从 7 月份开始,《加州消费者隐私法案》将进入强制执行阶段。随之而来的会不会是一场抢地盘的诉讼? 企业又该如何避免被卷入其中?

随着时间的推移,CCPA 已经经历了多次修改和修订。 但有一点始终坚如磐石,那就是加州总检察长办公室不会放松执法力度,即使 COVID-19 带来了干扰:

"现在,我们致力于在最终确定规则后或 7 月 1 日(以先到者为准)执行法律。我们都很清楚 COVID-19 带来的新现实,以及随之而来的保护消费者网络隐私的更高价值。

CCPA 所发生的变化,以及各地区、国家和州涌现出或提出的其他法规,都凸显了数据隐私领域的变化。 统一法律委员会(Uniform Law Commission)所做的努力旨在统一美国的数据隐私法律,但何时能够实现还不得而知。

满足企业需求的 TAP 工作流程自动化

为企业用户提供灵活、直观、无需代码的解决方案。

获取指南

新数据隐私现实的五个关键事实

在此期间?CCPA 执法的到来,使得与加州人进行商业往来的 数十万企业迫切需要遵守数据隐私法规。

正如人们经常指出的,"监管催生诉讼",尤其是当任何新法律赋予原告对违法公司进行损害赔偿的权利时。 CCPA 也不例外,因为随着积极的诉讼人发起诉讼,加州可能会出现名副其实的新淘金热有些人还没来得及等待执法的开始。

企业法务部门和风险与合规团队现在不得不接受有关这种情况的五个关键事实--并在我们跨入这个尚未开发的新领域时用来指导他们的行动:

为未来的转变做好准备

CCPA 的实施已是板上钉钉的事,但未来其他地方和行业的其他数据隐私法规的出台也同样是板上钉钉的事。 即使在已经制定了严格规定的地方?还有可能出现新的限制。

例如,CCPA 的支持者现在提出了《加州隐私权法案》California Privacy Rights Act,简称 CPRA),该法案将加强消费者权利,并进一步增加企业风险 因此,保持对现行法律规定的义务的认识,并对潜在的修正案或新立法保持前瞻性是至关重要的。

要应对未来的任何其他变化,企业首先必须承认这是新的业务现实。 然后,他们必须愿意采用数据管理框架 工具,使其具备保持合规性所需的灵活性和敏捷性。 只有这样,它们才能不仅应对更多市场的更多法规,而且应对这些法规不断变化、不断审查和修正的事实。

大流行加剧了对数据隐私的审查

如上文所述,在数据隐私执法方面,监管机构并不愿意因为一场规模空前的公共卫生危机而放松脚步。 相反,几乎每天都有新的呼声,要求制定更多的数据隐私规则,而这些规则都是在大流行病的影响下产生的。

几个月前,有多少普通美国人使用 Zoom? 但现在 多起诉讼和其他法律威胁由于该平台被指没有做好准备,无法成为远程办公的中坚力量。当然,还包括要求对 Zoom 等服务制定新的法规。

使用人工智能等技术来遏制病毒,引发了人们对数据隐私以及其他医疗保健领域如何处理数据的担忧。 目前已经有 联邦法案提出限制向政府披露数据,并提出了其他保护措施。

业务流程正在产生风险

业务流程是许多组织的基础?由于种种原因,它们现在已成为这些企业的风险源。 监管机构私人诉讼律师都非常乐于将其作为目标。

CCPA 合规徽章图案首先,一个简单的事实是,这些 进程可能没有 翻新 以符合 CCPA 或其他数据隐私法规。  为什么 公司会不这样做吗? 他们可能对法规或其对业务的影响了解不全面,或者根本就没有投入适当的资源来达到合规要求--这可能是因为他们认为没有必要、缺乏手段,或者认为他们现有的系统和流程 "足够好",可以蒙混过关。

但是,数据隐私合规的复杂性对于没有准备的人来说,可能是一个 非常深、非常危险的陷阱。 尤其是像 CCPA 这样的法律规定,公司也要对其合作伙伴和第三方的数据处理错误负责。 监督不力、以人工和纸张为中心的流程,以及过时的数据存储做法,都是导致监管失效的原因。

在 COVID-19 大流行的情况下,数据隐私流程不完善的危险只会随着员工的远程工作而放大。 在工作中,他们会接触到哪些有关客户和潜在客户的 PII? 与谁共享? 在哪些设备上?

要使这些流程合规,就必须致力于将正确的工具落实到位。 特别是工作流程自动化,用自动化版本取代过时和不合规的流程,即使是远程员工也能从一开始就符合 CCPA 的要求。

及早准备可降低这些风险

对 CCPA 或其他数据隐私合规采取积极主动的方法,可以避免运营方面的麻烦、声誉受损,以及日后处罚和诉讼损失带来的底线伤害。

需要采取哪些措施? 实施 数据管理框架是至关重要的第一步,而确定使用数据的目标则是关键的考虑因素。 建立这样一个框架需要任何组织中广泛的利益相关者的承诺和辛勤工作,但这是必须的,而且长期结果是值得的。

然后,您需要确定哪些做法和流程在数据隐私风险方面可能存在问题。 然后,就需要探索和评估 可用的解决方案 改造这些流程,并为自己提供有效合规所需的灵活性、响应性、透明度和监督。

原告和诉讼代理人隐约可见

暂且跳出数据隐私,让我们来看看数字相关诉讼中一个更为成熟的领域。 2019 年,根据《美国残疾人法案》(ADA)第三章提起的诉讼数量持续上升,打破了上一年的记录,新增网站可访问性案件超过3000 件。 面对 CCPA,企业不应忽视这一教训:同样,几乎所有的新法规都为原告提供了一个新的途径,使他们能够找到 "金矿"。

事实上,针对Salesforce、Ring Clearview AI 等公司因涉嫌违反 CCPA 而提起诉讼。 正如我们在上文提到的,自 3 月 30 日以来,Zoom 已收到三起针对它的 CCPA 集体诉讼。

数据隐私 CCPA

在 Clearview AI 提交的文件中,该公司还被指控违反了伊利诺伊州的《生物识别信息隐私法》(BIPA),该法2008 年生效以来一直是"诉讼的稳定来源",引发了数百起案件。 这可能是未来 CCPA 案件激增的一个风向标。 此外,与加州法律相比,BIPA 所涉及的数据隐私范围更窄。

远程工作人员带来的新问题

另一个问题?远程工作团队的突然转变带来了新的风险。 当员工越来越分散,但仍有可能访问客户的个人数据时,这些信息可能被错误处理的危险就会增加。 而正如我们所看到的,监管机构和诉讼律师并不会对公司网开一面,无论是否存在 COVID-19。

一些公司已经采取措施,CCPA、GDPR 和其他数据隐私法规的合规性融入其运营中。 为此,他们采用工作流程自动化等新解决方案或用于发掘和存储公司所掌握实际数据的工具来改造核心流程。

因此,任何受 CCPA 影响的公司都有责任更多地了解手头的各种解决方案,以克服 CCPA 带来的风险。 这是防止自己成为现代 "淘金热 "受害者的关键第一步。

欲了解更多有关如何应对在家工作环境中法律和合规方面的复杂问题,请 查看本网络研讨会。