解读CCPA:这是你需要知道的

数字营销. 商人使用现代界面支付网上购物和图标客户网络连接在虚拟屏幕上. 商业创新技术 ... 查看更多。

在Bridgepoint, 我们一直在密切关注数据隐私方面的发展, 特别是自欧盟的《盈禾体育》(GDPR)于2018年5月生效以来. 在美国这里.S.在美国,许多不同的数据隐私法正在通过州和联邦政府的审议. 加州率先采取了行动,出台了一项广泛的新法律,名为《盈禾体育》(CCPA)。.

因为我们的许多客户都在努力解决CCPA问题,以及它可能会如何影响他们的业务, 我们和高级IT经理坐了下来, 维姬汉弗莱 - Bridgepoint的常驻合规专家和GDPR方面的专家, 网络安全, 数据隐私.

我们请Vicki来帮助解释CCPA的基础知识,以及公司需要知道(和做)什么来保护他们的组织. 继续往下读,看看薇姬是怎么说的.

问:你能告诉我们一些盈禾体育加州消费者隐私法(CCPA)的事情吗??

当然可以! CCPA是加州新的隐私法,规定了个人数据的收集方式以及企业如何使用这些数据. 这是美国数据隐私监管的真正开始.S. -我们以前从未见过这样的事情. 让CCPA对企业来说特别棘手的是,加州立法机构仍在修改法律. 七项新修正案 正在通过州参议院, 因此,企业并不确切知道该走哪条路.

Q. CCPA只影响加州的企业,对吧?

A:事实上,没有. 任何为加州居民提供服务的企业都可能受到CCPA的影响. 如果你的公司在加州没有直接业务,但你确实为你的一个客户处理加州居民的数据,这就是让很多人困惑的地方, 你可能会受到CCPA的影响.

So, CCPA适用于在加州从事间接/直接业务的营利性公司,如果它们也:

  • 年总收入至少为2500万美元;
  • Collect, buy or sell 每sonal data on more than 50,000 people or devices; and/or
  • 其收入的一半以上来自个人数据销售

问:我听说CCPA概述了消费者的一些具体隐私权. 那看起来像什么?

A:假设你是加州居民. 根据《盈禾体育》,您有权查阅在过去12个月内收集的有关您的任何个人资料. 如果您的个人资料已被出售或与第三方共享, 你有权知道它到底卖给了谁或分享给了谁, 如何以及为什么. 您有权要求公司删除收集到的您的所有个人数据. 如果你不希望你的个人数据被出售, 您有权选择退出-并且仍然获得相同的产品/服务, 同样的价格, 那些没有选择退出的人.

另外, 个人信息被泄露的消费者有权起诉该企业. 这是件大事.

Q. 在此之前,让我们先讨论一下个人数据收集. 我们只是在谈论姓名、地址、电子邮件等吗.?

答:CCPA对个人数据的定义比我们美国以前的隐私法宽泛得多.S. 它包括与特定消费者或家庭相关的任何信息, 直接或间接. 是的——姓名、地址、社会安全号码和电子邮件地址. But CCPA extends “每sonal data” to include location information gat在这里d from your mobile device and IP addresses; your online shopping and browsing history; and all kinds of marketing profile information based on 每sonal preferences, 行为, 的态度, 能力和更多.

这确实是新的,反映了许多立法者对隐私的新看法. 我认为美国.S. 开始花很长时间了吗, 仔细看看在我们这个高度数字化的新时代,隐私意味着什么, 高度互联时代.


问:CCPA如何处理个人资料的安全问题?

答:与GDPR不同,它没有严格要求违规必须提前72小时通知. 然而, CCPA对因违反或缺乏适当的安全保护措施而导致的消费者数据泄露进行处罚,每次事件或实际损害最高可达每位消费者750美元, 取较大的.  这意味着公司应该真正专注于修复任何网络安全漏洞和漏洞,并确保他们拥有强大的治理和数据安全策略.

问:如果公司在1月1日之后没有完全符合ccpa要求,会有什么后果, 2020年的最后期限? 

A:如果监管机构通知公司违规, 这家公司有30天的时间来遵守法律.  如果这个问题没有解决,将面临最高7500美元的罚款 违反. +, 正如我们之前所说的, 消费者有权起诉违反CCPA的公司, 即使没有数据泄露.

这是一件大事的原因是CCPA的处罚没有上限. 根据GDPR,罚款上限为2000万美元或全球收入的4%,以较高者为准. 我们最终可能会看到大量根据CCPA要求损害赔偿的集体诉讼, 对罚金的高低没有限制.

问:大多数公司都准备好遵守CCPA了吗?

A:我认为好坏参半. 许多公司不知道CCPA将如何适用于他们,甚至不知道是否适用于他们. 其他人知道他们需要采取行动,但不知道从哪里开始. 还有一些组织对需求感到困惑,并努力实现适当的策略, 程序, 和工作流.

我告诉我所有的客户和联系人,如果他们还没有开始的话,现在就开始吧. CCPA将于2020年1月1日生效.S. 到那时,公司应该实施相关的合规战略. 鉴于我们盈禾体育数据隐私的全国性讨论,以及立法者开始认真对待这个问题的事实, 这是一个好主意,建立健全, 可伸缩且灵活的治理和遵从性系统. 公司真的不能再把这个问题放在心上了.

问:最后对公司有什么建议吗?

如果你还没有解决CCPA合规问题,现在是时候行动起来了. 对于那些有点跟不上进度的人,这里有一个我们发现很有帮助的基本框架:

  1. 与公司领导合作,确定CCPA是否适用于您的组织.
  2. Continue to monitor CCPA developments; some critical bills are still pending that could have a dramatic impact on the legislation.
  3. 优先考虑对您的业务影响最大的CCPA方面.
  4. Carefully document what 每sonal data you collect (keeping the CCPA definition in mind); w在这里 it resides; who has access; and how that data is used, 出售和/或与第三方合作.
  5. 识别和修复网络安全漏洞和漏洞.
  6. 如果还没有到位的话, 制定机制和沟通渠道,处理消费者在《盈禾体育》中所指明的要求.
  7. 建立数据治理实践和/或更新现有的CCPA遵从性.
  8. 实施详细的路线图,以满足所有其他具体影响您业务的CCPA要求.

把它们结合在一起

CCPA只是即将到来的消费者数据隐私监管浪潮的开始 在各个州 而且,可能是at 联邦层面. 组织起来,设置好系统对你来说是最有利的, 因此,在快速变化的监管环境中,你不会措手不及. 与GDPR一样,对许多组织来说,遵守CCPA可能是一项艰巨的任务. Bridgepoint拥有一支经验丰富的数据隐私和安全专家团队,可以帮助企业应对数据隐私法规的新时代. 我们在这里指导您完成过程的每一步-包括数据发现, 监管差距分析, 安全问题补救, 合规政策制定, 及资料私隐影响评估(DPIA). 了解更多有关我们的服务 在这里.

友情链接: 1 2 3 4 5 6 7 8 9 10