加利福尼亞消費者隱私法案(CCPA)的最終倒計時已經開始。加州是世界第五大經濟體,與 GDPR 類似,CCPA 的影響範圍將是全球性的。在2020年1月1日,在加利福尼亞州開展業務的公司或組織將必須遵守該州嚴格的新隱私法,該法律為每個加利福尼亞州居民建立了合法且可執行的隱私權,將於2020年7月1日起正式實施。CCPA不僅適用於加利福尼亞州的企業;它們適用於在該州開展業務的所有公司。不遵守 GDPR 的法則可能會對公司的財務狀況產生重大影響,因為相關部門可以依據 GDPR 對公司處以罰款。儘管最初一些隱私漏洞只導致了適度的罰款,但現在,這個行業正在逐漸引起更多關注,因為最近處以的罰款正在全球範圍內成為頭條新聞。兩筆重大罰款 ---- 一筆來自一家大型航空公司(2.3 億美元),該罰款源於一個影響了 500,000 人的數據漏洞,另一筆來自一家跨國酒店公司(1.23 億美元),該罰款源於 3.83 億 名酒店客人的個人信息被黑客盜取,這兩筆罰款引起了全球企業的重視。營利性企業如果收集加州居民的個人信息,並滿足以下任何一條,則需要合規:
· 年營業額超過2500萬美元。
· 購買、獲取、銷售達到或超過5萬個消費者、家庭和設備的信息。
· 超過50%的年度營收由銷售消費者個人信息獲得。
一、 什麼是CCPA?簡而言之,CCPA為加利福尼亞消費者的個人數據提供以下保護:
· 所有權:保護消費者有權告訴企業不要共享或出售個人信息的權利
· 控制:提供消費者對收集到的有關他們的個人信息的控制權
· 安全:要求企業負責保護個人信息
去年,許多公司在遵守GDPR方面面臨巨大的障礙,現在他們也需要遵守CCPA。時間不多了。如果您的企業在加利福尼亞州收集了客戶身份數據,並且為個性化營銷活動建立了客戶資料,要麼現在該採取行動了,要麼冒著可能會影響您底線的重大罰款風險。為了應對越來越多的個人數據洩露或濫用的情況,國際範圍迎來了隱私保護立法和建立標準熱潮。
1. GDPR歐盟於2018年5月25日正式實施了《通用數據保護條例》 (《General Data Protection Regulation》,簡稱《GDPR》),是一項保護歐盟公民個人隱私和數據的法律,其適用範圍包括歐盟成員國境內企業的個人數據、也包括歐盟境外企業處理歐盟公民的個人數據。2. CCPA美國已有多個州先在數據安全與隱私保護進行了立法,其中最著名的要數2018年6月加州通過《加州消費者隱私法案》( 《California Consumer Privacy Act》, 簡稱《CCPA》)。該法案被稱為美國"最嚴厲和最全面的個人隱私保護法案",將於2020年1月1日生效。3. 網絡安全法我國於2017年6月1日正式實施《中華人民共和國網絡安全法》(通常簡稱《網安法》)。《網安法》是我國首部全面規範網絡空間安全管理方面問題的基礎性法律,包含的內容十分豐富,一共包括7章79條,包含網絡運行安全、關鍵信息基礎設施的運行安全、網絡信息安全等內容。值得關注的是,《網安法》在數據(包括個人信息)安全與保護上也有諸多規定,例如第四十至四十五條。
二、GDPR和CCPA如何比較?
儘管CCPA的範圍與GDPR有所不同,但它們都授予了消費者控制和否決其數據使用的相關權利。兩項法規都要求公司安全地存儲數據,對收集的個人數據類型保持透明,並管理消費者刪除個人數據的請求("被遺忘的權利"),這意味著能夠從整個系統的所有系統中刪除個人數據。CCPA與GDPR的不同之處在於,CCPA要求用戶具有選擇性退出的能力,而不是需要在收集個人身份信息(PII)之前獲得明確同意的能力。
三、全球性的隱私法規
但是GDPR和CCPA只是一系列重大全球趨勢的開始。在世界範圍內,正在考慮或已經制定了許多隱私和合規性法律。僅在美國,就有9個州的立法者提出了法案,這些法案將使企業承擔廣泛的義務,以向消費者提供透明度並控制個人身份信息。在國際層面上,越來越嚴格的(和影響商業的)隱私法規的趨勢顯然是公司和組織不能忽視的全球現象。
4、 為什麼需要法規?
我們都是消費者。我們的身份是寶貴的資產---不僅對於收集和編譯我們PII的公司,對於我們來說,對於擁有信息並強烈希望保護該信息且不被濫用的個人消費者而言,也是如此。隨著我們生活中越來越多的領域引入了數字化,個人數據包括姓名,地址,電話,性別,付款信息,個人喜好到購物、瀏覽歷史記錄以及其他行為數據。對要求公司保護我們重要的個人數據的需求已大大增加,全球監管機構正在為此大量需求做出反應。超越法規合規:建立信任
面對所有這些法規,建立消費者信任對於全球的公司和組織而言變得越來越重要。GDPR、CCPA 及相關法律要求公司在適用的情況下,在收集和使用客戶數據之前獲得客戶的許可,當然,也要求保留客戶許可的 記錄。除了合規性之外,對於希望與客戶建立深入且可信的數字化關係的企業而言,隱私也至關重要。客戶對個人數據保持隱私和安全的期望越來越高。許多公開的數據濫用、漏洞和身份盜竊案件給公司設立了更高的標準,必須高於這個標準,公司才會被視為值得信賴的個人數據保管方。當客戶在公司那裡存儲數據時, 他們將簽訂信任合同;如果辜負信任,則往往難以重獲信任。只有在公司提供價值回報的情況下,客戶才會同意公司處理他們的數據,而且只有在他們信任該品牌的情況下才會提供這種許可。不信任就意味著不同意。"不同意"就意味著沒有數據,這意味著無法開展銷售和營銷工作(或效率極度低下)。對於旨在獲取客戶數據的公司來說,信任被稱為"新貨幣"。
客戶許可的重要性:重新思考用戶體驗根據 GDPR 和 CCPA,客戶必須能夠隨時查看、修改甚至撤銷他們授予的許可。換而言之,企業不允許出現以下行為:提供易於使用的 Web 表單以獲取用戶的許可,然後故意要求用戶遵循複雜的官僚主義流程, 使其難以撤銷許可。此外,公司需要清楚地告知用戶,公司收集數據的原因以及數據的用途。
對於公司運營,此舉會帶來很多負面影響。例如,根據 GDPR,公司不能在登錄頁面上使用針對受限銷售內容的預先勾選框以獲取用戶的許可。許可的獲取方式必須是"選擇加入",而不是"選擇退出"。也就是說,消費者必須通過勾選複選框來授予許可。但是,根據 CCPA 的規定,仍然允許公司獲取這種默示的許可,因此,預先勾選複選框仍然符合該法規的要求。這種差異可能會給全球企業帶來麻煩, 因為它們可能會面對兩個主要市場,而這些市場的網站和應用程序需要顯示不同的註冊表單。或者,甚至需要部署完全獨立的網站和應用程序來應對不同的區域,這會增加開發和維護代碼的工作量。
CCPA禁止過度收集數據:公司只能收集他們提供的服務或產品所需的個人數據
根據 GDPR 和 CCPA,客戶必須能夠隨時查看、修改甚至撤銷他們授予的許可。換而言之,企業不允許出現以下行為:提供易於使用的 Web 表單以獲取用戶的許可,然後故意要求用戶遵循複雜的官僚主義流程, 使其難以撤銷許可。此外,公司需要清楚地告知用戶,公司收集數據的原因以及數據的用途。
-THANKS FOR READING-
上海擎標信息技術服務有限公司是一家致力於科技風險與合規內控領域提供解決方案的諮詢服務機構。也是國內首批具有ISO27701、ISO27017、ISO27018等體系建設能力的諮詢單位!擎標,標新領異!國內隱私安全合規諮詢領域的早期參與者,發佈了首個基於ISO/IEC 29151:2017的中文譯著,並於2018年11月為太平洋保險(集團)公司獲得國內首張ISO29151個人身份信息保護實踐指南認證證書;於2019年10月為上海醫藥臨床研究中心獲得全球第二張ISO27701隱私信息管理體系認證證書。於2019年12月為中國電信天翼雲獲得了全國首張ISO27040存儲安全標準認證證書。
