世界各地的公司都在争相适当地保护其客户的个人信息(PI)。但是,新法规实际上已经改变了术语的定义,使一切变得更加复杂。随着《加州消费者隐私法案》(CCPA)于2020年1月生效,公司只有有限的时间来处理自己拥有的客户信息以及他们需要如何照顾它的信息。如果不这样做,他们不仅会面临被罚款的风险,而且还会失去品牌声誉和消费者信任度,这是无法估量的。
加利福尼亚州是最早在其宪法中提供明示隐私权的州之一,并且是率先通过数据泄露通知法的州,因此当州议员于2018年6月通过CCPA法案时,这并不令人惊讶,CCPA是美国第一部全州范围的数据隐私法。CCPA不仅是州法律,还将在可预见的将来成为事实上的 标准,因为加利福尼亚州的庞大人数意味着该国大多数企业都必须遵守。要求并不重要。公司必须向加利福尼亚客户披露已经收集了他们的哪些数据,将其删除并在客户要求时停止出售。罚款可能很容易加起来,如果是故意的,则每次违规罚款7,500美元;如果缺乏意图,则为2,500美元;对于受影响的用户,每位民事损害赔偿为750美元。
个人信息的演变
从法律的角度来看,过去个人身份信息(PII)的含义很明确-可以区分个人身份的数据。相比之下,纯PI的标准较低,因为它的标准太多了。如果PI是一个星系,则PII是太阳系。但是,CCPA和于2018年生效的欧盟通用数据保护法规GDPR已将定义更改为包含曾经相当良性的其他数据类型。CCPA规定了消费者的个人数据权利,这是GDPR首次发挥作用的一种概念。
通过CCPA,美国正在追赶GDPR,并同样扩大了个人数据定义的范围。根据CCPA,个人信息是“识别,关联,描述,能够与特定消费者或家庭直接或间接地建立联系或合理链接的信息。”其中包括通常包含的大量信息。不会产生危险信号,但是当与其他数据结合使用时,可以像特定的个人一样对生物识别数据,浏览历史记录,就业和教育数据以及从任何相关信息中得出的推论进行三角划分,以创建“反映消费者的偏好,特征,心理趋势,偏好,倾向,行为,态度,智力,能力和才能。”
知道规则,知道数据
这些规定不是清单规则。他们需要对技术和流程进行重大更改,并且需要重新考虑什么是数据以及应如何处理。企业需要了解适用于他们的规则以及如何管理其数据。信息管理已经成为企业的当务之急,但是大多数公司都缺乏明确的路线图来正确地做到这一点。以下是公司可以遵循的一些技巧,以确保它们满足新法规的要求和精神。
找出适用于您的法规
监管环境不断变化,新规则迅速被采用。每个组织都需要知道他们需要遵守哪些法规,并了解它们之间的区别。CCPA和GDPR共享的一些核心方面包括数据主体权利的实现和自动删除。但是会有差异,因此拥有一个可以大规模处理异构环境的平台非常重要。
建立与他人合作良好的隐私合规团队
标签: 数据