《加州消费者隐私法案》与第三方风险管理
《加州消费者隐私法案》规范企业收集和销售消费者数据的行为,旨在保护加州居民的敏感个人信息,并赋予消费者对其信息使用方式的控制权。该法案将于2023年通过《加州隐私权法案》进行修订,届时将实施更严厉的执法处罚措施。
《加州消费者隐私法案》适用于从加州任何居民处收集的消费者数据——无论数据是由总部位于该州的公司收集,还是由在该州开展业务的公司收集。
因此,各组织应确保其第三方合作伙伴和服务提供商为保护消费者信息做好充分准备。任何安全计划的第一步都是通过全面的安全评估来识别现有风险并确定优先次序。
相关条例
- 1798.81.5 (b)“任何拥有、许可或维护加州居民个人信息的商业实体,应实施并维持符合信息性质的合理安全程序和措施,以保护个人信息免遭未经授权的访问、破坏、使用、修改或披露。”
- 1798.185 (a)"每年进行一次网络安全审计,包括确定审计范围和建立一个确保审计彻底和独立的程序。在确定信息处理何时会对个人信息安全造成重大风险时,应考虑的因素包括企业的规模和复杂性以及信息处理活动的性质和范围"。
- 1798.140(c)“经与承包商[或服务提供商]达成协议后,允许企业通过以下措施监督承包商[或服务提供商]的合同履约情况,包括但不限于持续人工审查、自动化扫描,以及至少每12个月进行一次的定期评估、审计或其他技术与运营测试。”
- 1798.185 (b)"定期向加利福尼亚州隐私保护局提交有关其处理个人信息的风险评估"。
满足 CCPA TPRM 要求
以下是 Prevalent 如何帮助您应对 CCPA 第三方风险管理最佳实践:
CCPA 最佳实践
我们如何提供帮助
发现与数据映射
Prevalent 支持计划评估,以确定关系之间的数据流,利用独特的关系映射功能确定数据存在的位置、数据流向以及与组织外部的谁共享数据。自动生成风险登记册,突出关键风险领域,提高数据的可见性。
自我评估
普瑞瓦伦针对最高风险的敏感商业数据、隐私相关数据及业务流程开展隐私影响评估(PIA)。该评估将分析潜在风险的来源、性质及严重程度,并提出风险缓解建议,确保未来符合隐私法规要求。
供应商风险评估
Prevalent 使用 Prevalent 合规框架 (PCF) 根据 CCPA 评估供应商的数据隐私控制。具体的问卷内容有助于识别评估过程中发现的风险,并将其映射到控制措施中,从而清楚地了解潜在热点。
风险应对
Prevalent 可根据平台中设置的阈值自动识别风险。利用预置的工作流程规则加快响应速度,将已识别的风险升级至适当的利益相关者,以便立即进行审查和处置。
合规跟踪与报告
Prevalent 利用 Prevalent 合规性框架针对 CCPA 进行报告,该框架可自动将风险和应对措施映射到控制措施中,提供合规性评级百分比,并提供针对特定利益相关者的报告,以提高数据安全性的可见性。
泄漏事件通知监控
Prevalent 提供一个数据库,其中包含全球数千家公司 10 多年的数据泄露历史。其中包括被盗数据的类型和数量、合规性和监管问题以及实时供应商数据泄露通知。
主体访问请求
Prevalent 使供应商和业务用户能够根据收到的请求触发主体访问请求 (SAR) 工作流,利用主动评估来捕获相关数据。利用关系图,风险和隐私团队可以直观地了解与谁共享数据以及谁会接触到该供应商的数据。
