其数据的任何销售。

他们也有权自己访问这些数据,并要求将其删除。 公司不能出售13-16岁消费者的个人数据,除非他们选择加入,而且父母或监护人必须同意出售13岁以下青少年的数据。

网络研讨会:为法律业务导航的数据隐私

不是GDPR的孪生兄弟

A 关键区别 欧盟的《一般数据保护条例》(GDPR)和CCPA,然而,在于该领域的同意:加利福尼亚州的法律 并不 首先需要用户同意才能收集数据,或处理数据。 公司可以像在CCPA之前那样收集数据,但必须给消费者选择退出的机会。

而GDPR则是如此、 要求 明确同意 从消费者或从收集数据的地方,企业必须彻底记录整个同意链。

其他差异 两者之间:CCPA适用于加州居民,而GDPR指的是 "欧盟数据主体",没有明确说明居住地或公民身份。CCPA还保护与特定的数据有关的 家庭; GDPR仅适用于 个人.

此外,GDPR还适用于 任何 收集和处理这些 "主体 "的数据的企业,无论其位于何处。CCPA规定,其管辖权适用于 只有 对那些 "在加州做生意 "的公司,但没有提供进一步的定义。

而GDPR适用于所有企业,无论是公共还是私营企业、 《刑事诉讼法》限制了自己 对营利性公司 每年总收入超过$2500万,处理5万或更多消费者的个人数据,并且一半的收入来自销售这些数据。这就大大缩小了范围。CCPA的具体内容在其成为法律时可能会进一步变化。 目前有 多次修正 加利福尼亚州的立法机构可能会影响最终法规的各个方面。

遵守CCPA可能是一种竞争优势

数据隐私GDPR和CCPA都是 释放消费者的能见度 在收集个人数据的公司所持有的个人数据中。这些公司不仅必须提供这种权限,而且必须详细说明他们对这些数据的处理。

不过,作为遵守CCPA的一部分,提供这种透明度可能不会对公司造成不利。事实上,它很可能被证明是完全相反的。  研究 在实施GDPR后发现的问题 英国消费者的62% 在法律生效后,人们对分享他们的个人信息感到更加放心。通过展示他们的合规性,公司可以走在已经变成了 "不合规 "的前面。 震荡的转变 在消费者的态度上,其中 透明度 是推动 信任.

实现CCPA合规性的三个挑战

对于那些想继续在加州 "做生意 "的公司的GRC专业人士和数据隐私管理员来说,他们需要解决三个挑战。而且是相当快的。

确定你的合规需求

在所有其他方面之前,公司需要确定他们实际上是否属于CCPA的范围。当GDPR首次宣布时,许多非欧盟企业认为他们不在其管辖范围内: "我们的总部不在欧盟,或在那里有一个销售或营销办事处。所以我们被豁免。" 对他们来说,幸运的是,这个错误还没有反映在对违规行为的罚款或其他处罚上--还没有。

就CCPA而言,关于公司规模和所处理的数据量的陈述准则使一些企业更容易认识到他们是否应该遵守。然而,也有 更细的要点 如果公司不注意其营销团队、外部机构和供应商以及消费者参与行为是如何收集数据的,可能会被法律刺痛。

比如说?按照目前的草案,CCPA保护的信息包括 加州居民即使他们在州界之外,其规则也适用。因此,尽管你巧妙地对移动网站进行了地理定位,使其只在洛杉矶居民前往拉斯维加斯或纽约时收集数据,但你还是 仍然 违反规定。

这意味着审计 所有 你的公司库存中的活动、网站、社交渠道或其他参与工具,以了解它们是否符合CCPA的所有要求。 这也意味着 嵌入CCPA合规性 在你的业务流程中--但在未来的文章中会有更多关于这一点。

开始工作 早期 昨天

一家公司应该在多长时间内开始采取步骤遵守CCPA? 真正的问题是,为什么它还没有 已经开始 准备好了吗?

正如一位高管对记者说的那样 CIO 关于他的公司为GDPR所做的准备,"我本来会对数据采取我一直宣扬的敏捷和DevOps的做法。我会走在问题的前面,因为 唯一轻松的一天是昨天."

对一些公司来说,CCPA合规性所涉及的复杂问题可能与GDPR到来之前所面临的问题一样大。 在此之前,许多人并没有真正掌握他们自己的系统和流程的复杂性,也不知道使其符合规定的难度。

因此,这里的挑战是一个公司的GRC领导人?为了 克服任何内部惯性 耽误了合规工作。 一个问题可能是,一些说公司符合GDPR要求的利益相关者可能认为这是个问题 拨动几个开关 以达到遵守CCPA的目的。但应该向他们表明这不是 简单。好的一面是什么?公司可以将2017-18年的许多经验教训应用到这次的正确流程和政策上,以便为2020年做好准备。

另一个问题?不要骄傲自大。 一项新的调查 发现,71%的法律和隐私专业人士认为他们会在七个月内为CCPA做好准备。然而,同一研究发现,他们仍在努力满足GDPR的要求,其原因我们将在下文详述。

在数据隐私合规方面变得灵活

A公司 可能 试图使用传统的系统和流程来实现CCPA的合规性。它是 泰坦尼克号 与冰山相比,但他们可能会避免灾难。

问题是,有 更多的冰山 在路上。

GDPR只是一个开始,CCPA才是续集。在很大程度上,由于联邦政府未能提供一套包容性的法规,因此有一系列新的州级数据隐私法。这些法律已被引入 美国九个州。  其中六项建议是以《中国刑事诉讼法》为模式,而其他建议则不那么严格。不过,至少有一个案例、 WIRED 指出CCPA是如何被遗弃在灰尘中的:

ǞǞǞ 纽约隐私法该法案由州参议员凯文-托马斯(Kevin Thomas)上个月提出,将给予当地居民比其他州更多的对其数据的控制。它还将要求企业把客户的隐私放在他们自己的利润之前。 

这是在已经实施的 NYSDFS条例 规定金融服务部门的数据安全合规性。

对于一个在多个州(更不用说其他国家)运营的公司来说,挑战的艰巨性是显而易见的: 他们如何才能在这种拼凑的监管环境中保持合规?

数据轨迹研究 如上所述,法律和隐私专业人士表示,他们仍在逐案管理法规。他们中的一半是 仍然依靠人工处理 以处理GDPR隐私权请求,其中涉及数十名员工,创造了 "数以千计的接触点,有可能引入人为错误",正如该报告所说。

想象一下 混乱和浪费 试图以这种方式管理另外五套、十套或更多的国家法规。

在一项新的DataGrail研究中,有一半的公司是 仍然依靠人工处理 来处理GDPR的隐私权利要求。

应对这种情况将需要一定程度的 文化和技术的敏捷性和先进性 这对许多企业来说可能是陌生的。然而,高度主动、灵活和集中管理的合规结构将 要设置到位。操作流程和工具集必须围绕合法性、合规性和政策管理的DNA而建立,使公司能够通过有效地适应每一套独立的法规而成功进入市场。 这绝非不可能,保险业的任何人都可以告诉你,而且已经有了 实现这一目标的工具。

遵守CCPA:为下一步的发展做准备

不管是好是坏,数据隐私问题和解决这些问题的法律将伴随着我们,直到......好吧,可能是这样。 永远。  为此,我们可以感谢数字媒体、物联网、人工智能的发展,以及在一个数据风险越来越大的世界里保护个人信息的相应需求。

但GRC专业人士应该振作起来:建立适当的系统和文化,以实现今天的CCPA合规性 创建一个高效、持久和灵活的框架。 你不仅可以在此基础上应对下一轮法规,还可以在此后应对任何新的数据隐私挑战。

网络研讨会:为法律业务导航的数据隐私

请看两位领先的专家,他们展示了如何在拼凑的监管环境中实施减少数据隐私风险的流程。

现在观看