欧盟已将大部分数据隐私法规整合于《通用数据保护条例》(GDPR)之下。该条例虽覆盖范围广泛,但也为企业统一合规标准提供了简化路径。部分跨国企业已将GDPR框架应用于全球业务,以简化运营流程。
相比之下,美国在隐私法规方面呈现出拼凑式管理,相关法律针对特定行业、市场、个人信息类型及其他因素分别适用。这些法规包括《驾驶员隐私保护法》、《儿童在线隐私保护法》(COPPA)、《支付卡行业数据安全标准》(PCI DSS)、《健康保险流通与责任法案》(HIPAA)等。
在美国监管体系参差不齐的背景下,加利福尼亚州率先推出了一项覆盖面广的消费者隐私保护法。鉴于该州的市场规模和影响力,其他州很可能会效仿其立法原则——即便联邦政府本身迟迟不采取行动。
《加州消费者隐私法案》确立了处理消费者个人信息的基本要求。有人可能认为该法案仅适用于加州注册企业,但这是错误的;它适用于任何收集或处理加州居民个人信息且符合以下条件的 以下任一 符合下列任一条件的企业:
- 年度总收入超过2500万美元
- 每年接收或披露50,000名或以上加州居民或家庭的个人信息。
- 年度收入的50%或以上来源于向加州居民出售其个人信息
不确定贵公司是否受到影响?请完成此快速评估。查看工具:https://syntrio.com/resources/compliance-training/ccpa-does-it-apply-to-you/
《加州消费者隐私法案》要求企业采取多项措施,总体而言为加州消费者提供五项基本权利:
- 知悉企业收集个人信息的做法的权利,包括收集目的及信息分类方式
- 消费者有权查阅公司收集或保存的与其相关的个人信息。
- 消费者有权拒绝公司将与之相关的个人数据共享给第三方用于营销目的。
- 删除相关个人信息的权利
- 因行使上述权利而不受歧视。
此外,《加州消费者隐私法案》要求企业必须对负责处理消费者上述权利请求的员工进行培训。
鉴于组织内部收集、处理、共享、转移及向他人披露个人信息的程度,许多企业可能认为对其他员工进行培训至关重要。
Syntrio近期推出了《加州消费者隐私法案》培训课程, 适用于任何负责处理或经常接触加州消费者个人信息的员工。该培训详细阐述了企业为保障消费者权利必须采取的措施,以及公司需遵守的其他合规标准,例如与供应商及其他第三方合作时的规范要求。
有关Syntrio公司《加州消费者隐私法案》课程的更多信息:https://syntrio.com/solutions/course-library/ethics-compliance/privacy/california-consumer-privacy-act/
编者按:本文最初发表于Syntrio.com。2024 年 1 月,Mitratech收购了道德与合规培训、工作场所骚扰预防和匿名热线报告解决方案的领先供应商Syntrio。此后,我们对内容进行了更新,以反映我们扩展的解决方案产品、不断发展的合规法规以及道德与风险管理方面的最佳实践。
