개인 정보가 유럽에만 해당된다고 생각하십니까? 다시 생각 해봐.

GDPR이 완료되었습니다. 그리고 그것은 어쨌든 EU에서 운영되는 비즈니스에만 영향을 미쳤습니다. 오른쪽?

설마.

1. 개인 정보 보호는 "완료"되지 않습니다. 규정 준수는 항상 존재하는 요구 사항이며 기업은 접점, 데이터 수집 관행, 데이터 처리 논리 및 공급업체에 대한 동일한 고려 사항을 지속적으로 지속적으로 모니터링해야 합니다.
2. GDPR은 유럽에 위치한 기업뿐만 아니라 EU 시민의 데이터를 처리하는 모든 기업에 영향을 미쳤습니다.
3. GDPR은 빙산의 일각이었습니다. 세계는 무책임한 데이터 수집 및 처리의 위협을 인식하고 있습니다. 네, 유럽이 먼저 일어났습니다. 하지만 그렇다고 해서 미국과 나머지 세계가 계속 잠자는 것은 아닙니다.

사실, 미국은 이미 혁명적인 개인정보 보호 규정을 향한 길을 걷기 시작했습니다. 캘리포니아, 네바다, 메인에서 법안이 통과되고 다른 많은 주에서 법안이 계획됨에 따라 기업은 앞으로 몇 달 안에 영향을 받을 것으로 예상해야 합니다.

이 기사는 적용 대상, 발효 시기, 처벌, 규정 준수 방법, 주정부가 소비자의 개인 데이터 및 개인 정보 보호 규정 준수가 비즈니스에 어떻게 도움이 될 수 있는지.

미국 연방 규정?

9월 10일 의회 지도자들에게 보낸 서한에서 업계 전반의 비즈니스 라운드테이블 CEO들은 정책 입안자들에게 미국 소비자 보호를 강화하고 지속적인 혁신과 성장을 가능하게 하는 프레임워크를 수립하는 포괄적인 국가 데이터 개인 정보 보호법을 가능한 한 빨리 통과시킬 것을 촉구했습니다. 디지털 경제.

51명의 CEO가 서명한 이 서한은 하원 및 상원 지도부와 하원 에너지 및 상업, 상원 상업, 과학 및 교통 위원회 지도자들에게 발송되었습니다.

미국 비즈니스 관점에서 연방 데이터 보호법이 도입되기에 이보다 더 좋은 시기는 없었습니다.

GDPR은 EU 내에 거주하는 개인에 대한 데이터를 수집하는 모든 회사는 해당 회사가 EU에 기반을 두고 있는지 여부에 관계없이 해당 법률을 준수해야 한다고 규정합니다. 이는 많은 미국 기업이 국제적으로 사업을 운영하기 위해 이미 GDPR을 준수하고 있으며 이 준수를 미국 시장으로 확장할 수 있는 프레임워크를 갖추고 있음을 의미합니다.

미국 국영 기업의 경우 다릅니다. 데이터 보호 규정 준수는 (잠재적으로) 사양과 요구 사항이 다른 최대 50개 주법으로 인해 악몽이 되고 있습니다. 연방법은 이를 간소화하여 모든 주에 걸쳐 하나의 통합된 법안을 제공합니다.

미국 주법

이에 대한 대응으로 국가는 훨씬 더 일찍 조치를 취했습니다.

3개 주에서 법률이 통과되고, 다른 주에서 법안이 제안되고, 여러 주에서 새로운 데이터 침해 알림 법률이 통과되면서 소비자 데이터 보호와 데이터를 제어하고 처리하는 기업의 책임에 대한 대대적인 변화의 시작을 목격하고 있습니다.

IAPP 웨스틴 리서치 센터는 변화하는 국가의 개인 정보 보호 환경에 발맞추기 위한 기업의 노력을 지원하기 위해 전국에서 제안 및 제정된 포괄적인 개인 정보 보호 법안 목록을 아래에 정리했습니다.

지도에 포함된 많은 법안이 법률이 되지는 않겠지만 각 법안의 주요 조항을 비교하면 미국에서 개인 정보 보호가 어떻게 발전하고 있는지 이해하는 데 도움이 될 수 있습니다.

캘리포니아

GDPR 이후 통과된 최초의 개인정보 보호법 중 하나인 CCPA는 미국의 다른 법안에 대한 청사진 역할을 하고 있습니다. 2020년 1월 1일부터 CCPA는 캘리포니아 거주자의 개인 데이터를 수집/처리하거나 캘리포니아에서 사업을 하는 사업에 적용됩니다.

이러한 비즈니스는 다음 중 하나에 해당하는 경우 CCPA의 적용을 받습니다.

• 총 매출 2500만 달러 초과
• 50,000 이상의 소비자 가구 또는 장치의 개인 정보를 구매, 수신, 판매 또는 공유(총합)
• 소비자 개인 정보 판매로 연간 수익의 50% 이상 획득

CCPA는 개인 정보 공개 및 개인 데이터 요청을 포함하여 GDPR과 유사한 권리를 소비자에게 부여합니다. 기업은 개인 정보의 범주 및 데이터, 제3자, 데이터를 공유하는 제3자의 범주 등과 같은 정보로 검증 가능한 소비자 요청에 응답해야 합니다.

데이터 주체 요청(DSR)으로 알려진 이 섹션은 사용자에게 개인 정보에 대한 액세스 및 삭제 옵션을 부여합니다. 또한 CCPA는 기업이 홈페이지에 "내 개인 정보를 판매하지 마십시오" 링크를 표시하도록 요구합니다.

CCPA는 법무장관에 의해 시행되며 각 위반에 대해 최대 $7,500의 벌금이 포함됩니다.

네바다

네바다의 개인정보 보호법은 2019년 5월 29일에 서명되었지만 더 잘 알려진 CCPA보다 3개월 앞선 2019년 10월 1일에 발효됩니다. 법률은 매우 유사하지만 "판매"를 정의하는 방법에 큰 차이가 있습니다. 네바다의 법은 모든 서비스 제공자를 다루지 않고 금융 기관에 더 관대합니다.

InfoLawGroup에 따르면 CCPA와 네바다 법은 모두 "기업이 소비자 거부 요청의 정당성을 확인하는 프로세스를 마련하고 기업이 60일 이내에 요청에 응답하도록 요구"한다는 점에서 유사합니다.

캘리포니아와 유사하게 네바다의 집행은 법무장관에게 있으며 위반 건당 최대 $5,000의 벌금이 포함됩니다.

메인

Maine의 개인정보 보호법은 2019년 6월 6일에 서명되었지만 2020년 7월 1일에 발효됩니다. 이 법은 명시적으로 제공되지 않는 한 인터넷 서비스 제공업체(ISP)가 고객 데이터를 판매, 공유 또는 액세스할 수 있는 권한을 제3자에게 부여하는 것을 차단합니다. 해당 고객의 승인. 변경 사항과 함께,

메인 주 거주자는 이제 전자 메일, 온라인 채팅, 브라우저 기록, IP 주소 및 통신 및 기술 부문 회사에서 일반적으로 수집 및 저장하는 지리적 위치 데이터에 대한 추가 보호 계층을 갖게 되었습니다.

따라서 CCPA는 고객에게 옵트아웃할 수 있는 권리를 부여하지만 이 새로운 법률은 고객이 옵트인하지 않는 한 ISP가 고객 데이터를 사용하는 것을 금지합니다. 이 요구 사항은 CCPA 또는 네바다 법률보다 더 나아가 일반적으로 옵트아웃 동의를 선호합니다.

기다리지 마십시오. 지금 준비하십시오:

2018년 PwC 설문조사에 따르면 기업의 64%가 아직 CCPA 규정에 대한 준비를 시작하지 않았습니다.

규정 준수 여정 시작을 미루셨습니까? 프로세스를 시작했지만 빠르게 다가오는 마감 시간 때문에 어려움을 겪고 계십니까?

다음은 대부분의 기존 법률과 가까운 장래에 시행될 법률을 준수하기 위해 기업으로서 취할 수 있는 의식적인 조치의 목록입니다.

1단계: 개인정보 보호 고지 및 정책 업데이트

2018년 5월에 받은 모든 "개인정보 보호정책을 업데이트했습니다"(GDPR 준수) 이메일을 통해 이번에는 2019년 3분기에 CCPA 또는 네바다 또는 메인을 준수하는 또 다른 물결을 예상하는 것이 합리적일 것입니다.

이 법률은 "수집 시점 또는 그 이전에" 해당 회사가 소비자에게 회사가 수집하는 개인 정보의 범주와 회사에서 정보를 사용하는 목적을 알리는 통지를 제공하도록 요구할 것입니다.

통지서는 또한 수집, 공개 또는 판매되는 개인 정보의 범주를 명시적으로 명시해야 하며 소비자는 자신의 정보 판매를 거부할 수 있는 새로운 권리가 있습니다.

회사는 또한 다른 새로운 소비자 권리에 대한 설명을 포함하도록 개인 정보 보호 정책을 업데이트해야 합니다.

많은 기업이 GDPR 준수 시점을 결정해야 했기 때문에 법적으로 요구되는 정책 업데이트를 수행하기 전에 기업은 각 주 거주자에 대해 하나의 개인 정보 보호 고지를 유지할 것인지 또는 하나의 보편적 정책을 가질 것인지 결정해야 합니다.

2단계: 데이터 인벤토리, 비즈니스 프로세스 및 데이터 전략 업데이트

기업은 또한 비즈니스 프로세스, 제3자, 제품, 장치 및 소비자 개인 데이터를 처리하는 애플리케이션을 포함하여 데이터 처리 활동을 추적하기 위한 기본적으로 데이터베이스인 데이터 인벤토리를 유지해야 합니다.

GDPR을 준수해야 하는 회사는 다음 열을 포함하여 데이터 인벤토리에 몇 가지 열을 추가해야 합니다.

• 데이터 사용에 정보 "판매"가 포함되는지 식별
• 제3자에게 이전되는 개인 정보의 범주 식별
• 데이터가 12개월 이상 전에 수집되어 잠재적으로 면제되는지 식별합니다.
• 또한 데이터베이스는 최신 상태로 유지되어야 하며 확인된 정보 요청 추적과 같은 모든 소비자 권리 요청을 추적할 수 있어야 합니다.

3단계: 소비자 권리를 보장하기 위한 프로토콜 구현

이러한 법률은 기업이 보장하기 위해 조치를 취해야 하는 여러 소비자 권리를 보장합니다.

• 통지 에 대한 권리 – 정확히 부여된 권리는 아니지만 기업이 소비자로부터 개인 정보를 수집할 때 또는 그 전에 수집되는 정보 범주와 정보가 사용되는 목적을 소비자에게 적절하게 통지해야 합니다.

• 접근 권한/요청 권리 – 검증 가능한 요청이 있는 경우, 기업은 우편 또는 전자 방식으로 전달될 수 있는 개인 정보를 소비자에게 무료로 공개하고 전달하기 위한 조치를 취해야 합니다. 전자적으로 제공되는 경우 휴대형으로 제공되어야 하며 기술적으로 가능한 범위 내에서 소비자가 개인 정보를 문제 없이 다른 주체에 전송할 수 있도록 쉽게 사용할 수 있는 형식으로 제공되어야 합니다. 기업은 언제든지 소비자에게 개인 정보를 제공할 수 있지만 12개월 동안 두 번 이상 소비자에게 개인 정보를 제공할 필요는 없습니다.

• 알 권리 – 소비자는 개인 정보를 수집하는 사업체가 다음을 공개하도록 요청할 권리가 있습니다. (1) 수집된 개인 정보의 범주; (2) 정보가 수집된 출처; (3) 정보 수집 또는 판매를 위한 비즈니스 또는 상업적 목적; (4) 비즈니스가 정보를 공유하는 제3자의 범주; (5) 기업이 소비자에 대해 수집한 특정 개인 정보.

• 삭제할 권리 – 소비자는 검증 가능한 요청이 있는 경우 기업이 수집한 소비자에 대한 개인 정보를 삭제하도록 기업에 요청할 권리가 있습니다. 그러한 요청을 받으면 비즈니스는 정보를 삭제하고 비즈니스 또는 서비스 제공자가 다음을 위해 정보를 필요로 하지 않는 한 모든 서비스 제공자에게 기록에서 정보를 삭제하도록 지시해야 합니다. (1) 개인 정보가 수집된 거래를 계산합니다. , 소비자가 요청한 상품 또는 서비스를 제공하거나, 소비자와 비즈니스의 지속적인 비즈니스 관계의 맥락 내에서 합리적으로 예상되는, 또는 비즈니스와 소비자 간의 계약을 달리 수행합니다. (2) 보안 사고를 감지합니다. 악의적, 기만적, 사기성 또는 불법적 활동으로부터 보호합니다. 또는 해당 활동에 책임이 있는 사람을 기소합니다. (3) 기존의 의도된 기능의 오류를 식별하고 복구하기 위해 디버그합니다. (4) 표현의 자유를 행사하고, 다른 소비자가 표현의 자유를 행사할 수 있는 권리를 보장하거나, 법률이 규정하는 다른 권리를 행사합니다. (5) 공익을 위해 대중 또는 동료가 인정한 과학적, 역사적 또는 통계적 연구에 참여합니다. (6) 소비자와 기업의 관계를 기반으로 소비자의 기대에 합리적으로 부합하는 내부 사용만 가능하게 하기 위해; (7) 법적 의무를 준수합니다. (8) 그렇지 않으면 소비자의 개인 정보를 소비자가 정보를 제공한 맥락과 양립할 수 있는 합법적인 방식으로 내부적으로 사용합니다.

• 거부권 – 소비자는 기업의 개인 정보 판매를 거부할 권리가 있습니다. 기업은 소비자가 소비자의 개인 정보 판매를 거부할 수 있는 "내 개인 정보 판매 금지"라는 제목의 홈페이지에 대한 명확하고 눈에 띄는 링크를 소비자가 합리적으로 접근할 수 있는 형태로 제공해야 합니다. 사업체는 옵트아웃한 소비자의 개인 정보 판매를 요청하기 전에 최소 12개월을 기다려야 합니다.

4단계: 보안 업데이트 만들기

이 법률은 또한 해당 기업이 "합리적인" 보안으로 개인 데이터를 보호할 것을 요구합니다. 실제로 이 표준은 기업이 개인 데이터의 기밀성, 무결성 및 가용성에 대한 위협을 해결하기 위해 위험 기반 접근 방식을 취하도록 했습니다. 그들은 데이터에 대한 위협을 평가하고, 탐지된 취약점의 위험 순위를 매기고, 고위험 격차를 먼저 해결합니다.

5단계: 타사 프로세서 계약 업데이트

미국 개인정보 보호법을 준수하기 위해 다른 회사에서 데이터를 처리하도록 하는 기업은 표준 계약 조항 언어 삽입을 포함하여 제3자 계약을 업데이트해야 합니다. 공급업체 데이터 인벤토리 요구 실사 설문지 사용 처리 기록 제공 소비자 응답 프로세스의 동기화를 요구합니다. 현장 평가 및 감사 요구; "판매" 자격이 있는 이전을 지정하는 것을 포함하여 각 제3자와 공유되는 특정 데이터 요소의 매핑을 요구합니다.

정보에 대해 비용을 지불한 제3자의 경우 판매 거부에 대한 소비자 요청을 수용하고 해당 데이터의 삭제를 제공하는 프로세스를 추가로 설계해야 합니다.

6단계: 교육

마지막으로 이 법률은 소비자 문의를 처리하는 직원에게 모든 요구 사항을 알려야 한다고 요구합니다. 관련 처벌로 인해 이 교육은 최소한이어야 하며 추가 직원 교육이 권장됩니다.

구현해야 할 것이 많다고 생각하십니까? 기업은 규정 준수를 통해 다음과 같은 이점을 얻을 수 있습니다.

개인 정보 보호법에 대한 일부 비판이 있었고 이러한 법률이 기업에 좋지 않다는 주장이 있습니다.

규정 준수 프로그램은 비용이 많이 들지만 기업은 데이터와 같은 자산에서 수익을 창출할 수 없으며 자신의 조치가 규정을 준수하는지 확인하기 위해 돈을 쓰지 않습니다.

그러나 위에서 언급한 바와 같이 개인 정보 보호법의 주요 요구 사항은 대부분 상식에 부합하므로 규정 준수 프로그램은 결코 바닥이 없는 구덩이가 되어서는 안 됩니다.

더욱이 법적인 압력이 가해지기 시작하지 않더라도 윤리적, 의식적 압력이 가중될 것입니다.

소비자는 데이터 개인 정보를 적극적으로 보호하는 회사와 거래하기를 원합니다.

예, 규정 준수 비용이 있지만 이는 데이터로 비즈니스를 수행하고 브랜드 평판을 구축 및 유지하는 비용의 일부로 간주되어야 합니다. 규정을 준수하는 조직으로서 귀하는 준수를 마케팅할 수 있으며, 이는 차례로 판매 및 고객 충성도를 높이는 데 도움이 될 수 있습니다.

전 세계 거의 모든 조직은 이제 개인 정보 보호 투자가 비즈니스 이점으로 이어진다는 사실을 인식하고 있습니다. GDPR에 대비하기 위해 투자한 조직은 데이터 침해 사고가 점점 줄어들고 있으며 , 고객의 개인 정보 보호 문제로 인한 판매 마찰 이 줄어들고, 영향을 받는 데이터 기록이 줄어들고 , 시스템 가동 중지 시간이 단축 됩니다.

이는 18개국의 3,200명 이상의 보안 및 개인 정보 보호 전문가를 대상으로 한 이중 맹검 조사 데이터를 바탕으로 최근에 발표된 Cisco 2019 데이터 개인 정보 보호 벤치마크 연구의 결과 중 일부입니다. 이 연구는 오늘날 조직이 개인 정보 보호 및 사이버 보안에서 직면하고 있는 주요 문제를 탐구하는 시리즈의 첫 번째입니다.

Cisco 연구에 따르면 기업의 97%가 개인 정보 보호법을 준수하는 것 외에도 개인 정보 보호 투자를 통해 더 많은 혜택을 받고 있다고 말합니다. 이러한 이점에는 경쟁 우위 , 투자자에 대한 매력 , 운영 효율성 , 유연성 및 혁신을 위한 더 큰 능력이 포함됩니다.

전체 응답자의 4분의 3이 이러한 혜택 중 두 가지 이상을 받고 있다고 말했습니다. 게다가 대다수의 기업은 이제 강력한 데이터 프라이버시가 시장에서 경쟁력 있는 차별화 요소 라고 말합니다.

이러한 결과는 기업이 개인 정보 보호법을 준수할 뿐만 아니라 개인 정보 투자의 비즈니스 이점을 극대화하기 위해 변화를 겪을 필요가 있음을 강조합니다.

데이터 관리 개선, 고객 신뢰 강화, 판매 지연 시간 단축 및 데이터 유출 비용 절감은 모두 조직에 의미 있고 비즈니스 번영에 필요한 경쟁 우위를 제공할 수 있습니다.

벽에 글씨가 크고 굵다. 개인 정보 보호는 유럽에만 해당되는 것이 아니라 전 세계 비즈니스에 필요한 순간입니다. 변화가 격렬합니다. 하지만 피할 수 없는 일이었다.

인간은 유형 자산을 보호하기 위해 자물쇠를 발명했습니다. 이제 무형 데이터가 똑같이 소중하므로(더 많지는 않더라도) 무형 데이터의 무분별한 축적과 처리는 눈살을 찌푸리고 싫어하며 궁극적으로 위반으로 간주될 것입니다.

개인정보 보호 규정 준수 관행은 운영을 간소화합니다. 그리고 침해 위험을 줄여 명성을 높입니다. 제 생각에는 규정 준수와 관련된 노력에 관한 것이 아니라 규정 준수가 다음으로 큰 경쟁 우위가 될 수 있다는 사실을 일찍 깨우쳐야 합니다.

Convert는 이미 견고한 토대를 마련했습니다. 당신은 어떤가요?